JP Vendor Status Notes(JVN)は3月14日,オープンソースのJavaサーブレット・エンジン「Apache Jakarta Tomcat 3.x」に見つかったセキュリティ・ホールを公表した。Tomcat 3.12以前は,細工が施されたデータを送信されると正常に動作しなくなる恐れがある。Tomcat 4.x以降は影響を受けない。
今回のセキュリティ・ホールを発見したのは,HIRT(Hitachi Incident Response Team)。HIRTでは,情報セキュリティ早期警戒パートナーシップに基づき情報処理推進機構(IPA)へ今回のセキュリティ・ホールを報告した。そして,JPCERTコーディネーションセンター (JPCERT/CC)が米CERT/CCやベンダーとの調整を行ったという。
Tomcatは単体でもWebサーバーとして動作するが,Apache Web Serverと連携させて利用する場合が多い。連携には,AJP12(Apache JServ Protocl 1.2)と呼ばれるプロトコル(通常はTCPポート8007番を使用)を利用する。このAJP12を処理する部分に,今回セキュリティ・ホールが見つかった。
具体的には,AJP12を使って特定のパターンで繰り返しアクセスされると,Tomcatのパフォーマンスが徐々に低下し,最終的にはT反応しなくなるという。つまり,DoS(サービス妨害)攻撃を受ける恐れがある。Tomcatを再起動すれば元の状態に戻る。なお,サーバー上で任意のプログラムを実行されるようなことはない。
JVNの情報では,Tomcat 3.12以前に今回のセキュリティ・ホールが確認されているという。また,Tomcat 3.xを利用している製品も影響も受ける。例えば日立では,同社製品「Cosminexus Server Component Container for Java」が影響を受けることを明らかにしている。
対策は,Tomcat 4.x以上にバージョンアップすること。JVNの情報によると,Apache Software Foundationは今回のセキュリティ・ホールを確認しているものの,3月14日時点では,3.xの修正バージョンを配布する予定はないという。
また,インターネットとの境界に設置したファイアウオールやルーターなどで,AJP12の通信をフィルタリングすることも対策となる。加えて,WebサーバーとTomcat間の通信にAJP12以外のプロトコルを使用することも対策になるという。
◎参考資料
◆JVN#DD18AD07 Tomcat におけるサービス拒否の脆弱性
◆JVN#DD18AD07 Tomcat におけるサービス拒否の脆弱性(PDFファイル)
◆Cosminexus Server Component Container for Java が無応答になる問題(日立製作所)
(勝村 幸博=IT Pro)
