Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Apache Tomcat」にオープンリダイレクトの脆弱性 - 9月のアップデートで修正済み

「Apache Tomcat」の開発チームは、任意のURIへリダイレクトが可能となるオープンリダイレクトの脆弱性を明らかにした。9月にリリースしたアップデートで修正済みだという。

同チームによれば、デフォルトサーブレットのリダイレクト処理において、細工したURLを使用し、任意のURIにリダイレクトさせることが可能となる脆弱性「CVE-2018-11784」が含まれるという。

脆弱性は「Apache Tomcat 9.0.11」「同8.5.33」「同7.0.90」および以前のバージョンに存在。「同8.0.x」についても影響を及ぼすという。重要度は「中(Moderate)」。

開発チームでは、9月にリリースした「同9.0.12」「同8.5.34」「同7.0.91」で、複数のバグへの対処、機能の強化とあわせて同脆弱性の修正を実施した。また「mapperDirectoryRedirectEnabled」「mapperContextRootRedirectEnabled」を有効化し、リダイレクトにデフォルトサーブレットでなく、「Mappaer」を利用するよう呼びかけている。

(Security NEXT - 2018/10/05 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「HTTP/2」の実装に複数脆弱性 - DoS攻撃手法が明らかに
「Bluetooth」に暗号化強度下げる「KNOB攻撃」が判明
「Apache Tomcat 9.0.24」が公開 - 「HTTP/2」向けに保護機能
「Apache HTTPD 2.4.41」がリリース - 「HTTP/2」関連など脆弱性6件を修正
スイッチ「Cisco Small Business 220」に複数の深刻な脆弱性
日本語などテキスト処理に脆弱性、Win XP以降に存在 - 報告者が詳細公表
「Firefox」にマスターパスワード認証が回避されるおそれ - アップデートを実施
F5製「BIG-IP」、構成によっては侵害のおそれ - 利用企業は早急に確認を
Adobe CC関連アプリに脆弱性 - 一部「クリティカル」も
「Adobe Experience Manager」に深刻な脆弱性 - SAMLで認証回避のおそれ