JVN#30732239
Apache Tomcat において権限のないクライアントからのリクエストが実行されてしまう脆弱性
The Apache Software Foundation が提供する Apache Tomcat には、権限のないクライアントからのリクエストが実行されてしまう脆弱性が存在します。
- Apache Tomcat 4.1.0 から 4.1.31 まで
- Apache Tomcat 5.5.0
開発者によると、現在サポート対象外となっている Apache Tomcat 3.x、4.0.x、5.0.x も影響を受ける可能性があると報告されています。
一方、Apache Tomcat 6.0.x は影響を受けないことが確認されています。
The Apache Software Foundation が提供する Apache Tomcat は、Java Servlet と JavaServer Pages のサーバ実装です。
Apache Tomcat には、IP アドレスに基づくアクセス制限をした際に、本来エラーを返答するべき IP アドレスからのリクエストを実行してしまう脆弱性が存在します。
権限のないクライアントからのリクエストが実行されるため、具体的な影響はシステムの処理内容により異なりますが、情報漏えいなどが考えられます。
アップデートする
開発者が提供する情報をもとに最新版へアップデートしてください。
対策済みバージョンは以下の通りです。
- Apache Tomcat 4.1.32 およびそれ以降
- Apache Tomcat 5.5.1 およびそれ以降
詳しくは開発者が提供する情報をご確認ください。
本脆弱性は、ASF Bugzilla - Bug 25835 で既にバグとして修正対応されているものですが、本脆弱性に関する記述はされていなかったため、今回脆弱性としての情報公開を行なうこととなりました。
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC がベンダとの調整を行いました。
報告者:富士通株式会社 ソフトウェア事業本部 アプリケーションマネジメント・ミドルウェア事業部 第二開発部 塚本 建一 氏
| JPCERT 緊急報告 | |
| JPCERT REPORT | |
| CERT Advisory | |
| CPNI Advisory | |
| TRnotes | |
| CVE | CVE-2008-3271 |
| JVN iPedia | JVNDB-2008-000069 |
- 2008/11/18
- 富士通の JVN#30732239への対応が更新されました。
- 2009/06/09
- 日本電気の JVN#30732239への対応が更新されました。
- 2009/06/15
- 日立の JVN#30732239への対応が更新されました。
