平素より、弊社スカイアーチネットワークスのサービスをご利用頂きまして、誠に有難う御座います。
Apache Tomcatにて脆弱性が報告されました。脆弱性情報と対応に関して下記の通り報告させて頂きます。
概要
Apache Software Foundation は、2020年2月24日 (現地時間) に、Apache Tomcat の脆弱性 (CVE-2020-1938) に関する情報を公開しました。脆弱性(CVE-2020-1938) では、Apache JServ Protocol (AJP) における Attributeの取り扱いに問題があり、悪用された場合、遠隔の第三者が AJP を介し、情報を窃取するなどの可能性があります。
また、Web アプリケーションがファイルのアップロードおよび保存を許可している場合、遠隔の第三者が任意のコードを実行する可能性があります。
脆弱性の詳細については、Apache Software Foundation からの情報を参照してください。
対象
次のバージョンの Apache Tomcat が本脆弱性の影響を受けます。
- Apache Tomcat 9.0.0.M1 から 9.0.30
- Apache Tomcat 8.5.0 から 8.5.50
- Apache Tomcat 7.0.0 から 7.0.99
対策
Apache Software Foundation より、修正済みのバージョンが提供されています。
修正済みのバージョンを適用することをご検討ください。
- Apache Tomcat 9.0.31
- Apache Tomcat 8.5.51
- Apache Tomcat 7.0.100
回避策
アップデートの実施が難しい場合には、次の回避策を検討してください。なお、 アップデートと回避策を併用することでシステムをより堅牢化することができます。
- AJP が不要な場合は、無効にする
- AJP が必要な場合は、認可設定などアクセス制限を行う
【認可設定の例】
- Tomcat 側の設定
- /conf/server.xml における Connector port に次の設定を行う
<Connector port=”8009″ protocol=”AJP/1.3″ redirectPort=”8443″ address=”YOUR_TOMCAT_IP_ADDRESS” requiredSecret=”YOUR_TOMCAT_AJP_SECRET” />
- Apache 側の設定
- /conf/httpd.conf における ProxyPass に次の設定を行う。YOUR_TOMCAT_AJP_SECRET については、簡単に推測できない値を使用してください。
ProxyPass “URL” secret = “YOUR_TOMCAT_AJP_SECRET”
設定の詳細は、Tomcat、mod_proxy 及び mod_proxy_ajp のマニュアルを参照してください。
参考情報
Apache Software Foundation
Fixed in Apache Tomcat 9.0.31
Apache Software Foundation
Fixed in Apache Tomcat 8.5.51
Apache Software Foundation
Fixed in Apache Tomcat 7.0.100
Apache Software Foundation
Apache Tomcat 9 Security Considerations
Apache Software Foundation
Apache Tomcat 8 Security Considerations
Apache Software Foundation
Apache Tomcat 7 Security Considerations
備考
最終更新日 2020.02.26
