FAMLog

2023年2月に公開されたApache Tomcat 8.5.86、Apache Tomcat 9.0.72およびApache Tomcat 10.1.6ではセキュリティ脆弱性が修正されています。

Apache Tomcat 8.5.86、Apache Tomcat 9.0.72およびApache Tomcat 10.1.6では、httpsが設定されたX-Forwarded-Protoヘッダーを含むリクエストをHTTP経由でリバースプロキシから受信し、RemoteIpFilterを使用している場合において、Apache Tomcatが作成するセッションCookieにSecure属性が含まれない問題（CVE-2023-28708）が修正されています。

なお、Apache Tomcat 10.0系列は2022年10月にサポートが終了しており、現在Apache Tomcat 10.0系列を利用している場合にはApache Tomcat 10.1系列へのアップグレードが推奨されています。

［関連］JVNVU#90635957: Apache Tomcatにおける保護されていない認証情報の送信の脆弱性（Japan Vulnerability Notes）