Crowd Data Center org.apache.tomcat:tomcat-catalina Dependency と脆弱な認証とセッションの管理の脆弱性 (CVE-2024-50379/CVE-2024-56337/CVE-2024-52316) 日本語訳
- Hanayo Minamisawa [Ricksoft]
この記事は Atlassian 社のセキュリティ速報や Atlassian 社への問合せ回答の情報を元に作成したものです。(2025年2月20日時点の情報です)
Security Bulletin - February 18 2025 | Atlassian Support | Atlassian Documentation
本記事の CVSS 深刻度が”Critical” である脆弱性は Atlassian 製品外の Tomcat の Dependency です。Atlassian 製品でこれらの Dependency はリスクが低いと評価されたため今回はアドバイザリーを公開せず月次 Security Bulletin にて公開しています。
脆弱な認証とセッションの管理 - CVE-2024-52316
要約 | 認証とセッション管理の脆弱性 |
|---|---|
Bulletin のリリース日 | Feb 19, 2025 午前3時 (JST) |
対象製品 |
|
CVE ID(s) |
|
脆弱性の概要
BASM (Broken Authentication & Session Management) によって認証されいていない攻撃者によって環境内の資産を公開される可能性があり、機密性、完全性、可用性に大きな影響を与えます。
深刻度
Atlassian 社は、セキュリティ問題の深刻度 を元に本脆弱性の深刻度を 重大 (Critical) と評価しています。
脆弱性の説明
Crowd Data Center および Crowd Server では Jakarta認証を利用してないため CVE-2024-52316 の影響を受けておりません。
影響を受けるバージョン
本脆弱性は Crowd Data Center および Crowd Server の 5.3.0、6.0.1、6.1.0 および 6.2.0 に含まれるモジュールに影響します。
必要なアクション
対応策
Atlassian 社は最新のバージョンまたは以下の修正済みバージョンにバージョンアップすることを推奨しています。
修正済みバージョン
Crowd プラットフォームリリース | Bug fix リリース |
|---|---|
Crowd Data Center and Server 6.0.x | 6.0.7 以降のバージョン |
Crowd Data Center and Server 6.1.x | 6.1.4 以降のバージョン |
Crowd Data Center and Server 6.2.x | 6.2.2 以降のバージョン |
org.apache.tomcat:tomcat-catalina Dependency 脆弱性 - CVE-2024-50379
要約 | Crowd Data Center and Server org.apache.tomcat:tomcat-catalina Dependency 脆弱性 |
|---|---|
Bulletin のリリース日 | Feb 19, 2025 午前3時 (JST) |
対象製品 | Crowd Server/Data Center |
CVE ID(s) | CVE-2024-50379 |
脆弱性の概要
この org.apache.tomcat:tomcat-catalina 依存関係の脆弱性は、Crowd Data Center および Server のバージョン 6.1.0、および6.2.0で導入されました。
RCE (Remote Code Execution)を利用した認証されいていない攻撃者によって環境内の資産を公開される可能性があり、機密性、完全性、可用性に大きな影響を与えます。
深刻度
Atlassian 社は、セキュリティ問題の深刻度 を元に本脆弱性の深刻度を 重大 (Critical) と評価しています。
脆弱性の説明
次の条件をすべて満たす環境上で Crowd を稼働した場合に当該脆弱性の影響を受けます。
<install_path>/apache-tomcat/conf/web.xml で、DefaultServlet の readonly 属性が明示的に false に設定されている(これはデフォルトの構成ではありません)。
オペレーティング システムが 大文字と小文字を区別しないファイル システムを採用している (デフォルト状態のMac OS X や Windows など)。
影響を受けるバージョン
本脆弱性は Crowd Data Center および Crowd Server の 6.1.0 および 6.2.0 に影響します。
必要なアクション
対応策
Atlassian 社は最新のバージョンまたは以下の修正済みバージョンにバージョンアップすることを推奨しています。
修正済みバージョン
Crowd プラットフォームリリース | Bug fix リリース |
|---|---|
Crowd Data Center and Server 6.1.x | 6.1.4 以降のバージョン |
Crowd Data Center and Server 6.2.x | 6.2.2 以降のバージョン |
org.apache.tomcat:tomcat-catalina Dependency 脆弱性(CVE-2024-50379)の追加情報 - CVE-2024-56337
脆弱性の概要
CVE-2024-50379 の緩和策が不十分であったため、大文字と小文字を区別しないファイルシステム上で、かつDefaultServlet の readonly 属性が明示的に false に設定してTomcatを実行している場合、追加の設定が必要となる可能性がありました。Java バージョン 21 以降でこの追加設定は不要となりました。
深刻度
Atlassian 社は、セキュリティ問題の深刻度 を元に本脆弱性の深刻度を 重大 (Critical) と評価しています。
影響を受けるバージョン
本脆弱性は Crowd Data Center および Crowd Server 6.2.0 に影響します。
必要なアクション
対応策
Atlassian 社は最新のバージョンまたは以下の修正済みバージョンにバージョンアップすることを推奨しています。
Crowd プラットフォームリリース | Bug fix リリース |
|---|---|
Crowd Data Center and Server 6.2.x | 6.2.2 以降のバージョン |
リックソフト株式会社 は、日本でトップレベルのAtlassian Platinum Solution Partnerです。
大規模ユーザーへの対応実績が認められたEnterpriseの認定をうけ、高度なトレーニング要件をクリアし、小規模から大規模のお客様まで対応可能な実績を示したパートナー企業です。
Copyright © Ricksoft Co., Ltd. プライバシーポリシー お問い合わせ