公開日:2020/02/25 最終更新日:2020/05/25

JVNVU#94679920
Apache Tomcat の複数の脆弱性に対するアップデート

概要

The Apache Software Foundation から、Apache Tomcat に関する複数の脆弱性に対するアップデートが公開されました。

影響を受けるシステム

CVE-2020-1935

  • Apache Tomcat 9.0.0.M1 から 9.0.30 まで
  • Apache Tomcat 8.5.0 から 8.5.50 まで
  • Apache Tomcat 7.0.0 から 7.0.99 まで
CVE-2020-1938
  • Apache Tomcat 9.0.0.M1 から 9.0.30 まで
  • Apache Tomcat 8.5.0 から 8.5.50 まで
  • Apache Tomcat 7.0.0 から 7.0.99 まで
CVE-2019-17569
  • Apache Tomcat 9.0.28 から 9.0.30 まで
  • Apache Tomcat 8.5.48 から 8.5.50 まで
  • Apache Tomcat 7.0.98 から 7.0.99 まで

詳細情報

The Apache Software Foundation から、Apache Tomcat に関する次の複数の脆弱性に対するアップデートが公開されました。

  • HTTP Request Smuggling (CWE-444) - CVE-2020-1935、CVE-2019-17569
    • Apache Tomcat が無効な Transfer-Encoding ヘッダーを誤って処理したリバースプロキシの配下にある場合 HTTP Request Smuggling 攻撃を受ける可能性があります。
  • 不適切な認可処理 (CWE-285) - CVE-2020-1938
    • Apache JServ Protocol (AJP) は Apache httpd が受け付けたリクエストを Apache Tomcat に連携する際に使用されており、デフォルトで有効な設定となっています。AJP ポートにアクセスが可能な場合、任意のリクエストを送信される可能性があります。

想定される影響

CVE-2020-1935、CVE-2019-17569

  • ​​細工された HTTP ヘッダを含む HTTP リクエストを処理することで、情報を改ざんされるなどの可能性があります
​CVE-2020-1938
  • Apache Tomcat の設定によって影響は異なりますが、WEB-INF や META-INF、または ServletContext.getResourceAsStream() が到達可能ディレクトリ配下の任意のファイルを読み取られる可能性があります。また、Web アプリケーションがファイルのアップロードおよび保存を許可している場合に第三者に任意のコードを実行される可能性があります。

対策方法

CVE-2020-1935、CVE-2020-1938、CVE-2019-17569
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は脆弱性の対策として、次のバージョンをリリースしています。

  • Apache Tomcat 9.0.31
  • Apache Tomcat 8.5.51
  • Apache Tomcat 7.0.100

CVE-2020-1938
ワークアラウンドを実施する
  • server.xml から AJP Connector の設定を削除する
  • AJP ポートへの接続を制限する
    • ファイアウォールの設定
    • AJP コネクタに明示的にアドレスを設定する
    • AJP 接続の認可設定を行う

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
ジェイティ エンジニアリング株式会社 該当製品無し 2020/04/10
日本電気株式会社 該当製品あり 2020/05/25

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告 JPCERT-AT-2020-0009
Apache Tomcat の脆弱性 (CVE-2020-1938) に関する注意喚起
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2020-1935
CVE-2020-1938
CVE-2019-17569
JVN iPedia

更新履歴

2020/04/10
ジェイティ エンジニアリング株式会社のベンダステータスが更新されました
2020/05/25
日本電気株式会社のベンダステータスが更新されました