|
「Apache Tomcat」の脆弱性修正プログラムの提供について
.gif)
2005年11月11日
独立行政法人 情報処理推進機構
|
独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原 武平太)は、「Apache Tomcat」の脆弱性の修正プログラムを作成し、11月11日、提供を開始いたしました。
「Apache Tomcat」(以下「Tomcat」)は、サーバ上で Java アプリケーションを動作させるためのソフトウェアであり、Java を利用したウェブアプリケーションにおいて、広く利用されています。
今回提供した修正プログラムは、「脆弱性関連情報に関する届出」として発見者から届出を受け9月30日に JVN で公表した、「Tomcat」のバージョン 4.1.31 以前でAJP 1.3 Connector(org.apache.ajp.tomcat4.Ajp13Connector)を使用している場合に特定のリクエストが適切に処理されない脆弱性に対するものです。本脆弱性については、開発元である The Apache Software Foundation に情報を通知し、修正プログラムの提供を依頼しました が、開発元からは、現在のところ、正式な修正プログラムは提供されていません。
The Apache Software Foundationは、現在AJP 1.3 Connectorをサポートしておらず、代わりにCoyote JK Connectorを使用することを推奨しています。また、Tomcat 4.xから5.xへのアップグレードについても推奨しています。しかし、バージョン 4.x を使用したシステムは現在も多く稼動しているため本脆弱性の影響範囲は広いと考えられ、本脆弱性について複数の問合せがありました。これを受け、IPAでは、構成変更等の対処が早急にできない環境において本脆弱性を回避できるよう、本脆弱性の原因であるAJP 1.3 Connector(org.apache.ajp.tomcat4.Ajp13Connector)の問題を修正するプログラムを作成し、提供することといたしました。
この修正プログラムの動作確認にあたり、日本電信電話株式会社、NTTソフトウェア株式会社、株式会社NTTデータ、NTTデータ先端技術株式会社、有限会社ステッドファストシステムズ、他の企業にご協力いただきました。
詳細はこちらをご覧下さい。
URL:
http://www.ipa.go.jp/security/vuln/documents/2005/JVN_79314822_Tomcat.html#patch
IPAでは、今後も、製品開発者により修正プログラムが提供されない場合、以下の方針で対処してまいります。
(a) オープンソース等、脆弱性の箇所が明確である場合
当該脆弱性の影響度を考慮し、必要に応じて、修正プログラムを作成いたします
(b) 発見者が修正プログラムを作成した場合
利用者に広く告知するために、JVN等に掲載いたします
■参考情報
・
JVN#79314822: Tomcat におけるリクエスト処理に関する脆弱性
http://jvn.jp/jp/JVN%2379314822/index.html
・
「Tomcat」におけるリクエスト処理に関する脆弱性
http://www.ipa.go.jp/security/vuln/documents/2005/JVN_79314822_Tomcat.html
|
最新情報
