情報漏洩、ウィルス、不正アクセス対策などセキュリティの事はお任せください
情報漏洩、ウィルス、不正アクセス対策などセキュリティの事はお任せください
Java Servletの稼働上必要なソフトウェアの「Apache Tomcat」に脆弱性が存在していることが判明し、同製品を提供する The Apeche Software財団がWebサイトにて、当該脆弱性を解消した最新版ソフトを配信しています。
引用元:https://tomcat.apache.org/security-9.html
本件で発見された脆弱性は、セキュリティ機能が利用できなくなる「CVE-2017-5664」であり、同ソフトウェアのエラーページの仕組みに存在していたとのことです。
エラーページの仕組みは、発生したエラーに対しエラーページが構成されている場合、元の要求とそれに対する応答がエラーページに転送され、要求がHTTPの仕組みを用いてエラーページに表示されます。
しかし、Default Servlet(Apache Tomcat独自のServlet)が書き込みを許可する設定の場合、要求によっては、カステムエラーページにてユーザの意図しない置換、または削除等改ざん等の問題が生じる可能性があったとのことです。
同団体は最新版の「Apache Tomcat 7.0.78」「Apache Tomcat 8.0.44」「Apache Tomcat 8.5.15」「Apache Tomcat 9.0.0.M21」をWebサイトにて配信しており、利用者に対しアップデートを呼びかけています。
