Apache TomcatにHTTP/2リクエスト処理の不備に起因する情報漏えいの脆弱性 | ScanNetSecurity
2026.01.24(土)

Apache TomcatにHTTP/2リクエスト処理の不備に起因する情報漏えいの脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は12月4日、Apache TomcatにおけるHTTP/2リクエスト処理の不備に起因する情報漏えいの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
137 views
facebookLINE
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は12月4日、Apache TomcatにおけるHTTP/2リクエスト処理の不備に起因する情報漏えいの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

Apache Tomcat 10.0.0-M1 から 10.0.0-M9 まで
Apache Tomcat 9.0.0-M1 から 9.0.39 まで
Apache Tomcat 8.5.0 から 8.5.59 まで

The Apache Software Foundationで公開されたApache Tomcatの脆弱性について、HTTP/2のコネクション内で複数のストリームを送受信する際に、前のストリームで送信されたHTTPリクエストのヘッダ値が、それに続くストリームのリクエストヘッダにそのまま引き継がれてしまうことがあり、他のリクエストにヘッダ値が引き継がれることで情報漏えいが発生する可能性がある。ただし多くの場合、ストリーム間でヘッダ値が引き継がれるとエラーが発生し、コネクションは切断される。

JVNでは、開発者が提供する情報をもとに、最新版へアップデートするよう呼びかけている。

《ScanNetSecurity》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. デンソーグループ内全従業員に Microsoft SharePoint Online 内のデータの閲覧・ダウンロード権限付与

    デンソーグループ内全従業員に Microsoft SharePoint Online 内のデータの閲覧・ダウンロード権限付与

  2. 大企業の 66.8 %がセキュリティ不備を理由に取引停止や契約更新を見送る しかし取引停止された中小企業は景気悪化等が理由と誤認識

    大企業の 66.8 %がセキュリティ不備を理由に取引停止や契約更新を見送る しかし取引停止された中小企業は景気悪化等が理由と誤認識

  3. Linux カーネルでの TLS プロトコル通信処理の不備に起因する境界外メモリアクセスの脆弱性(Scan Tech Report)

    Linux カーネルでの TLS プロトコル通信処理の不備に起因する境界外メモリアクセスの脆弱性(Scan Tech Report)

  4. 大崎市が情報公開により提供した PDF ファイルの黒塗り加工が特定の操作で除去可能

    大崎市が情報公開により提供した PDF ファイルの黒塗り加工が特定の操作で除去可能

  5. マイページへのアクセスが不可能に ~ カンバスにランサムウェア攻撃

    マイページへのアクセスが不可能に ~ カンバスにランサムウェア攻撃

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP