Apache Tomcatは研究者が暗号化保護をバイパスしたり不正なアクセスを獲得したりできる可能性のある3つの深刻な脆弱性を発見した後、緊急セキュリティアップデートをリリースしました。
Tomcatはエンタープライズのウェブ環境で広く使用されているため、これらの問題はインターネット対応アプリケーションと内部サービスを管理する管理者にとって重要です。
CVE-2026-29146として追跡されている最初の問題は、TomcatのEncryptInterceptorコンポーネントに影響を与えます。
この機能はセッションデータを暗号化して保護するために設計されていますが、研究者はそれがパディングオラクル攻撃に露出する可能性のある方法でCBCモードを使用していることを発見しました。
簡単に言えば、攻撃者は慎重に細工された暗号化データをサーバーに送信し、サーバーがどのように応答するかを研究することができます。時間をかけて、その応答パターンは暗号化トラフィックに隠された機密情報を明らかにすることができます。
この脆弱性は、以下を含むいくつかのTomcatブランチに影響を与えます。
Apacheはこの欠陥を修正しようとしましたが、そのパッチは2番目の問題をもたらしました。
2番目の脆弱性であるCVE-2026-34486は、元の修正が適用された後に発見されました。
つまり、パッチが適用されたバージョンを実行しているシステムは、管理者が保護されていると考えていたかもしれませんが、それでも露出したままになる可能性があります。
この種のフォローアップの欠陥は、防御者に誤った安心感を与える可能性があるため、特に危険です。
問題を部分的にしか解決しないパッチは、それでも暗号化トラフィックを傍受またはタンパリングに対して脆弱なままにする可能性があります。
3番目の問題であるCVE-2026-34500は、Tomcatのクライアント証明書チェック処理に影響を与えます。これは、証明書が失効しているかどうかを確認するのに役立つオンライン証明書ステータスプロトコル(OCSP)に関連しています。
Foreign FunctionとMemory APIを使用する特定の構成では、OCSPチェックが常に意図したとおりに機能しませんでした。ソフトフェイルの動作が無効になっている場合でも、失効したまたは無効な証明書を受け入れることができました。
実際には、不正または失効した証明書を使用している攻撃者が保護されたシステムにアクセスできる可能性があります。
Apacheは、修正されたリリースに直ちにアップグレードすることを推奨しています。
組織は、EncryptInterceptorまたは証明書ベースの認証がデプロイメントで有効になっているかどうかも確認する必要があります。
これらの機能が使用されている場合、パッチングは優先事項として扱われるべきです。管理者は更新をすばやくテストし、疑わしいセッションアクティビティについてログを監視し、デプロイ後に証明書の検証が正しく機能していることを確認する必要があります。
これらの脆弱性は、パッチ管理が迅速で慎重である必要がある理由を示しています。ウェブインフラストラクチャでは、1つの弱い修正が次のセキュリティ問題になる可能性があります。
翻訳元: https://cyberpress.org/apache-tomcat-vulnerability-2/