30秒で判断
対応すべき人:
- Apache Tomcat 9.0.83〜9.0.118, 10.1.0-M7〜10.1.55, 11.0.0-M1〜11.0.22 を使用している
- かつ、FFM (Foreign Function and Memory) based connector で TLS を設定している
- かつ、CRL(証明書失効リスト)を使用してクライアント証明書を検証している
対応不要な人(skipIf):
- Apache Tomcat を使用していない
- 修正済みバージョン(9.0.119+, 10.1.56+, 11.0.23+)を使用している
- JSSE connector(デフォルト)のみを使用しており FFM connector を使用していない
- CRL によるクライアント証明書失効チェックを設定していない
確認コマンド:
# Tomcatバージョン確認
$CATALINA_HOME/bin/version.sh
# または
java -cp $CATALINA_HOME/lib/catalina.jar org.apache.catalina.util.ServerInfo
概要
Apache Tomcat において、FFM(Foreign Function and Memory)ベースのコネクターでCRL(Certificate Revocation List: 証明書失効リスト)を設定している場合、CRLに関連するエラーが検出されても処置なしで処理が継続してしまう脆弱性(CWE-390: 検出エラーへのアクション欠如)です。
本来、失効した証明書を提示したクライアントのTLS接続は拒否されるべきですが、本脆弱性によりエラーが無視されて接続が継続し、失効した証明書でも認証が通ってしまう可能性があります。クライアント証明書認証を使用しているシステムで、失効した証明書を持つ攻撃者がアクセスできてしまうリスクがあります。
なお、同日公開の CVE-2026-55276 (CVSS 9.1) も関連する Apache Tomcat の脆弱性です。こちらは web.xml の実効設定ログ出力時に特殊ロールと空の認可制約が含まれないという問題で、Tomcat 8.5.x を含むより広いバージョン範囲(8.5.0〜8.5.100, 9.0.0-9.0.118, 10.1.0-10.1.55, 11.0.0-11.0.22)が影響を受けます。
CVSSベクトル
| 項目 | 値 | 意味 |
|---|---|---|
| Attack Vector (AV) | N (Network) | ネットワーク経由で攻撃可能 |
| Attack Complexity (AC) | L (Low) | 特殊条件不要 |
| Privileges Required (PR) | N (None) | 認証不要(失効証明書を持つ攻撃者) |
| User Interaction (UI) | N (None) | ユーザー操作不要 |
| Scope (S) | U (Unchanged) | スコープ変更なし |
| Confidentiality (C) | H (High) | 認証バイパスによる情報漏洩 |
| Integrity (I) | N (None) | 直接的な整合性への影響なし |
| Availability (A) | N (None) | 可用性への直接影響なし |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン | 修正バージョン |
|---|---|---|---|
| Apache Tomcat | Apache Software Foundation | 9.0.83〜9.0.118 | 9.0.119 |
| Apache Tomcat | Apache Software Foundation | 10.1.0-M7〜10.1.55 | 10.1.56 |
| Apache Tomcat | Apache Software Foundation | 11.0.0-M1〜11.0.22 | 11.0.23 |
CVE-2026-55276 についてはさらに 8.5.0〜8.5.100 も影響範囲に含まれます(8.5.x はサポート対象外の場合があります)。
修正バージョンと回避策
修正:
- Tomcat 9.x: 9.0.119 以降へアップデート
- Tomcat 10.1.x: 10.1.56 以降へアップデート
- Tomcat 11.x: 11.0.23 以降へアップデート
回避策:
- FFM connector の使用をやめ JSSE connector に切り替える
- CRL の代わりに OCSP(Online Certificate Status Protocol)を使用することを検討する
関連リンク
- Apache Security Advisory (CVE-2026-53434)
- Apache Security Advisory (CVE-2026-55276)
- oss-security ML (CVE-2026-53434)
- oss-security ML (CVE-2026-55276)
データソース: NVD (NIST), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
