Apache TomcatにHTTP/2リクエスト処理の不備に起因する情報漏えいの脆弱性(JVN) | ScanNetSecurity
2026.01.03(土)

Apache TomcatにHTTP/2リクエスト処理の不備に起因する情報漏えいの脆弱性(JVN)

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は10月14日、Apache TomcatにおけるHTTP/2リクエスト処理の不備に起因する情報漏えいの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
56 views
facebookLINE
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は10月14日、Apache TomcatにおけるHTTP/2リクエスト処理の不備に起因する情報漏えいの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

Apache Tomcat 10.0.0-M1 から 10.0.0-M7 まで
Apache Tomcat 9.0.0.M1 から 9.0.37 まで
Apache Tomcat 8.5.0 から 8.5.57 まで

JVNによると、HTTP/2クライアントが接続許可された最大同時ストリーム数を超えた場合に、その接続における後続のリクエストにて意図したHTTPヘッダではなく、以前送信されたリクエストのHTTPヘッダに置き換わる可能性があり、その結果、ユーザが予期しないリソースへの応答が表示される可能性がある。

想定される影響としては、遠隔の第三者によって細工されたHTTP/2リクエストを送信され、予期しないリソースへの応答が表示されることで機微な情報が取得される可能性がある。

JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。なお、本脆弱性の対策版としてリリースされたバージョンは以下の通り。

Apache Tomcat 10.0.0-M8
Apache Tomcat 9.0.38
Apache Tomcat 8.5.58

《ScanNetSecurity》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. 元国土交通省職員ら、「アイコラ」をサイトに掲載し逮捕

    元国土交通省職員ら、「アイコラ」をサイトに掲載し逮捕

  2. 保証人に送付した学費請求書の住所に誤り、個人情報が漏えい(横浜市立大学)

    保証人に送付した学費請求書の住所に誤り、個人情報が漏えい(横浜市立大学)

  3. fjコンサル「キャッシュレスセキュリティレポート 2023年1Q」公表、カード情報流出件数 173,332件

    fjコンサル「キャッシュレスセキュリティレポート 2023年1Q」公表、カード情報流出件数 173,332件

  4. 41歳コンビニ店長の転職

    41歳コンビニ店長の転職PR

  5. ウェスティンホテル、アルバイトのTwitterによる情報流出を謝罪(ウェスティンホテル)

    ウェスティンホテル、アルバイトのTwitterによる情報流出を謝罪(ウェスティンホテル)

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP