AWS導入支援・クラウド運用代行 スカイアーチネットワークス

Apache Tomcat における複数の脆弱性に関する注意喚起

平素より、弊社スカイアーチネットワークスのサービスをご利用頂きまして、誠に有難う御座います。

Apache Tomcatにて脆弱性が報告されました。脆弱性情報と対応に関して下記の通り報告させて頂きます。

Apache Tomcat の脆弱性 (CVE-2020-1938) に関する注意喚起

概要

Apache Software Foundation は、2020年2月24日 (現地時間) に、Apache Tomcat の脆弱性 (CVE-2020-1938) に関する情報を公開しました。脆弱性(CVE-2020-1938) では、Apache JServ Protocol (AJP) における Attributeの取り扱いに問題があり、悪用された場合、遠隔の第三者が AJP を介し、情報を窃取するなどの可能性があります。

また、Web アプリケーションがファイルのアップロードおよび保存を許可している場合、遠隔の第三者が任意のコードを実行する可能性があります。

脆弱性の詳細については、Apache Software Foundation からの情報を参照してください。

対象

次のバージョンの Apache Tomcat が本脆弱性の影響を受けます。

  • Apache Tomcat 9.0.0.M1 から 9.0.30
  • Apache Tomcat 8.5.0 から 8.5.50
  • Apache Tomcat 7.0.0 から 7.0.99

対策

Apache Software Foundation より、修正済みのバージョンが提供されています。
修正済みのバージョンを適用することをご検討ください。

  • Apache Tomcat 9.0.31
  • Apache Tomcat 8.5.51
  • Apache Tomcat 7.0.100

回避策

アップデートの実施が難しい場合には、次の回避策を検討してください。なお、 アップデートと回避策を併用することでシステムをより堅牢化することができます。

  • AJP が不要な場合は、無効にする
  • AJP が必要な場合は、認可設定などアクセス制限を行う

【認可設定の例】

  • Tomcat 側の設定
  • /conf/server.xml における Connector port に次の設定を行う

<Connector port=”8009″ protocol=”AJP/1.3″ redirectPort=”8443″ address=”YOUR_TOMCAT_IP_ADDRESS” requiredSecret=”YOUR_TOMCAT_AJP_SECRET” />

  • Apache 側の設定
  • /conf/httpd.conf における ProxyPass に次の設定を行う。YOUR_TOMCAT_AJP_SECRET については、簡単に推測できない値を使用してください。
ProxyPass “URL” secret = “YOUR_TOMCAT_AJP_SECRET”

設定の詳細は、Tomcat、mod_proxy 及び mod_proxy_ajp のマニュアルを参照してください。

備考

最終更新日 2020.02.26

お気軽にご相談ください

03-6743-1100

平日10:00 - 18:00 ※祝日は除く

スカイアーチネットワークスは、AWS アドバンストティアサービスパートナーです

  • AWS アドバンストティアサービスパートナー
  • AWS レベル1 MSSP コンピテンシー
  • AWS MSPパートナープログラム
  • AWS Well-Architected パートナープログラム
  • AWS 公共部門パートナープログラム
  • AWS ソリューションプロバイダー
  • AWS 公共部門ソリューションプロバイダー
  • AWS トレーニングパートナー
  • AWS サービスデリバリープログラム Amazon DynamoDB
  • AWS サービスデリバリープログラム Amazon CloudFront
  • APN Immersion Days
  • aws 400 CERTIFIED
  • 2023 Japan AWS Ambassadors
  • 2023 Japan Top Engineers
  • 2023 Japan All Certifications Engineers