Apache Tomcatの脆弱性情報(Important: CVE-2022-25762)

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。

05/13/2021にApache Tomcatの脆弱性情報(Important: CVE-2022-25762)が公開されています。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。




一次情報源

CVE番号 影響するバージョン リファレンス Priority CVSS
CVE-2022-25762 8.5.55 to 8.5.75, 9.0.0.M1 to 9.0.19

Low: Local Privilege Escalation CVE-2022-25762

Vendor: High

Red Hat: 8.6 Important

Red Hat: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-25762
    • リクエストの混合の可能性
    • WebアプリケーションがWebSocketメッセージをWebSocket接続がクローズされるときと同時に送った場合、アプリケーションはクローズされた後でもそのソケットを使用しようとする可能性があります。このケースのエラーハンドルによりプールされたオブジェクトが2回使用される可能性があり、引き続きの接続が同じオブジェクトを同時に使用することによってデータ誤った使われ方になったりエラーになる可能性があります。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください


対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteKatello、Spacewalk等を使うと管理が便利でしょう。

日々のメモを更新しています。

セキュリティ関係ニュースを更新しています。個別で情報出せるようになる前の簡単な情報・リンクなんかも載せていきます。

前へ

rsyslogの脆弱性情報(High: CVE-2022-24903)

次へ

BIND 9の脆弱性情報(High: CVE-2022-1183)と新バージョン(9.16.28, 9.18.3, 9.19.1 )