公開日:2008/10/10 最終更新日:2015/10/21

JVN#30732239
Apache Tomcat において権限のないクライアントからのリクエストが実行されてしまう脆弱性

概要

The Apache Software Foundation が提供する Apache Tomcat には、権限のないクライアントからのリクエストが実行されてしまう脆弱性が存在します。

影響を受けるシステム

  • Apache Tomcat 4.1.0 から 4.1.31 まで
  • Apache Tomcat 5.5.0

    • 開発者によると、現在サポート対象外となっている Apache Tomcat 3.x、4.0.x、5.0.x も影響を受ける可能性があると報告されています。
    一方、Apache Tomcat 6.0.x は影響を受けないことが確認されています。

詳細情報

The Apache Software Foundation が提供する Apache Tomcat は、Java Servlet と JavaServer Pages のサーバ実装です。
Apache Tomcat には、IP アドレスに基づくアクセス制限をした際に、本来エラーを返答するべき IP アドレスからのリクエストを実行してしまう脆弱性が存在します。

想定される影響

権限のないクライアントからのリクエストが実行されるため、具体的な影響はシステムの処理内容により異なりますが、情報漏えいなどが考えられます。

対策方法

アップデートする
開発者が提供する情報をもとに最新版へアップデートしてください。
対策済みバージョンは以下の通りです。

  • Apache Tomcat 4.1.32 およびそれ以降
    • Apache Tomcat 5.5.1 およびそれ以降

      • 詳しくは開発者が提供する情報をご確認ください。

    ベンダ情報

    ベンダ ステータス ステータス
    最終更新日    		 ベンダの告知ページ
    富士通株式会社 該当製品あり 2015/10/13
    日本電気 該当製品あり 2009/06/09
    日立 該当製品無し 2009/06/14
    ベンダ リンク
    Apache Tomcat Apache Tomcat 4.x vulnerabilities CVE-2008-3271
    Apache Tomcat 5.x vulnerabilities CVE-2008-3271
    ASF Bugzilla - Bug 25835

    参考情報

    JPCERT/CCからの補足情報

    本脆弱性は、ASF Bugzilla - Bug 25835 で既にバグとして修正対応されているものですが、本脆弱性に関する記述はされていなかったため、今回脆弱性としての情報公開を行なうこととなりました。

    JPCERT/CCによる脆弱性分析結果

    謝辞

    この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC がベンダとの調整を行いました。
    報告者:富士通株式会社 ソフトウェア事業本部 アプリケーションマネジメント・ミドルウェア事業部 第二開発部 塚本 建一 氏

    関連文書

    JPCERT 緊急報告
    JPCERT REPORT
    CERT Advisory
    CPNI Advisory
    TRnotes
    CVE CVE-2008-3271
    JVN iPedia JVNDB-2008-000069

    更新履歴

    2008/11/17
    富士通の JVN#30732239への対応が更新されました。
    2009/06/09
    日本電気の JVN#30732239への対応が更新されました。
    2009/06/14
    日立の JVN#30732239への対応が更新されました。
    2015/10/21
    富士通株式会社のベンダステータスが更新されました