2024年11月発表のApache Tomcatの複数の脆弱性への対応はVer.6.1.9をご利用ください

2024年11月20日にJVNでもApache Tomcatの複数の脆弱性が報告されました。
（→ https://jvn.jp/vu/JVNVU90271471/ )

転載にはなりますが以下の脆弱性が報告されています。

1. 認証プロセス中に失敗を示すHTTPステータスを明示的に設定せずに例外をスローするようなカスタマイズをされたJakarta Authentication（旧称JASPIC）ServerAuthContextコンポーネントを使用するように設定している場合、認証プロセスをバイパスされる問題（CVE-2024-52316）
2. HTTP/2リクエストで使用されるリクエストおよびレスポンスの不適切なリサイクルの問題（CVE-2024-52317）
3. プールされたJSPタグが使用後に解放されず、一部のタグの出力がエスケープされなくなる問題（CVE-2024-52318）

執筆時点のOnTimeのバージョンはVer.6.1.9です。
Ver.6.1.8a(2024年10月14日リリース)で既にTomcatのバージョンは10.1.31をバンドルし、CVE-2024-52316及びCVE-2024-52317については対処されたバージョンとなります。
また、3つめのCVE-2024-52318についてですが、OnTimeはJSPを利用していませんのでこの脆弱性の影響を受けません。

もし旧バージョンのOnTimeをご利用のお客様におかれましては、早急に最新バージョンをご利用になるか個別の対策を講じるよう推奨いたします。