【注意喚起】Apache Tomcat に複数の深刻な脆弱性 ~ 早急なアップデートを推奨
2025年6月24日更新|出典:IPA / JPCERT/CC / JVN
IPA(情報処理推進機構)およびJPCERT/CCは6月17日、Apache Tomcatにおける複数の脆弱性(CVE-2025-49124、CVE-2025-49125)についてJVN(Japan Vulnerability Notes)で注意喚起を行いました。いずれも任意コード実行やセキュリティ制約の回避につながる恐れがあり、速やかなバージョンアップが必要です。
目次
■ 主な脆弱性の概要
🔹 CVE-2025-49124:Windows環境におけるDLLサイドローディング
- 対象:TomcatのWindowsインストーラー
- 問題:
icacls.exeの読み込み時にDLLサイドローディングが発生 - 影響:悪意あるDLLを読み込ませることで任意のコードを実行可能
🔹 CVE-2025-49125:リソース制御の不備
- 対象:PreResources / PostResourcesがWebアプリのルート以外に配置されている構成
- 問題:Tomcatのセキュリティ制約が一部バイパス可能
- 影響:本来アクセス制限されたリソースへの不正アクセスが発生する恐れ
■ 影響を受けるバージョン
| 系列 | 影響を受けるバージョン | 修正済みバージョン |
|---|---|---|
| Tomcat 11系 | 11.0.0-M1 ~ 11.0.7 | 11.0.8 以降 |
| Tomcat 10系 | 10.1.0(M1含む) ~ 10.1.41 | 10.1.42 以降 |
| Tomcat 9系 | 9.0.0.M1 ~ 9.0.105 | 9.0.106 以降 |
■ 対応方法と推奨アクション
- 対象バージョンを利用している場合は、速やかに最新版へアップデートしてください。
- 特にWindows環境でTomcatを利用している開発・運用部門では、インストーラー経由のセットアップを含めた確認が必要です。
- セキュリティ制約設定を使用しているWebアプリについても、PreResourcesやPostResourcesの配置状況を確認し、不正アクセスの可能性を排除してください。
■ 参考リンク
本件はリモートからの攻撃が成立する可能性があるため、インターネット公開サーバーでは特に注意が必要です。情報システム部門および開発部門においては、関係者への周知とアップデートの徹底をお願いします。
引用元記事:https://scan.netsecurity.ne.jp/article/2025/06/19/53074.html
