JPCERTコーディネーションセンター(JPCERT/CC)は2月25日、「Apache Tomcat の脆弱性 (CVE-2020-1938) に関する注意喚起」において、Apache Tomcatに脆弱性が存在すると伝えた。この脆弱性を悪用されると、情報が窃取されたり、リモートからコードが実行されたりする危険性があるとされており注意が必要。

脆弱性に関する情報は次のページからたどることができる。

CVE-2020-1938 AJP Request Injection and potential Remote Code Execution

CVE-2020-1938 AJP Request Injection and potential Remote Code Execution

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

Apache Tomcat 9.0.0.M1 から 9.0.30 までのバージョン

Apache Tomcat 8.5.0 から 8.5.50 までのバージョン

Apache Tomcat 7.0.0 から 7.0.99 までのバージョン

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

Apache Tomcat 9.0.31

Apache Tomcat 8.5.51

Apache Tomcat 7.0.100

JPCERT/CCは、アップデートの実施が難しい場合は回避策の実施を検討することを推奨している。なお、アップデートと回避策を併用することで、システムをより堅牢化することができるとしている。