Apache Tomcatにローカル権限昇格の脆弱性、アップデートが必要
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は1月27日、オープンソースのJavaアプリケーションサーバ「Apache Tomcat」に脆弱性が報告され、開発元のApache Software Foundationが修正版をリリースしたと伝えた。この脆弱性を悪用されると、ローカルの攻撃者によってTomcatのプロセスが使用しているユーザーの権限でアクションを実行される可能性がある。
JVNVU#93604797: Apache TomcatにTime-of-check Time-of-use(TOCTOU)競合状態による権限昇格の脆弱性
この脆弱性はCVE-2022-23181として追跡されており、2020年5月に報告されたCVE-2020-9484の脆弱性に対する修正を行った際に混入したものだという。脆弱性の種類はTime-of-check Time-of-use(TOCTOU)と呼ばれるもので、ある条件をチェックしてからその結果を行使するまでの間に、条件に関連する状態が変更されることによる競合状態が原因となって発生する。開発元によると、この問題はTomcatがFileStoreを使用してセッションを永続化するように構成されている場合にのみ悪用可能になるとのことだ。
CVE-2022-23181の影響を受けるバージョンは次のとおり。
Apache Tomcat 10.1.0-M1から10.1.0-M8までのバージョン
Apache Tomcat 10.0.0-M5から10.0.14までのバージョン
Apache Tomcat 9.0.35から9.0.56までのバージョン
Apache Tomcat 8.5.55から8.5.73までのバージョン
それぞれ、次のバージョンにアップデートすることで脆弱性の影響を回避することができる。
Apache Tomcat 10.1.0-M10以降のバージョン
Apache Tomcat 10.0.16以降のバージョン
Apache Tomcat 9.0.58以降のバージョン
Apache Tomcat 8.5.75以降のバージョン
アップデートの詳細は次の脆弱性情報ページにまとめられている。
Fixed in Apache Tomcat 10.1.0-M10 - Apache Tomcat 10 vulnerabilities
Fixed in Apache Tomcat 10.0.16 - Apache Tomcat 10 vulnerabilities
Fixed in Apache Tomcat 9.0.58 - Apache Tomcat 9 vulnerabilities
Fixed in Apache Tomcat 8.5.75 - Apache Tomcat 8 vulnerabilities
![](https://image.news.livedoor.com/newsimage/stf/f/c/fcf12_1223_aabdafce96241da164661f1cae31e023.jpg)
Apache Tomcat 10の脆弱性修正情報
この脆弱性はCVE-2022-23181として追跡されており、2020年5月に報告されたCVE-2020-9484の脆弱性に対する修正を行った際に混入したものだという。脆弱性の種類はTime-of-check Time-of-use(TOCTOU)と呼ばれるもので、ある条件をチェックしてからその結果を行使するまでの間に、条件に関連する状態が変更されることによる競合状態が原因となって発生する。開発元によると、この問題はTomcatがFileStoreを使用してセッションを永続化するように構成されている場合にのみ悪用可能になるとのことだ。
CVE-2022-23181の影響を受けるバージョンは次のとおり。
Apache Tomcat 10.1.0-M1から10.1.0-M8までのバージョン
Apache Tomcat 10.0.0-M5から10.0.14までのバージョン
Apache Tomcat 9.0.35から9.0.56までのバージョン
Apache Tomcat 8.5.55から8.5.73までのバージョン
それぞれ、次のバージョンにアップデートすることで脆弱性の影響を回避することができる。
Apache Tomcat 10.1.0-M10以降のバージョン
Apache Tomcat 10.0.16以降のバージョン
Apache Tomcat 9.0.58以降のバージョン
Apache Tomcat 8.5.75以降のバージョン
アップデートの詳細は次の脆弱性情報ページにまとめられている。
Fixed in Apache Tomcat 10.1.0-M10 - Apache Tomcat 10 vulnerabilities
Fixed in Apache Tomcat 10.0.16 - Apache Tomcat 10 vulnerabilities
Fixed in Apache Tomcat 9.0.58 - Apache Tomcat 9 vulnerabilities
Fixed in Apache Tomcat 8.5.75 - Apache Tomcat 8 vulnerabilities
![](https://image.news.livedoor.com/newsimage/stf/f/c/fcf12_1223_aabdafce96241da164661f1cae31e023.jpg)