JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は1月27日、オープンソースのJavaアプリケーションサーバ「Apache Tomcat」に脆弱性が報告され、開発元のApache Software Foundationが修正版をリリースしたと伝えた。この脆弱性を悪用されると、ローカルの攻撃者によってTomcatのプロセスが使用しているユーザーの権限でアクションを実行される可能性がある。

JVNVU#93604797: Apache TomcatにTime-of-check Time-of-use(TOCTOU)競合状態による権限昇格の脆弱性

この脆弱性はCVE-2022-23181として追跡されており、2020年5月に報告されたCVE-2020-9484の脆弱性に対する修正を行った際に混入したものだという。脆弱性の種類はTime-of-check Time-of-use(TOCTOU)と呼ばれるもので、ある条件をチェックしてからその結果を行使するまでの間に、条件に関連する状態が変更されることによる競合状態が原因となって発生する。開発元によると、この問題はTomcatがFileStoreを使用してセッションを永続化するように構成されている場合にのみ悪用可能になるとのことだ。

CVE-2022-23181の影響を受けるバージョンは次のとおり。

Apache Tomcat 10.1.0-M1から10.1.0-M8までのバージョン

Apache Tomcat 10.0.0-M5から10.0.14までのバージョン

Apache Tomcat 9.0.35から9.0.56までのバージョン

Apache Tomcat 8.5.55から8.5.73までのバージョン

それぞれ、次のバージョンにアップデートすることで脆弱性の影響を回避することができる。

Apache Tomcat 10.1.0-M10以降のバージョン

Apache Tomcat 10.0.16以降のバージョン

Apache Tomcat 9.0.58以降のバージョン

Apache Tomcat 8.5.75以降のバージョン

アップデートの詳細は次の脆弱性情報ページにまとめられている。

Fixed in Apache Tomcat 10.1.0-M10 - Apache Tomcat 10 vulnerabilities

Fixed in Apache Tomcat 10.0.16 - Apache Tomcat 10 vulnerabilities

Fixed in Apache Tomcat 9.0.58 - Apache Tomcat 9 vulnerabilities

Fixed in Apache Tomcat 8.5.75 - Apache Tomcat 8 vulnerabilities

Apache Tomcat 10の脆弱性修正情報