つみかさね

CVE-2026-53434

Critical(9.1)

Apache TomcatのCRL検出エラー CVE-2026-53434:影響範囲と対応方法

公開日: 2026-07-04データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Apache TomcatApache Software Foundation9.0.83〜9.0.118 / 10.1.0-M7〜10.1.55 / 11.0.0-M1〜11.0.22

対応ガイド

high|対応必須セキュリティ修正影響: 限定的

推奨アクション

  1. 1Apache Tomcat のバージョンを確認する
  2. 2影響バージョン(9.0.83〜9.0.118 / 10.1.0-M7〜10.1.55 / 11.0.0-M1〜11.0.22)を使用している場合、FFM connector と CRL の使用有無を確認する
  3. 3FFM connector で CRL を使用している場合、修正バージョン(9.0.119 / 10.1.56 / 11.0.23)へアップデートする
  4. 4CVE-2026-55276 についても同じ修正バージョンが対象のため、同時に対処する

影響対象

Apache Tomcat 9.x/10.x/11.x利用者FFM connectorとCRLを使用しているTomcat環境の管理者

補足

  • -JSSE connector を使用している場合(デフォルト設定)は CVE-2026-53434 の影響を受けません
  • -CRL を設定していない場合も影響を受けません
  • -CVE-2026-55276 は 8.5.x にも影響するため、8.5.x を使用している場合は特に注意が必要です(8.5系はサポート状況を確認してください)
CVEApache TomcatTLS証明書失効CRLJava

30秒で判断

対応すべき人:

  • Apache Tomcat 9.0.83〜9.0.118, 10.1.0-M7〜10.1.55, 11.0.0-M1〜11.0.22 を使用している
  • かつ、FFM (Foreign Function and Memory) based connector で TLS を設定している
  • かつ、CRL(証明書失効リスト)を使用してクライアント証明書を検証している

対応不要な人(skipIf):

  • Apache Tomcat を使用していない
  • 修正済みバージョン(9.0.119+, 10.1.56+, 11.0.23+)を使用している
  • JSSE connector(デフォルト)のみを使用しており FFM connector を使用していない
  • CRL によるクライアント証明書失効チェックを設定していない

確認コマンド:

# Tomcatバージョン確認
$CATALINA_HOME/bin/version.sh
# または
java -cp $CATALINA_HOME/lib/catalina.jar org.apache.catalina.util.ServerInfo

概要

Apache Tomcat において、FFM(Foreign Function and Memory)ベースのコネクターでCRL(Certificate Revocation List: 証明書失効リスト)を設定している場合、CRLに関連するエラーが検出されても処置なしで処理が継続してしまう脆弱性(CWE-390: 検出エラーへのアクション欠如)です。

本来、失効した証明書を提示したクライアントのTLS接続は拒否されるべきですが、本脆弱性によりエラーが無視されて接続が継続し、失効した証明書でも認証が通ってしまう可能性があります。クライアント証明書認証を使用しているシステムで、失効した証明書を持つ攻撃者がアクセスできてしまうリスクがあります。

なお、同日公開の CVE-2026-55276 (CVSS 9.1) も関連する Apache Tomcat の脆弱性です。こちらは web.xml の実効設定ログ出力時に特殊ロールと空の認可制約が含まれないという問題で、Tomcat 8.5.x を含むより広いバージョン範囲(8.5.0〜8.5.100, 9.0.0-9.0.118, 10.1.0-10.1.55, 11.0.0-11.0.22)が影響を受けます。


CVSSベクトル

項目意味
Attack Vector (AV)N (Network)ネットワーク経由で攻撃可能
Attack Complexity (AC)L (Low)特殊条件不要
Privileges Required (PR)N (None)認証不要(失効証明書を持つ攻撃者)
User Interaction (UI)N (None)ユーザー操作不要
Scope (S)U (Unchanged)スコープ変更なし
Confidentiality (C)H (High)認証バイパスによる情報漏洩
Integrity (I)N (None)直接的な整合性への影響なし
Availability (A)N (None)可用性への直接影響なし

影響を受けるソフトウェア

製品ベンダー影響バージョン修正バージョン
Apache TomcatApache Software Foundation9.0.83〜9.0.1189.0.119
Apache TomcatApache Software Foundation10.1.0-M7〜10.1.5510.1.56
Apache TomcatApache Software Foundation11.0.0-M1〜11.0.2211.0.23

CVE-2026-55276 についてはさらに 8.5.0〜8.5.100 も影響範囲に含まれます(8.5.x はサポート対象外の場合があります)。


修正バージョンと回避策

修正:

  • Tomcat 9.x: 9.0.119 以降へアップデート
  • Tomcat 10.1.x: 10.1.56 以降へアップデート
  • Tomcat 11.x: 11.0.23 以降へアップデート

回避策:

  • FFM connector の使用をやめ JSSE connector に切り替える
  • CRL の代わりに OCSP(Online Certificate Status Protocol)を使用することを検討する

関連リンク


データソース: NVD (NIST), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。