JVNVU#94679920
Apache Tomcat の複数の脆弱性に対するアップデート

The Apache Software Foundation から、Apache Tomcat に関する複数の脆弱性に対するアップデートが公開されました。

CVE-2020-1935

• Apache Tomcat 9.0.0.M1 から 9.0.30 まで
• Apache Tomcat 8.5.0 から 8.5.50 まで
• Apache Tomcat 7.0.0 から 7.0.99 まで

• Apache Tomcat 9.0.0.M1 から 9.0.30 まで
• Apache Tomcat 8.5.0 から 8.5.50 まで
• Apache Tomcat 7.0.0 から 7.0.99 まで

• Apache Tomcat 9.0.28 から 9.0.30 まで
• Apache Tomcat 8.5.48 から 8.5.50 まで
• Apache Tomcat 7.0.98 から 7.0.99 まで

The Apache Software Foundation から、Apache Tomcat に関する次の複数の脆弱性に対するアップデートが公開されました。

• HTTP Request Smuggling (CWE-444) - CVE-2020-1935、CVE-2019-17569
  • Apache Tomcat が無効な Transfer-Encoding ヘッダーを誤って処理したリバースプロキシの配下にある場合 HTTP Request Smuggling 攻撃を受ける可能性があります。
• 不適切な認可処理 (CWE-285) - CVE-2020-1938
  • Apache JServ Protocol (AJP) は Apache httpd が受け付けたリクエストを Apache Tomcat に連携する際に使用されており、デフォルトで有効な設定となっています。AJP ポートにアクセスが可能な場合、任意のリクエストを送信される可能性があります。

CVE-2020-1935、CVE-2019-17569

• ​​細工された HTTP ヘッダを含む HTTP リクエストを処理することで、情報を改ざんされるなどの可能性があります

• Apache Tomcat の設定によって影響は異なりますが、WEB-INF や META-INF、または ServletContext.getResourceAsStream() が到達可能ディレクトリ配下の任意のファイルを読み取られる可能性があります。また、Web アプリケーションがファイルのアップロードおよび保存を許可している場合に第三者に任意のコードを実行される可能性があります。

CVE-2020-1935、CVE-2020-1938、CVE-2019-17569
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は脆弱性の対策として、次のバージョンをリリースしています。

• Apache Tomcat 9.0.31
• Apache Tomcat 8.5.51
• Apache Tomcat 7.0.100

• server.xml から AJP Connector の設定を削除する
• AJP ポートへの接続を制限する
  • ファイアウォールの設定
  • AJP コネクタに明示的にアドレスを設定する
  • AJP 接続の認可設定を行う