SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

CodeZineニュース

米Apache、アプリケーションサーバ「Tomcat」の脆弱性について警告

  • X ポスト
  • このエントリーをはてなブックマークに追加

  • X ポスト
  • このエントリーをはてなブックマークに追加

 米Apache Software Foundationは、9月10日(現地時間)に、同社のアプリケーションサーバ「Tomcat」のバージョン7.0.0~7.0.39に、リモートコード実行の脆弱性があると発表し、注意を喚起している。

 対象バージョンのTomcatでは、非常に限定された環境においてのみの発生ではあるものの、攻撃者が悪意のあるJSPをアップロードして、リモートから実行可能な脆弱性が発見された。

 以下の条件を満たした環境では、脆弱性を利用した攻撃が成功する。

  • Oracle Java 1.7.0 update 25以前(または、java.ioパッケージにnullバイト攻撃への対策が行われていないJava実装)
  • Tomcat 7.0.0~7.0.3でWebアプリケーションを実行
  • WebアプリケーションがServlet 3.0のファイルアップロード機能を使用
  • WebアプリケーションがTomcatプロセスのユーザーによる書き込みを許可(これはTomcatのセキュリティドキュメントでの推奨には反する)
  • カスタムJMX接続(デフォルトでは許可されないJMX接続など)のリスナーを設定しており、Tomcatの一般的なクラスローダーからクラスをロードしている
  • カスタムJMXリスナーがローカルホスト以外のアドレスと紐付けされている(なお、ローカルホストと紐付けされている場合でも、ローカルでの攻撃は成功する)

 この脆弱性への対応策は、以下の通り。

  • Oracle Java 1.7.0 update 40以降へのアップグレード(またはjava.ioパッケージへのnullバイト攻撃に対する対策が施されているJava実装へのアップグレード)
  • OSによる適切なパーミッション設定
  • カスタムJMXリスナーの無効化
  • Tomcat 7.0.40以降へのアップグレード


【関連リンク】
The Apache Software Foundation(英語)
「Tomcat」(英語)

この記事は参考になりましたか?

  • X ポスト
  • このエントリーをはてなブックマークに追加
この記事の著者

CodeZine編集部(コードジンヘンシュウブ)

CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

  • X ポスト
  • このエントリーをはてなブックマークに追加
CodeZine(コードジン)
https://codezine.jp/article/detail/8107 2014/09/11 19:35

おすすめ

アクセスランキング

アクセスランキング

イベント

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング