JP Vendor Status Notes(JVN)は9月30日,Javaアプリケーション(Java ServletやJSP)の実行環境であるオープンソースのアプリケーション・サーバー「Apache Tomcat 4.x」にセキュリティ・ホールが見つかったことを明らかにした。細工が施されたリクエストを送信されると,ユーザーのなりすましなどを許す可能性がある。対策はTomcat 5.xにアップグレードすること。
Tomcatは単独でもWebサーバーとして利用できるが,他のWebサーバーと連携させることもできる。特に,Apache Web Serverと連携させる場合が多い。連携には,AJP(Apache JServ Protocl)と呼ばれるプロトコルを利用する。TomcatはWebサーバーからAJP 1.3のリクエストを受け取り,そのリクエスト情報に基づいてServletを呼び出す。Tomcat 4.xには,このリクエスト処理に不具合が存在する。リクエストに細工を施すと,悪意のあるユーザーからのリクエストを,別の正規ユーザーからのリクエストに見せかけることができる。つまり,ユーザーのなりすましが可能となる。詳細については,情報処理推進機構(IPA)がWebサイトで公開している。
今回のセキュリティ・ホールはHIRT(Hitachi Incident Response Team)が発見し,「情報セキュリティ早期警戒パートナーシップ」に基づいて処理された(関連記事)。セキュリティ・ホールの内容は,IPAとJPCERTコーディネーションセンターが運営するJVNサイトおよびIPAのサイトで公表された。なお,HIRTはTomcat 3.xのセキュリティ・ホールも過去に見つけている(関連記事)。
対策は,セキュリティ・ホールを解消したTomcat 5.xにアップグレードすること。JVNでは,「The Apache Software Foundation では,Tomcat 4.x を 5.x へアップグレードすることを推奨しており,本脆弱性を修正するパッチが提供されるかは不明」としている。
Tomcatを含むアプリケーションも今回のセキュリティ・ホールの影響を当然受ける。現時点(9月30日)では,日立の「Cosminexus Application Server」などが影響を受けることが明らかとなっている。同社ではセキュリティ・ホールを修正した対策版を用意。同社サイトでセキュリティ・ホールに関する情報や対策版の情報を提供している。
◎参考資料
◆Tomcat におけるリクエスト処理に関する脆弱性(JVN)
◆JVN#79314822:「Tomcat」におけるリクエスト処理に関する脆弱性(IPA)
◆Cosminexus Application Serverで他のリクエストのリクエストボディを使用する問題(日立)
