Apache Geronimo開発チームは10月18日、Apache TomcatのWebdav Servlet実装におけるセキュリティ上の脆弱性を公開した。Apache GeronimoのTomcatディストリビューションを使用している場合には注意が必要だ。
Apache Tomcat Webdav Servletを使用可能な設定にしている場合、この脆弱性の影響を受ける可能性がある。Webdav Servletを設定していない、もしくはリードオンリーのWebdav Servletの設定ならば、この影響を受けないという。なお、Jettyのディストリビューションは影響を受けない。
回避策は、以下のとおり。
- 修正されたバージョンがリリースされるまで無効にする
- 信頼できるユーザーにのみ、アクセス権限を与える
- パッチを適用する
また、メーリングリストに、本件に関する投稿「[Security] - Important vulnerability disclosed in Apache Tomcat webdav servlet」がある。