公開日:2005/09/30 最終更新日:2008/06/26

JVN#79314822
Tomcat におけるリクエスト処理に関する脆弱性

概要

Java Servlet と JavaServer Pages のサーバ実装である Apache Tomcat には、特定のリクエストが適切に処理されない脆弱性が存在します。

影響を受けるシステム

以下のいずれかに当てはまるシステム

  • Apache Tomcat 4.1.36 およびそれ以前で AJP 1.3 Connector (org.apache.ajp.tomcat4.Ajp13Connector) を用いて Web サーバと連携させている場合
  • Apache Tomcat 4.1.29 およびそれ以前、あるいは Apache Tomcat 5.0.16 およびそれ以前で、Web サーバと連携させている場合 (Connector の種類問わず)

詳細情報

Apache Tomcat には、特定のリクエストが適切に処理されない脆弱性が存在します。

The Apache Software Foundation は AJP 1.3 Connector を現状サポートしておらず、代わりに Coyote JK Connector を使用することを推奨しています。また、Tomcat 4.x から 5.x へのアップグレードについても推奨しています。

Apache Tomcat を Web サーバと連携させる際に AJP 1.3 Connector 以外のコネクタを使用することで、本脆弱性の影響を回避できます。Apache Tomcat では、他のコネクタとして Coyote JK Connector や Coyote HTTP/1.1 Connector などが使用可能です。

なお、独立行政法人情報処理推進機構(IPA) では、構成変更等の対処が早急にできない環境において本脆弱性を回避できるよう、「Tomcat」4.1.31 の AJP 1.3 Connector (org.apache.ajp.tomcat4.Ajp13Connector) の問題を修正した修正プログラムを作成しました。 下記の参考情報のリンクから入手が可能です。

(2008/06/19 追加)
ただし、Coyote Connector の古いバージョンでは本脆弱性に対する修正が行なわれていないことに注意してください。

想定される影響

他のユーザの情報を利用した不正なリクエスト処理を実行されたり、他のユーザの情報を参照される可能性があります。

対策方法

アップデートする
ベンダが提供する情報をもとに、最新版へアップデートしてください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
アライドテレシス株式会社 該当製品なし:調査中 2005/09/30
富士通 該当製品あり 2008/06/26
日立 該当製品あり 2005/09/30
ジャストシステム 該当製品なし 2005/09/30
日本電気 該当製品あり 2006/06/27
リコー 該当製品なし 2005/11/08
テクマトリックス 該当製品なし:調査中 2005/10/05
トレンドマイクロ 該当製品なし 2005/11/16
ヤマハ 該当製品なし 2005/10/14
横河電機 該当製品なし:調査中 2005/09/30

参考情報

  1. IPA
    「Tomcat」におけるリクエスト処理に関する脆弱性
  2. IPA
    IPA による AJP 1.3 Connector 修正プログラム
  3. IPA
    Vulnerability in Apache Tomcat AJP 1.3 Connector could Allow Retrieving Residual Information

JPCERT/CCからの補足情報

本件の公開時点では、影響を受けるシステムとして以下の記載をしていました。 「Apache Tomcat 4.1.31 およびそれ以前 で AJP 1.3 Connector (org.apache.ajp.tomcat4.Ajp13Connector) を用いて Web サーバと連携させている場合」。 その後、Coyote コネクタにおいて問題が修正されたのは Tomcat 4.1.30 / 5.0.18 以降であることが判明したため、影響を受けるシステムの記載を修正しました。

JPCERT/CCによる脆弱性分析結果

謝辞

本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCがベンダおよびCERT/CCとの調整を行いました。
報告者: HIRT (Hitachi Incident Response Team)

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2005-3164
JVN iPedia JVNDB-2005-000804

更新履歴

2005/10/03
ベンダ情報:トレンドマイクロの情報を更新しました。
2005/10/04
ベンダ情報:富士通の情報を更新しました。
2005/10/05
ベンダ情報:テクマトリクスの情報を更新しました。
2005/10/14
ベンダ情報:ヤマハの情報を更新しました。
2005/10/20
概要の記述を更新しました。
2005/11/09
ベンダ情報:リコーの情報を更新しました。
2005/11/11
概要の記述を変更しました。
参考情報:IPA の情報を追加しました。
2005/11/16
ベンダ情報:日本電気の情報を更新しました。
ベンダ情報:トレンドマイクロの情報を更新しました。
2006/06/27
ベンダ情報:日本電気の情報を更新しました。
2007/06/01
記述の体裁を修正しました。
2008/06/19
記載事項の追加・修正、参考情報の追加を行ないました。CVE および JVNiPedia を追加しました。
2008/06/19
記載事項の追加・修正、参考情報の追加を行ないました。CVE および JVNiPedia を追加しました。
2008/06/26
富士通の JVN#79314822への対応が更新されました。