PR

 独立行政法人 情報処理推進機構(IPA)は11月11日,オープンソースのJavaアプリケーション・サーバーApache Tomcatのセキュリティ・パッチを作成し公開した。このパッチは,JVNが9月30日に公開したセキュリティ・ホールに対するもの。

 問題となっているセキュリティ・ホール「JVN#79314822: Tomcat におけるリクエスト処理に関する脆弱性」は,Tomcatのバージョン4.1.31以前でAJP 1.3 Connectorを使用している場合に,別のユーザーになりすまされる恐れがあるというもの。

 IPAによれば,開発元であるThe Apache Software Foundationに通知しパッチの提供を依頼したが,現在までに公式なパッチは提供されていない。The Apache Software Foundationでは現在AJP 1.3 Connectorをサポートしておらず,代わりにCoyote JK onnectorを使用することを推奨している。また,Tomcat 4.xのユーザーには5.xへのアップグレードを推奨している。これらがパッチが提供されない要因となっていると見られる。

 しかし「バージョン 4.xを使用したシステムは現在も多く稼動しており,この脆弱性に関して複数の問合せがあった。影響範囲は広いと考えられる」(IPA)。そのためIPAでは,バージョンアップなどが早期にできないユーザーに向けAJP 1.3 Connector(org.apache.ajp.tomcat4.Ajp13Connector)のパッチを作成し公開したとしている。

 パッチはIPAのサイトからダウンロードできる。

◎関連情報
「JVN#79314822: Tomcat におけるリクエスト処理に関する脆弱性 」(JVN)
「Tomcat」におけるリクエスト処理に関する脆弱性(IPA)