Apache Tomcatの脆弱性、認証バイパスと認可回避のリスクをサーバーにもたらす

Apache Software Foundationは、Apache Tomcatに影響する2件の脆弱性を公開しました。攻撃者はこれらを悪用することで、認証制御を回避し、保護されたリソースへのセキュリティ制約をすり抜ける可能性があります。

これらの脆弱性はCVE-2026-55957およびCVE-2026-55956として追跡されており、複数のサポート対象リリースブランチに影響し、深刻度はそれぞれ「Important(重要)」と「Moderate(中程度)」と評価されています。

より深刻な脆弱性であるCVE-2026-55957は、GSSAPI認証バインドを使用するよう設定されたTomcatのJNDIRealmコンポーネントに存在します。

特定の構成下では、攻撃者が有効な認証情報なしに認証を完全にバイパスし、保護されたリソースへ不正アクセスできる可能性があります。

GSSAPIバインドを用いたLDAPバックエンド認証にJNDIRealmを利用している組織は特にリスクにさらされており、アクセス制御にディレクトリサービスを使用するエンタープライズ環境での影響が懸念されます。本脆弱性はセキュリティ研究者のIlan Toyterによって責任ある開示のプロセスを経て報告されました。

2件目の脆弱性CVE-2026-55956は、Tomcatのデフォルトサーブレットにおけるセキュリティ制約の不適切な適用に関するものです。

管理者が特定のHTTPメソッドや除外メソッドを指定する制約を設定していた場合でも、その制限が暗黙のうちに無視され、制限されていないメソッドを使ったリクエストが本来保護されるべきリソースに到達できてしまいます。

この脆弱性は、メソッドベースの制限を補完的制御手段として活用している管理者にとって特に深刻です。バイパスが成功した場合、デフォルトサーブレットが提供する静的コンテンツへの不正な変更や削除が可能になる恐れがあります。本脆弱性の発見・報告は研究者のj0hndo氏によるものです。

Apache Software Foundationはすでに両脆弱性に対処したパッチ適用済みバージョンをリリースしています。管理者はまず認証バイパスへの影響が大きいCVE-2026-55957のパッチを優先的に適用し、次いでCVE-2026-55956への対応を行うことが推奨されます。

Apache Tomcat 11.0.23以降、10.1.56以降、または9.0.119以降へのアップグレードにより、各リリースブランチにおける両脆弱性が解消されます。

直ちにパッチを適用できない組織は、当面の暫定措置として、GSSAPIバインドを使用するJNDIRealmの設定を監査し、デフォルトサーブレットのセキュリティ制約定義を見直すことが重要です。

Tomcatはエンタープライズ向けJavaアプリケーションスタックで広く採用されているため、パッチ未適用のインスタンスは無差別スキャンから標的型攻撃まで、幅広い攻撃者にとって格好の標的であり続けています。

翻訳元: https://cyberpress.org/apache-tomcat-flaws/

ソース: cyberpress.org