CodeZine(コードジン)

特集ページ一覧

米Apache、アプリケーションサーバ「Tomcat」の脆弱性について警告

  • ブックマーク
  • LINEで送る
  • このエントリーをはてなブックマークに追加
2014/09/11 19:35

 米Apache Software Foundationは、9月10日(現地時間)に、同社のアプリケーションサーバ「Tomcat」のバージョン7.0.0~7.0.39に、リモートコード実行の脆弱性があると発表し、注意を喚起している。

 対象バージョンのTomcatでは、非常に限定された環境においてのみの発生ではあるものの、攻撃者が悪意のあるJSPをアップロードして、リモートから実行可能な脆弱性が発見された。

 以下の条件を満たした環境では、脆弱性を利用した攻撃が成功する。

  • Oracle Java 1.7.0 update 25以前(または、java.ioパッケージにnullバイト攻撃への対策が行われていないJava実装)
  • Tomcat 7.0.0~7.0.3でWebアプリケーションを実行
  • WebアプリケーションがServlet 3.0のファイルアップロード機能を使用
  • WebアプリケーションがTomcatプロセスのユーザーによる書き込みを許可(これはTomcatのセキュリティドキュメントでの推奨には反する)
  • カスタムJMX接続(デフォルトでは許可されないJMX接続など)のリスナーを設定しており、Tomcatの一般的なクラスローダーからクラスをロードしている
  • カスタムJMXリスナーがローカルホスト以外のアドレスと紐付けされている(なお、ローカルホストと紐付けされている場合でも、ローカルでの攻撃は成功する)

 この脆弱性への対応策は、以下の通り。

  • Oracle Java 1.7.0 update 40以降へのアップグレード(またはjava.ioパッケージへのnullバイト攻撃に対する対策が施されているJava実装へのアップグレード)
  • OSによる適切なパーミッション設定
  • カスタムJMXリスナーの無効化
  • Tomcat 7.0.40以降へのアップグレード


【関連リンク】
The Apache Software Foundation(英語)
「Tomcat」(英語)

  • ブックマーク
  • LINEで送る
  • このエントリーをはてなブックマークに追加
All contents copyright © 2005-2020 Shoeisha Co., Ltd. All rights reserved. ver.1.5