JVN#79314822:
「Tomcat」におけるリクエスト処理に関する脆弱性
最終更新日 2007年8月20日
独立行政法人 情報処理推進機構
セキュリティセンター
本資料は、JVNで公表した「JVN#79314822:『Tomcat』におけるリクエスト処理に関する脆弱性」について解説するものです。
概要:
「Apache Tomcat」(以下 「Tomcat」)は、サーバ上で Java アプリケーションを動作させるためのソフトウェアです。Java サーブレット仕様と JavaServer Pages 仕様のリファレンス実装となっています。
「Tomcat」には、ウェブサーバと連動する機能があります。AJP (Apache JServ Protocol) 1.3 は連動のためのプロトコルの一つで、AJP 1.3 Connector (org.apache.ajp.tomcat4.Ajp13Connector) は AJP 1.3 を使用するコネクタの一つです。このコネクタを使用した場合、「Tomcat」はウェブサーバから AJP 1.3 リクエストを受け取り、その中のリクエスト情報に基づいてサーブレットを呼び出します。
「Tomcat」4.x の AJP 1.3 Connector には、AJP 1.3 リクエストを受け取った際の内容確認が不十分な問題があります。このため、ウェブサーバから不正な AJP 1.3 リクエストを受け取ると、リクエスト情報バッファに直前の情報が残ったままサーブレットが呼び出される可能性があります。
最新情報は、JVN#79314822を参照してください。
影響:
「Tomcat」と連動したウェブサーバに不正なリクエストを送信されることで、別のユーザになりすました処理が行われる可能性があります。
修正プログラム:
本脆弱性については、開発元である The Apache Software Foundation (ASF)に情報を通知し、修正プログラムの提供を依頼しましたが、開発元からは、現在のところ、正式な修正プログラムは提供されていません。
IPA では、「Tomcat」4.1.31 の AJP 1.3 Connector (org.apache.ajp.tomcat4.Ajp13Connector) の問題を修正し、本脆弱性を解消する修正プログラムを作成しました。この修正プログラムには、「Tomcat」4.1.31 のソースコードに対するパッチと、パッチを適用済みのバイナリファイルが含まれています。
ASF は、現在 AJP 1.3 Connector をサポートしておらず、代わりに Coyote JK Connector を使用することを推奨しています。しかし、構成変更等の対処が早急にできない場合に、この修正プログラムを適用することで、問題を解消できます。
README
修正プログラムのダウンロード (tar.gz ファイル: 69KB)
修正プログラムのダウンロード (zip ファイル: 70KB)
IPA はこの修正プログラムの品質に対して最大限の注意を払っていますが、他の問題が発生しないことは保証いたしません。この修正プログラムを使用することにより発生したいかなる損害に対しても、IPA は一切の責任を負いません。また、本脆弱性以外の脆弱性には対応していません。
本パッチは、公表前に ASF に送付し、リリースの検討を依頼いたしましたが、返答がなかったため、IPA から公表いたしました。そのため、今後も、ソースコードに取り込まれる可能性は低いと考えられます。
Tomcat 4.1.31 以前のバージョンに対しては、動作確認を行っておりませんが、上記ソースコードに対するパッチは、元のソースコードに脆弱性を修正する処理を追加するものですので、理論上、他のバージョンにも適用できる可能性があります。
ライセンスは Apache License Version 2.0 に従います。詳細については、以下の URL をご覧ください。
http://www.apache.org/licenses/LICENSE-2.0
(注) 本修正プログラムは、The Apache Software Foundation が提供しているTomcatに対するものです。ベンダより提供されているTomcat をご利用の場合は、JVN からベンダごとの対応状況をご確認いただくか、ベンダにお問合せください。
謝辞:
この修正プログラムの動作確認にあたり、日本電信電話株式会社、NTTソフトウェア株式会社、株式会社NTTデータ、NTTデータ先端技術株式会社、有限会社ステッドファストシステムズ、他の企業にご協力いただきました。
本脆弱性の深刻度:
(1)評価結果
| 本脆弱性の深刻度 | ■ I(注意) | □ II(警告) | □ III(危険) |
|---|---|---|---|
| 本脆弱性のCVSS基本値 | 2.6 |
(2)CVSS基本値の評価内容
| AV:攻撃元区分 | □ ローカル | □ 隣接 | ■ ネットワーク |
|---|---|---|---|
| AC:攻撃条件の複雑さ | ■ 高 | □ 中 | □ 低 |
| Au:攻撃前の認証要否 | □ 複数 | □ 単一 | ■ 不要 |
| C:機密性への影響 (情報漏えいの可能性) |
■ なし | □ 部分的 | □ 全面的 |
| I:完全性への影響 (情報改ざんの可能性) |
□ なし | ■ 部分的 | □ 全面的 |
| A:可用性への影響 (業務停止の可能性) |
■ なし | □ 部分的 | □ 全面的 |
注)■:選択した評価結果
AV:AccessVector, AC:AccessComplexity, Au:Authentication,
C:ConfidentialityImpact, I:IntegrityImpact, A:AvailabilityImpact
(3)注意事項
深刻度が低くても、対策をしなくてよいということではありません。本ソフトウェアの利用者は必ず脆弱性対策を実施して下さい。
お問い合わせ先
独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)
TEL:03-5978-7527 FAX:03-5978-7518
E-mail:
更新履歴
| 2007年8月20日 | 脆弱性の深刻度評価をCVSS v2へ移行 |
|---|---|
| 2007年3月28日 | 本脆弱性の深刻度を追記 |
| 2005年12月19日 | 修正プログラムについて追記 |
| 2005年11月16日 | 修正プログラムについての注意点を追記 |
| 2005年11月11日 | 修正プログラムの提供を開始 |
| 2005年10月24日 | 概要の記述を更新 |
| 2005年 9月 30日 | 掲載 |