公開日:2018/03/13 最終更新日:2018/07/30

JVNVU#94969247
Apache Tomcat JK ISAPI Connector にパストラバーサルの脆弱性

概要

Apache Tomcat JK ISAPI Connector には、パストラバーサルの脆弱性が存在します。

影響を受けるシステム

  • Apache Tomcat JK ISAPI Connector 1.2.0 から 1.2.42 まで

詳細情報

Apache Tomcat JK ISAPI Connector の IIS/ISAPI 向けの処理のなかで、受け取ったリクエストの URI から worker への対応付けを行う前にリクエスト中のパスを正規化する処理に、パストラバーサル (CWE-22) の脆弱性が存在します。

想定される影響

Apache Tomcat 側で処理が行われるパスのうち一部の範囲のみを IIS 経由で公開する設定にしている場合に、リバースプロキシ経由で受け取った細工されたリクエストにより、公開していないパスにアクセスされる可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者はこれらの脆弱性の対策版として、次のバージョンをリリースしています。

  • Apache Tomcat JK ISAPI Connector 1.2.43

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
ジェイティ エンジニアリング株式会社 該当製品無し 2018/04/03
日本電気株式会社 該当製品あり 2018/07/30
ベンダ リンク
The Apache Software Foundation Fixed in Apache Tomcat JK Connector 1.2.43

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2018-1323
JVN iPedia

更新履歴

2018/04/03
ジェイティ エンジニアリング株式会社のベンダステータスが更新されました
2018/07/30
日本電気株式会社のベンダステータスが更新されました