IPAがTomcatのセキュリティ・パッチを作成し公開，「Apacheの対応を待てない」

ITPro

2005.11.11

　独立行政法人情報処理推進機構（IPA）は11月11日，オープンソースのJavaアプリケーション・サーバーApache Tomcatのセキュリティ・パッチを作成し公開した。このパッチは，JVNが9月30日に公開したセキュリティ・ホールに対するもの。

　問題となっているセキュリティ・ホール「JVN#79314822: Tomcat におけるリクエスト処理に関する脆弱性」は，Tomcatのバージョン4.1.31以前でAJP 1.3 Connectorを使用している場合に，別のユーザーになりすまされる恐れがあるというもの。

　IPAによれば，開発元であるThe Apache Software Foundationに通知しパッチの提供を依頼したが，現在までに公式なパッチは提供されていない。The Apache Software Foundationでは現在AJP 1.3 Connectorをサポートしておらず，代わりにCoyote JK onnectorを使用することを推奨している。また，Tomcat 4.xのユーザーには5.xへのアップグレードを推奨している。これらがパッチが提供されない要因となっていると見られる。

　しかし「バージョン 4.xを使用したシステムは現在も多く稼動しており，この脆弱性に関して複数の問合せがあった。影響範囲は広いと考えられる」（IPA）。そのためIPAでは，バージョンアップなどが早期にできないユーザーに向けAJP 1.3 Connector（org.apache.ajp.tomcat4.Ajp13Connector）のパッチを作成し公開したとしている。

　パッチはIPAのサイトからダウンロードできる。

この記事の目次へ戻る