Tomcatに「ディレクトリトラバーサル」の脆弱性 - NTTデータ・セキュリティが注意喚起
NTTデータ・セキュリティは、Tomcatに見つかった「ディレクトリトラバーサル」の脆弱性に関する検証レポートを発表し、対策を呼びかけている。
問題の脆弱性は、HTTPのGETリクエストにおいて文字エンコーディングに「UTF-8」を利用し、Tomcatのシンボリックリンク設定が有効時に影響を受けるもので、細工したHTTPリクエストを通じて、ウェブサーバで公開していないシステム上のファイルへアクセスされる「ディレクトリトラバーサル攻撃」を受けるおそれがある。
影響を受けるのは、「Tomcat 6.0.16」「同5.5.26」「同4.1.37」で、以前のバージョンも含まれる。「同6.0」については、問題が修正された「同6.0.18」が公開されているが、「同5.5」や「同4.1」については、現時点でアップデートが公開されておらず、必要性の有無を確認した上でシンボリックリンクを無効にするなど、対策を実施するよう呼びかけている。
NTTデータ・セキュリティ
http://www.nttdata-sec.co.jp/
(Security NEXT - 2008/08/18 )
ツイート
PR
関連記事
「WinRAR」に脆弱性、過去の問題に類似 - 修正版をリリース
「FortiOS」のLDAP認証バイパス脆弱性、仮想パッチが公開
「FortiOS」に複数脆弱性、SSL-VPNなど影響 - アップデートで修正
HTTP通信ライブラリ「Apache HttpComponents」に複数のDoS脆弱性
ウェブメール「Roundcube」、アップデートで複数脆弱性を修正
「WatchGuard Firebox」のVPN機能に深刻なRCE脆弱性
「PHP」にセキュリティ更新 - 複数の脆弱性を修正
セイコーSOL製IoT向け一部ルータに脆弱性 - 修正予定なし
コンテナ管理ツール「Rancher」に脆弱性 - アップデートを公開
「NVIDIA Container Toolkit」に権限昇格の脆弱性 - 「GPU Operator」も影響
