vs gauge
区分
JVN番号
タイトル
JVN
深刻度
最終更新日
CVE番号
Update
JVNDB-2016-006229

Apache Tomcat に情報漏えいの脆弱性

N/A
2018/02/28 11:53
CVE-2016-8745
JVNDB-2016-006229
Apache Tomcat に情報漏えいの脆弱性
概要
Apache Tomcat には、情報漏えいの脆弱性が存在します。

【2017年1月6日 更新】
Apache Tomcat の NIO HTTP コネクタに含まれているファイル送信コードには、ファイルの送信処理にエラーがあった場合、現在の Processor オブジェクトが Processor キャッシュに複数回追加される問題が存在します。これは、複数のリクエストが同時に処理される場合に同一の Processor が使用される可能性があることを意味します。複数のリクエストの処理に同一の Processor が使用されることで、セッション ID やレスポンス本体などの情報が他のセッションに漏えいする可能性があります。

本脆弱性は Apache Tomcat 8.5.x で発見され、Apache Tomcat 8.5.x において行われた Connector コードのリファクタリングで作りこまれたものであると考えられていましたが、開発者によるさらなる調査の結果、現在サポートされているすべてのバージョンの Apache Tomcat に本脆弱性が存在することが判明しています。
想定される影響と対策
通信内容が漏えいする可能性があります。
[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 開発者は本脆弱性の対策版として、次のバージョンをリリースしています。   Apache Tomcat 9.0.0.M15   Apache Tomcat 8.5.9 【2017年1月6日 追記】 開発者は、追加で次の対策バージョンをリリースします。 対策バージョンがリリースされ次第、最新版へアップデートしてください。   * Apache Tomcat 8.0.40   * Apache Tomcat 7.0.74   * Apache Tomcat 6.0.49
JVN情報 ※( )内はCVSS v2の値
深刻度 N/A
CVECVE-2016-8745
公表日2016/12/14 00:00
登録日2016/12/15 17:18
更新日2018/02/28 11:53
CVSS v3情報
全ての情報を閲覧するにはユーザー登録(無料)またはログインが必要です。