「Apache Tomcat」に複数の脆弱性、CVE-2020-1938には注意喚起も(JVN) | ScanNetSecurity
2026.06.01(月)

「Apache Tomcat」に複数の脆弱性、CVE-2020-1938には注意喚起も(JVN)

IPAおよびJPCERT/CCは、Apache Software Foundationが提供する「Apache Tomcat」に複数の脆弱性が存在すると「JVN」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
83 views
facebookLINE
独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は2月25日、Apache Software Foundationが提供する「Apache Tomcat」に複数の脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。これは、The Apache Software Foundationから脆弱性に対するアップデートが公開されたことを受けたもの。IPA、JPCERT/CCも特にCVE-2020-1938について、それぞれ注意喚起を発表している。

影響を受けるシステムは次の通り、

・CVE-2020-1935
Apache Tomcat 9.0.0.M1 から 9.0.30 まで
Apache Tomcat 8.5.0 から 8.5.50 まで
Apache Tomcat 7.0.0 から 7.0.99 まで

・CVE-2020-1938
Apache Tomcat 9.0.0.M1 から 9.0.30 まで
Apache Tomcat 8.5.0 から 8.5.50 まで
Apache Tomcat 7.0.0 から 7.0.99 まで

・CVE-2019-17569
Apache Tomcat 9.0.28 から 9.0.30 まで
Apache Tomcat 8.5.48 から 8.5.50 まで
Apache Tomcat 7.0.98 から 7.0.99 まで

これらのバージョンには、細工されたHTTPヘッダを含むHTTPリクエストを処理することで、情報を改ざんされるなど(CVE-2020-1935、CVE-2019-17569)および、WEB-INFやMETA-INF、またはServletContext.getResourceAsStream() が到達可能ディレクトリ配下の任意のファイルを読み取られる、また、Webアプリケーションがファイルのアップロードおよび保存を許可している場合に第三者に任意のコードを実行される(CVE-2020-1938)の脆弱性が存在する。

JVNでは、開発者が提供する情報をもとに、最新版へアップデートするよう呼びかけている。最新版は「Apache Tomcat 9.0.31」「Apache Tomcat 8.5.51」「Apache Tomcat 7.0.100」となっている。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. CVE停止の危機とNVDの停滞、セキュリティ担当者が直面する脆弱性情報分断の裏側

    CVE停止の危機とNVDの停滞、セキュリティ担当者が直面する脆弱性情報分断の裏側

  2. 添付ファイル分離メールサーバに第三者からサイバー攻撃、メールアドレスと添付ファイルが漏えいした可能性

    添付ファイル分離メールサーバに第三者からサイバー攻撃、メールアドレスと添付ファイルが漏えいした可能性

  3. 東京都「中小企業向けサイバーセキュリティ対策の極意」ポータルサイトの旧ドメインを第三者が取得

    東京都「中小企業向けサイバーセキュリティ対策の極意」ポータルサイトの旧ドメインを第三者が取得

  4. エイテックプロに不正アクセス、システム障害が発生

    エイテックプロに不正アクセス、システム障害が発生

  5. NPO法人ポータルサイト掲載の事業報告書、一定の電磁的操作で黒塗り処理部分が読み取れる状態に

    NPO法人ポータルサイト掲載の事業報告書、一定の電磁的操作で黒塗り処理部分が読み取れる状態に

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP