Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

Apache Tomcatの脆弱性

気になる記事がありましたので、つぶやいておきます。Apache Tomcatを使っている方は要注意な脆弱性かと思います。(昨年大きな被害を出したApache Struts2脆弱性を考えると特に)

 

news.mynavi.jp

JVNでは、以下のような情報となっていますが、外部からのリモート(遠隔)でセキュリティ制御をバイパスして対象システムに入り込める可能性があるので、(Tomcat利用者には)結構危ない脆弱性と言えるのではないでしょうか。

影響を受けるシステム:

 

詳細情報:

・特定の URL パターンによる security constraint が適切に設定されない問題 (CVE-2018-1304)

アノテーションによる Servlet の security constraint が適切に設定されない問題 (CVE-2018-1305)

 

想定される影響:

遠隔の第三者によって、機微な情報を取得される可能性があります。

 

対策方法:

アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 開発者はこれらの脆弱性の対策版として、次のバージョンをリリースしています。

Apache Tomcat 9.0.5

Apache Tomcat 8.5.28

Apache Tomcat 8.0.50

Apache Tomcat 7.0.85

 

CVE情報

 ◆CVE-2018-1304

 ◆CVE-2018-1305

 

Apache Tomcat側の発表における脆弱性の説明は、

CVE-2018-1304

The URL pattern of "" (the empty string) which exactly maps to the context root was not correctly handled when used as part of a security constraint definition. This caused the constraint to be ignored. It was, therefore, possible for unauthorised users to gain access to web application resources that should have been protected. Only security constraints with a URL pattern of the empty string were affected.

 

CVE-2018-1305

Security constraints defined by annotations of Servlets were only applied once a Servlet had been loaded. Because security constraints defined in this way apply to the URL pattern and any URLs below that point, it was possible - depending on the order Servlets were loaded - for some security constraints not to be applied. This could have exposed resources to users who were not authorised to access them.

とあります。記事にはImportant(重要)との表記もありますので、当該バージョン利用者はアップデートが推奨されます。

 

 ジェロニモの似顔絵イラスト

 

更新履歴

  • 2018年2月25日 AM(予約投稿)