採用情報

お問い合わせ

BLOG

情報セキュリティ BLOG

Web セキュリティ

2022 年 10 月 26 日

Apache Tomcat に情報漏えいの可能性がある脆弱性、OpenSSL に深刻度「高」の脆弱性が発見される!その対処法とは?

本記事に掲載の内容は、本記事掲載時点での当社調べに基づくものであり、今後各社により変更される可能性があります。あらかじめご了承ください。

Apache Tomcat に Http11Processor インスタンスにおける競合状態による情報漏えいの脆弱性

Apache Tomcat は、Web サーバーソフトウェアで、オープンソースソフトウェア(OSS)の開発プロジェクトを運営する非営利団体である「Apache Software Foundation(Apache ソフトウェア財団)」の支援のもと、開発者のオープンコミュニティによって開発・保守されています。

この Apache Tomcat に誤ったクライアントへのレスポンスを送信してしまう、情報漏えいする可能性がある脆弱性(CVE-2021-43980)が存在することが、2022 年 9 月 30 日に報告されており、脆弱性を悪用されると影響をおよぼす可能性があります。

Apache Tomcat に脆弱性に対応した最新版がすでに公開されています。開発者が提供する情報をもとに常に最新版にアップデートすることが必要です。

 情報漏洩のイメージ画像

【Apache Tomcat の脆弱性による想定される影響は】

脆弱性で攻撃者によって、影響を受ける可能性がある内容は以下のとおりです。

複数のクライアントから接続された場合、Http11Processor のインスタンスを共有していることに起因して、レスポンスのすべてまたはその一部を誤ったクライアントに送信するため、情報が漏えいする可能性がある。

(出典)JPCERT/CC「Apache Tomcat に Http11Processor インスタンスにおける競合状態による情報漏えいの脆弱性

なお、影響を受けるシステムは以下のとおりです。

Apache Tomcat 10.1.0-M1 から 10.1.0-M12 までのバージョン
Apache Tomcat 10.0.0-M1 から 10.0.18 までのバージョン
Apache Tomcat 9.0.0-M1 から 9.0.60 までのバージョン
Apache Tomcat 8.5.0 から 8.5.77 までのバージョン

開発者が提供する情報をもとに、最新版へアップデートしてください。本脆弱性は次のバージョンで修正されています。

Apache Tomcat 10.1.0-M14 およびそれ以降のバージョン
Apache Tomcat 10.0.20 およびそれ以降の以降のバージョン
Apache Tomcat 9.0.62 およびそれ以降の以降のバージョン
Apache Tomcat 8.5.78 およびそれ以降の以降のバージョン

そもそも、Apache Tomcat というのはどのような役割を果たすソフトウェアなのでしょうか?
Apache は、Web サーバー用のソフトウェアのことで、正式名称は、Apache HTTP Server です。
Web サーバーのソフトウェアの中では世界中でもっとも利用されています。Apache HTTP Server も、これまでに脆弱性の存在が公表されており、BLOG:ウェブ関連サービスの脆弱性に注意 で解説しています。
一方、Tomcat は、アプリケーションサーバーで、正式名称は、Apache Tomcat です。Java サーブレットを動作させる際に使用する Web コンテナ(サーブレットコンテナ)というソフトウェアで、簡易的な Web サーバー機能を持っています。

OpenSSL に深刻度「高(High)」の脆弱性が存在

OpenSSL は、SSL プロトコル/TLS プロトコルのオープンソースの開発プロジェクトで、OpenSSL Project によって運営されています。

2022 年 11 月 1 日 に OpenSSL の深刻度「高(High)」の脆弱性の存在が公表されました。今回報告された脆弱性を悪用されるとシステムの運用に影響をおよぼす可能性があります。

この脆弱性に対応した最新版が 11 月 2 日にすでに公開されています。開発者が提供する情報をもとに常に最新版にアップデートすることが必要です。

【この脆弱性による想定される影響は】

脆弱性で攻撃者によって、影響を受ける可能性がある内容は以下のとおりです。

  • システムがサービス運用妨害(DoS)状態にされたり、遠隔からのコード実行が行われたりする
  • システムがサービス運用妨害(DoS)状態にされる

(出典)JPCERT/CC「OpenSSL に複数の脆弱性

OpenSSL の NID_undef を使用したカスタム暗号における NULL 暗号化の脆弱性

OpenSSL に、カスタム暗号作成をサポートする関数において、カスタム暗号を誤って処理することに起因し NULL 暗号化が発生する脆弱性(CVE-2022-3358)が存在することが、2022 年 10 月 13 日に報告されました。2022 年 10 月 12 日に脆弱性に対応した OpenSSL 3.0.6 が公開されましたが、このバージョンに重大な不具合が存在し、この不具合に対応した最新版がすでに公開されています。開発者が提供する情報をもとに常に最新版にアップデートすることが必要です。

対象の関数は既に廃止予定となっているため、開発者は、アプリケーション作成時にカスタム暗号実装のため新しいプロバイダメカニズムの利用を推奨しています。OpenSSL の脆弱性に関する最新情報については、OpenSSL Project で確認することができます。

【この脆弱性による想定される影響は】

脆弱性によって、影響を受ける可能性がある内容は以下のとおりです。

NULL 暗号化が発生すると、暗号文として平文が出力されます。

(出典)JPCERT/CC「OpenSSL の NID_undef を使用したカスタム暗号における NULL 暗号化の脆弱性

OpenSSL における脆弱性については、BLOG:ウェブ関連サービスの脆弱性に注意 で解説していますが、過去にも OpenSSL の脆弱性の代表例としては、「Heartbleed」「POODLE」が発生し、当時大きなニュースになりました。

OpenSSL の脆弱性のイメージ画像

脆弱性への対処方法は?

"BLOG:Apache Log4j の事例から学ぶ脆弱性対策 " や Web セキュリティ関連 BLOG でも解説していますが、恒久的な対応方法は残念ながら存在しません。すべてのソフトウェアに脆弱性が発生しないことを保障することができませんので、利用するサービスやシステムに、どのようなソフトウェア、ミドルウェアやライブラリなどが使用されているかを管理し、脆弱性の存在が発見された場合には、早急に最新版へアップデートすることが重要です。

脆弱性の対策には、脆弱性の見える化を実現する脆弱性管理ソリューション MIRACLE Vul Hammer によって、このようなサイバー攻撃に対応することができます。ゼロディ攻撃には、迅速かつ適切な脆弱性対策が必要なため、検討していただきたいソリューションです。

本記事に関連するリンク
はじめての脆弱性診断をお考えの方へ 脆弱性診断の必要性とは?種類と内容、選び方を解説
CentOS 7 延長サポートサービス
デジタルトランスフォーメーションのための電子認証基盤 iTrust
SSL/TLS サーバー証明書 SureServer Prime