HOME情報セキュリティApache Tomcat における脆弱性(CVE-2020-1938)について

本文を印刷する

情報セキュリティ

Apache Tomcat における脆弱性(CVE-2020-1938)について

最終更新日:2020年2月25日

※追記すべき情報がある場合には、その都度このページを更新する予定です。

概要

Apache Tomcat は、Apache Software Foundation の Jakarta プロジェクトによって開発されたサーブレットコンテナです。

この Apache Tomcat において、意図しないファイルを読み込んでしまう脆弱性が確認されています。

この脆弱性が悪用された場合、悪意のある第三者が AJP(Apache JServ Protocol)リクエストを送信し、Web アプリケーションのルートディレクトリにある任意のファイルを読み取られる可能性があります。

Web アプリケーションがファイルのアップロードや保存を許可している場合等では、遠隔の攻撃者により任意のコードが実行される可能性があります。

すでに攻撃コードの公開が確認されており、今後被害が拡大する可能性があるため、早急に対策を実施して下さい。

影響を受けるシステム

  • Apache Tomcat 7.0.0 から 7.0.99
  • Apache Tomcat 8.5.0 から 8.5.50
  • Apache Tomcat 9.0.0.M1 から 9.0.30

※ 上記バージョン以外でも脆弱性の影響を受ける可能性があります。詳細はベンダに確認してください。

対策

1.脆弱性の解消 - 修正プログラムの適用

ベンダから提供されている修正プログラムを適用して下さい。各バージョンの対応状況は、下記リンクよりご確認ください。

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター

E-mail:

※個別のシステムおよび環境に関するご質問を頂いても回答ができない場合があります。詳しくは製品ベンダなどにお問合せください。

更新履歴

2020年2月25日 掲載