JPCERT-AT-2020-0045
JPCERT/CC
2020-12-04
Apache Software Foundation
CVE-2020-17527 Apache Tomcat HTTP/2 Request header mix-up
https://lists.apache.org/thread.html/rce5ac9a40173651d540babce59f6f3825f12c6d4e886ba00823b11e5%40%3Cannounce.tomcat.apache.org%3E
- Apache Tomcat 10.0.0-M1 から 10.0.0-M9
- Apache Tomcat 9.0.0.M1 から 9.0.39
- Apache Tomcat 8.5.0 から 8.5.59
- Apache Tomcat 10.0.0-M10
- Apache Tomcat 9.0.40
- Apache Tomcat 8.5.60
Apache Software Foundation
CVE-2020-17527 Apache Tomcat HTTP/2 Request header mix-up
https://lists.apache.org/thread.html/rce5ac9a40173651d540babce59f6f3825f12c6d4e886ba00823b11e5%40%3Cannounce.tomcat.apache.org%3E
Apache Software Foundation
Fixed in Apache Tomcat 10.0.0-M10
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M10
Apache Software Foundation
Fixed in Apache Tomcat 9.0.40
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.40
Apache Software Foundation
Fixed in Apache Tomcat 8.5.60
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.60
今回の件につきまして提供いただける情報がございましたら、JPCERT/CC までご連絡ください。
一般社団法人JPCERTコーディネーションセンター (JPCERT/CC)
早期警戒グループ
MAIL: ew-info@jpcert.or.jp
JPCERT/CC
2020-12-04
I. 概要
Apache Software Foundation は、2020年12月3日 (米国時間) に Apache Tomcatの脆弱性 (CVE-2020-17527) に関する情報を公開しました。Apache Tomcat では、HTTP/2 接続におけるコネクション内でのストリーム送受信の際に、前のストリームのリクエストヘッダー値が、それに続くストリームのリクエストヘッダー値に再利用されてしまうことにより、他のストリームの情報が漏えいする可能性があります。Apache Software Foundation
CVE-2020-17527 Apache Tomcat HTTP/2 Request header mix-up
https://lists.apache.org/thread.html/rce5ac9a40173651d540babce59f6f3825f12c6d4e886ba00823b11e5%40%3Cannounce.tomcat.apache.org%3E
II. 対象
対象となる製品とバージョンは次のとおりです。- Apache Tomcat 10.0.0-M1 から 10.0.0-M9
- Apache Tomcat 9.0.0.M1 から 9.0.39
- Apache Tomcat 8.5.0 から 8.5.59
III. 対策
Apache Software Foundation より、修正済みのバージョンが提供されています。修正済みのバージョンを適用することをご検討ください。- Apache Tomcat 10.0.0-M10
- Apache Tomcat 9.0.40
- Apache Tomcat 8.5.60
IV. 参考情報
Apache Software Foundation
CVE-2020-17527 Apache Tomcat HTTP/2 Request header mix-up
https://lists.apache.org/thread.html/rce5ac9a40173651d540babce59f6f3825f12c6d4e886ba00823b11e5%40%3Cannounce.tomcat.apache.org%3E
Apache Software Foundation
Fixed in Apache Tomcat 10.0.0-M10
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M10
Apache Software Foundation
Fixed in Apache Tomcat 9.0.40
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.40
Apache Software Foundation
Fixed in Apache Tomcat 8.5.60
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.60
今回の件につきまして提供いただける情報がございましたら、JPCERT/CC までご連絡ください。
一般社団法人JPCERTコーディネーションセンター (JPCERT/CC)
早期警戒グループ
MAIL: ew-info@jpcert.or.jp