公開日:2018/11/01 最終更新日:2019/11/27

JVNVU#99875465
Apache Tomcat JK mod_jk Connector にパストラバーサルの脆弱性

概要

Apache Tomcat JK mod_jk Connector には、パストラバーサルの脆弱性が存在します。

影響を受けるシステム

  • Apache Tomcat JK mod_jk Connector 1.2.0 から 1.2.44 まで

詳細情報

Apache Tomcat JK mod_jk Connector は、受け取った URI を正規化して worker プロセスとの対応付けを行います。この正規化処理の部分に問題があり、細工された URI を適切に処理できない場合があります。

この問題は、CVE-2018-1323 の問題と重複する部分もありますが、同一の問題ではありません。

想定される影響

Apache httpd とリバースプロキシを組み合わせたシステムで、Tomcat で動作するアプリへのアクセスを一定の形式の URI のみに制限している場合に、細工されたリクエストにより、制限を回避してアプリにアクセスされる可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は本脆弱性の対策版として、次のバージョンをリリースしています。

  • Apache Tomcat JK Connector 1.2.46

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
BizMobile株式会社 該当製品無し 2019/01/28
ジェイティ エンジニアリング株式会社 該当製品無し 2018/11/13
日本電気株式会社 該当製品あり 2019/11/27
ベンダ リンク
Apache Software Foundation Fixed in Apache Tomcat JK Connector 1.2.46

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2018-11759
JVN iPedia

更新履歴

2018/11/13
ジェイティ エンジニアリング株式会社のベンダステータスが更新されました
2019/01/28
BizMobile株式会社のベンダステータスが更新されました
2019/01/31
日本電気株式会社のベンダステータスが更新されました
2019/11/27
日本電気株式会社のベンダステータスが更新されました