Apache Software Foundationは、新たに開示された3つの脆弱性に対処するため、Apache Tomcatの重大なセキュリティ更新をリリースしました。
Apache Tomcatは広く導入されているオープンソースウェブサーバーであるため、これらの脆弱性は多くのエンタープライズ環境に重大なリスクをもたらします。
新たに発見された脆弱性により、攻撃者は暗号化通信を危険にさらし、不完全なパッチを悪用し、クライアント証明書認証をバイパスする可能性があります。
システム管理者は、公式勧告を確認し、ウェブインフラストラクチャを保護するために必要なパッチを適用することを強く求められています。
CVE-2026-29146 EncryptInterceptor パディングオラクル攻撃
Oligo SecurityのセキュリティリサーチャーUri KatzとAvi Lumelskyが発見したApache TomcatのEncryptInterceptorにおける重要度の高い脆弱性。
デフォルトでは、このコンポーネントはCipherBlockChaining(CBC)モードを使用していたため、サーバーは意図せずパディングオラクル攻撃にさらされていました。
簡単に言えば、パディングオラクル攻撃により、悪意のあるアクターは、不正なパディングを持つデータリクエストに対するサーバーの応答を分析することで、傍受されたトラフィックを徐々に復号化できます。
この暗号化の弱点により、攻撃者は暗号化されたセッションデータを操作できるようになります。この脆弱性は、以下のApache Tomcatバージョンに影響します:
- Apache Tomcat 11.0.0-M1~11.0.18
- Apache Tomcat 10.1.0-M1~10.1.52
- Apache Tomcat 9.0.13~9.0.115
CVE-2026-34486 EncryptInterceptor バイパス脆弱性
開発者がパディングオラクル脆弱性にパッチを当てようとしましたが、彼らのコードのエラーにより、新たな重要度の高い問題が導入されました。
striga.aiのBartlomiej Dmitrukによって特定されたこの後続の脆弱性により、攻撃者はEncryptInterceptorを完全にバイパスできます。
CVE-2026-29146の初期セキュリティ修正に欠陥があったため、特定のパッチ適用済みリリースを実行しているシステムは、トラフィック傍受および改ざんのリスクにさらされたままです。
これは、不完全な修正が特定された場合に、2次パッチを迅速に展開することの重要性を強調しています。以下のバージョンには、このバイパス脆弱性が含まれています:
- Apache Tomcat 11.0.20
- Apache Tomcat 10.1.53
- Apache Tomcat 9.0.116
CVE-2026-34500 OCSP ソフトフェイル認証バイパス
3番目の脆弱性は、早稲田大学のHaruki Oyamaによって発見されたもので、中程度の重要度を持ち、デジタル証明書検証に関係しています。
Online Certificate Status Protocol(OCSP)チェックは、クライアント証明書が失効したかどうかを検証するために設計されています。
ただし、Foreign Function&Memory API(FFM)が使用され、ソフトフェイル機能が明示的に無効化された場合、これらのチェックは引き続き時々ソフトフェイルする可能性があります。
その結果、クライアント証明書認証は誤ってポテンシャルに無効な証明書を信頼し、予想どおりに不正アクセスをブロックできませんでした。この認証バイパスは、以下のバージョンに影響します:
- Apache Tomcat 11.0.0-M14~11.0.20
- Apache Tomcat 10.1.22~10.1.53
- Apache Tomcat 9.0.92~9.0.116
3つすべての脆弱性を解決するために、Apache Software Foundationはユーザーがサーバー環境を直ちにアップグレードすることを強く推奨しています。
システム管理者は、現在のリリースブランチに応じて、Apache Tomcatバージョン11.0.21、10.1.54、または9.0.117にアップグレードする必要があります。
これらの最新ソフトウェアリリースを実装することで、EncryptInterceptorが安全に機能し、クライアント証明書認証が厳密に構成されたとおりに動作することが保証されます。
翻訳元: https://gbhackers.com/apache-tomcat-flaws-2/
