「Apache Tomcat」に複数の脆弱性、CVE-2020-1938には注意喚起も(JVN) | ScanNetSecurity
2026.04.02(木)

「Apache Tomcat」に複数の脆弱性、CVE-2020-1938には注意喚起も(JVN)

IPAおよびJPCERT/CCは、Apache Software Foundationが提供する「Apache Tomcat」に複数の脆弱性が存在すると「JVN」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
83 views
facebookLINE
独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は2月25日、Apache Software Foundationが提供する「Apache Tomcat」に複数の脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。これは、The Apache Software Foundationから脆弱性に対するアップデートが公開されたことを受けたもの。IPA、JPCERT/CCも特にCVE-2020-1938について、それぞれ注意喚起を発表している。

影響を受けるシステムは次の通り、

・CVE-2020-1935
Apache Tomcat 9.0.0.M1 から 9.0.30 まで
Apache Tomcat 8.5.0 から 8.5.50 まで
Apache Tomcat 7.0.0 から 7.0.99 まで

・CVE-2020-1938
Apache Tomcat 9.0.0.M1 から 9.0.30 まで
Apache Tomcat 8.5.0 から 8.5.50 まで
Apache Tomcat 7.0.0 から 7.0.99 まで

・CVE-2019-17569
Apache Tomcat 9.0.28 から 9.0.30 まで
Apache Tomcat 8.5.48 から 8.5.50 まで
Apache Tomcat 7.0.98 から 7.0.99 まで

これらのバージョンには、細工されたHTTPヘッダを含むHTTPリクエストを処理することで、情報を改ざんされるなど(CVE-2020-1935、CVE-2019-17569)および、WEB-INFやMETA-INF、またはServletContext.getResourceAsStream() が到達可能ディレクトリ配下の任意のファイルを読み取られる、また、Webアプリケーションがファイルのアップロードおよび保存を許可している場合に第三者に任意のコードを実行される(CVE-2020-1938)の脆弱性が存在する。

JVNでは、開発者が提供する情報をもとに、最新版へアップデートするよう呼びかけている。最新版は「Apache Tomcat 9.0.31」「Apache Tomcat 8.5.51」「Apache Tomcat 7.0.100」となっている。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. ユーザのパスワード悪用による不正アクセスから ActiveDirectory を含むサーバが暗号化

    ユーザのパスワード悪用による不正アクセスから ActiveDirectory を含むサーバが暗号化

  2. 福岡教育大学で Google グループのアクセス権限設定不備、計 142 名の個人情報が閲覧可能な状態に

    福岡教育大学で Google グループのアクセス権限設定不備、計 142 名の個人情報が閲覧可能な状態に

  3. 受託事業者のログイン管理設定の誤りが原因 ~ 総務省の調査で他の回答者の個人情報が閲覧可能に

    受託事業者のログイン管理設定の誤りが原因 ~ 総務省の調査で他の回答者の個人情報が閲覧可能に

  4. 20の資格取得状況 ~ JNSA「セキュリティ人材 アンケート調査 速報」公表

    20の資格取得状況 ~ JNSA「セキュリティ人材 アンケート調査 速報」公表

  5. GSX、AI セキュリティ人材育成認定資格講座を提供

    GSX、AI セキュリティ人材育成認定資格講座を提供

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP