創造・安心・競争力

IPA

独立行政法人情報処理推進機構

サイトマップ | お問合せ | ENGLISH



IPAについて




最新情報






機構情報






事業紹介






プレス発表






情報公開






個人情報保護







事業情報




公募・入札一覧






事業成果報告集






評価について











IPAトップ>IPAについて 最新情報>記事






プレス発表


「Apache Tomcat」の脆弱性修正プログラムの提供について


2005年11月11日
独立行政法人 情報処理推進機構


 独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原 武平太)は、「Apache Tomcat」の脆弱性の修正プログラムを作成し、11月11日、提供を開始いたしました。

 「Apache Tomcat」(以下「Tomcat」)は、サーバ上で Java アプリケーションを動作させるためのソフトウェアであり、Java を利用したウェブアプリケーションにおいて、広く利用されています。

 今回提供した修正プログラムは、「脆弱性関連情報に関する届出」として発見者から届出を受け9月30日に JVN で公表した、「Tomcat」のバージョン 4.1.31 以前でAJP 1.3 Connector(org.apache.ajp.tomcat4.Ajp13Connector)を使用している場合に特定のリクエストが適切に処理されない脆弱性に対するものです。本脆弱性については、開発元である The Apache Software Foundation に情報を通知し、修正プログラムの提供を依頼しました が、開発元からは、現在のところ、正式な修正プログラムは提供されていません。

 The Apache Software Foundationは、現在AJP 1.3 Connectorをサポートしておらず、代わりにCoyote JK Connectorを使用することを推奨しています。また、Tomcat 4.xから5.xへのアップグレードについても推奨しています。しかし、バージョン 4.x を使用したシステムは現在も多く稼動しているため本脆弱性の影響範囲は広いと考えられ、本脆弱性について複数の問合せがありました。これを受け、IPAでは、構成変更等の対処が早急にできない環境において本脆弱性を回避できるよう、本脆弱性の原因であるAJP 1.3 Connector(org.apache.ajp.tomcat4.Ajp13Connector)の問題を修正するプログラムを作成し、提供することといたしました。

 この修正プログラムの動作確認にあたり、日本電信電話株式会社、NTTソフトウェア株式会社、株式会社NTTデータ、NTTデータ先端技術株式会社、有限会社ステッドファストシステムズ、他の企業にご協力いただきました。  

 詳細はこちらをご覧下さい。

URL:
http://www.ipa.go.jp/security/vuln/documents/2005/JVN_79314822_Tomcat.html#patch

 

  IPAでは、今後も、製品開発者により修正プログラムが提供されない場合、以下の方針で対処してまいります。

  (a) オープンソース等、脆弱性の箇所が明確である場合
    当該脆弱性の影響度を考慮し、必要に応じて、修正プログラムを作成いたします
  (b) 発見者が修正プログラムを作成した場合
    利用者に広く告知するために、JVN等に掲載いたします

 

■参考情報
  ・ JVN#79314822: Tomcat におけるリクエスト処理に関する脆弱性
   http://jvn.jp/jp/JVN%2379314822/index.html

  ・ 「Tomcat」におけるリクエスト処理に関する脆弱性
   http://www.ipa.go.jp/security/vuln/documents/2005/JVN_79314822_Tomcat.html



本内容に関するお問い合わせ先:


独立行政法人 情報処理推進機構   セキュリティセンター   福澤・田原
  Tel:03-5978-7508
  E-mail:


報道関係からのお問い合わせ先:


独立行政法人 情報処理推進機構   戦略企画部 広報グループ   横山・佐々木
  Tel:03-5978-7503
  Fax:03-5978-7510
  E-mail:






ご利用条件   プライバシーポリシー


Copyright(c) Information-technology Promotion Agency, Japan. All rights reserved 2004