サーバ実装「Apache Tomcat」に複数の脆弱性

吉澤亨史

2009-06-11 12:20

 独立行政法人 情報処理推進機構セキュリティセンター(IPA/ISEC)および有限責任中間法人 JPCERTコーディネーションセンター(JPCERT/CC)は6月9日、The Apache Software Foundationが提供する、JavaサーブレットおよびJavaServer Pagesの実行エンジンである「Apache Tomcat」に複数の脆弱性が存在すると公表した。

 今回確認された脆弱性は、Apache Tomcat 4.1.0から4.1.39 まで、5.5.0から5.5.27まで、6.0.0から6.0.18までのバージョンに存在する。開発者によると、現在サポート対象外となっているApache Tomcat 3.x、4.0.x、および5.0.xも、この脆弱性の影響を受ける可能性があるという。

 遠隔の第三者により不正なリクエストを送られた場合、WEB-INFディレクトリ配下に設置したアプリケーション内部に含まれるパスワードや設定情報などが漏えいする可能性がある。また、遠隔の第三者から不正なリクエストを送られ、DoS攻撃を受ける可能性がある。

 The Apache Software Foundationは、Apache Tomcat 6.0.xについて、これらの脆弱性を修正したApache Tomcat 6.0.20を公開している。Apache Tomcat 5.5.xおよび4.1.xについては、最新版となる5.5.8および4.1.40を準備中だという。なお、各系列に対応したパッチが公開されているため、アップデートができない場合は各系列のパッチを適用するよう呼びかけている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI を活用した革新的な事例 56 選 課題と解決方法を一挙紹介

  2. ビジネスアプリケーション

    生成 AI の可能性を最大限に引き出すためにできること—AI インフラストラクチャの戦略ガイド

  3. ビジネスアプリケーション

    業務マニュアル作成の課題を一気に解決へ─AIが実現する確認と修正だけで完了する新たなアプローチ

  4. ビジネスアプリケーション

    調査結果が示す「生成 AI 」活用によるソフトウェア開発の現状、ツール選定のポイントも解説

  5. ビジネスアプリケーション

    ITSMに取り組むすべての人へ、概要からツールによる実践まで解説、「ITSMクイックスタートガイド」

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]