公開日:2022/05/11 最終更新日:2022/05/11
JVNVU#98578492
Apache TomcatのEncryptInterceptorのドキュメントにおける記載誤りの問題
Apache TomcatのEncryptInterceptorのドキュメントには、記載の誤りがあります。
- Apache Tomcat 10.1.0-M1から10.1.0-M14までのバージョン
- Apache Tomcat 10.0.0-M1から10.0.20までのバージョン
- Apache Tomcat 9.0.13から9.0.62までのバージョン
- Apache Tomcat 8.5.38から8.5.78までのバージョン
Apache TomcatのEncryptInterceptorのドキュメントには、Tomcatクラスタリングが信頼できないネットワーク上で実行される際に、十分な保護を提供できると認識されるような誤った記載がされていました(CVE-2022-29885)。
EncryptInterceptorは、機密性と整合性の保護を提供しますが、信頼できないネットワーク上での実行に関連するすべてのリスクへの保護を提供するわけではなく、特にサービス運用妨害(DoS)リスクは保護していません。
信頼できないネットワーク上でEncryptInterceptorを用いたクラスタリングを実行している場合、想定する保護ができない可能性があります。
以下のバージョンのEncryptInterceptorのドキュメントにて、信頼できないネットワーク上でTomcatクラスタリングを実行するための十分な保護は提供されないと記載内容が修正されています。
- Apache Tomcat 10.1.0-M15
- Apache Tomcat 10.0.21
- Apache Tomcat 9.0.63
- Apache Tomcat 8.5.79
信頼できないネットワーク上でEncryptInterceptorを用いたクラスタリングを実行している場合、VPNを介したクラスタリング通信の実行などの代替ソリューションに切り替える必要があります。
| ベンダ | リンク |
| The Apache Software Foundation | Fixed in Apache Tomcat 10.1.0-M15 |
| Fixed in Apache Tomcat 10.0.21 | |
| Fixed in Apache Tomcat 9.0.63 | |
| Fixed in Apache Tomcat 8.5.79 |
