「Apache Tomcat」にリモートよりコードを実行されるおそれ

「Apache Tomcat」においてリモートよりコードを実行されたり、情報が漏洩するおそれがある脆弱性が含まれていることがわかった。

「Apache JServ Protocol（AJP）」の処理に起因する脆弱性「CVE-2020-1938」が明らかとなったもの。開発チームは、重要度を「高（High）」とレーティングしている。

「AJP」については、これまでもIPアドレスによる制限や、特定条件下における認証がバイパスされるといった問題が指摘されているが、今回あらたに細工したリクエストにより、ファイルをアップロードして実行することが可能となる脆弱性が明らかとなった。

「AJP」は、不要な場合に無効化することが想定され、セキュリティガイド上も推奨されているが、デフォルトで有効化されているという。

開発チームは、脆弱性に対処した「Apache Tomcat 9.0.31」「同8.5.51」「同7.0.100」をリリース。これらアップデートで、あわせて重要度が「低（Low）」とされる「HTTPリクエストスマグリング（HRS）」の脆弱性「CVE-2020-1935」「CVE-2019-17569」についても修正した。

また「CVE-2020-1938」については、「AJP」の無効化やアクセスの制限といった回避策をアナウンス。同脆弱性の判明を受けて、JPCERTコーディネーションセンターなどセキュリティ機関も注意喚起を行っている。

（Security NEXT - 2020/02/25 ） ツイート

PR

関連記事

「Ruby」に3件の脆弱性、アップデートで修正を実施
Node.js向けMySQLクライアント「MySQL2」に脆弱性
「GitLab」に複数脆弱性 - セキュリティパッチをリリース
国家関与のサイバー攻撃「ArcaneDoor」 - 初期侵入経路は不明、複数ゼロデイ脆弱性を悪用
「PAN-OS」の脆弱性侵害、段階ごとの対策を説明 - Palo Alto
国内でも被害発生、「ColdFusion」の既知脆弱性狙う攻撃
バッファロー製ルータに脆弱性 - パスワード取得、コマンド実行のおそれ
米政府、悪用が確認された脆弱性3件について注意喚起
「Cisco ASA」「FTD」に複数脆弱性 - ゼロデイ攻撃も発生
「Chrome」にアップデート - 「クリティカル」の脆弱性などを解消