Apache Tomcat 11.0.0.M14 < 11.0.21 の複数の脆弱性

high Nessus プラグイン ID 307002

Language:

概要

リモートの Apache Tomcat サーバーは、複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされている Tomcat のバージョンは 11.0.21より前です。したがって、fixed_in_apache_tomcat_11.0.21_security-11 アドバイザリに記載されているとおり、複数の脆弱性の影響を受けます。

- Apache Tomcatのクラスタリングコンポーネント用のクラウドメンバーシップにあるログファイルへの秘密情報の挿入の脆弱性により、Kubernetesベアラートークンが漏えいされました。この問題は、次の Apache Tomcat に影響します。11.0.0-M1 から 11.0.20 まで、10.1.0-M1 から 10.1.53 まで、9.0.13 から 9.0.116 まで。ユーザーには、この問題を修正したバージョン 11.0.21、10.1.54、または 9.0.117 へのアップグレードをお勧めします。(CVE-2026-34487)

- ソフトフェイルが無効で、FFM が Apache Tomcat で使用されている場合、CLIENT_CERT 認証は、一部のシナリオで想定通りに失敗しません。この問題は Apache Tomcat に影響を与えます 11.0.0-M14 から 11.0.20、 10.1.53から [ 10.1.22 、 9.0.92 から 9.0.116。ユーザーには、この問題を修正したバージョン 11.0.21、10.1.54、または 9.0.117 へのアップグレードをお勧めします。(CVE-2026-34500)

- EncryptInterceptor のバイパスが可能になる CVE-2026-29146 に対する修正が原因で、Apache Tomcat に機密データの暗号化の欠如の脆弱性が存在します。この問題は Apache Tomcat に影響します 11.0.20、 10.1.53、 9.0.116。ユーザーには、この問題を修正したバージョン 11.0.21、10.1.54、9.0.117 へのアップグレードをお勧めします。
(CVE-2026-34486)

- Apache TomcatのJsonAccessLogValveコンポーネントにおける不適切なエンコードまたは出力のエスケープの脆弱性。この問題は、次の Apache Tomcat に影響します。11.0.0-M1 から 11.0.20 まで、10.1.0-M1 から 10.1.53 まで、9.0.40 から 9.0.116 まで。ユーザーは、この問題を修正するバージョン 11.0.21、 10.1.54 、または 9.0.117 にアップグレードすることが推奨されます。CVE-2026-34483

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。