公開日:2024/09/24 最終更新日:2024/09/24

JVNVU#95995488
Apache Tomcat Connector(mod_jk)における不適切なデフォルトパーミッションの脆弱性

概要

Apache Tomcat Connector(mod_jk)には不適切なデフォルトパーミッションの脆弱性が存在します。

影響を受けるシステム

  • Apache Tomcat Connector(mod_jk)1.2.9-betaから1.2.49まで
Unix系システムのmod_jkのみが影響を受け、ISAPIリダイレクターおよびWindows上のmod_jkは影響を受けません。

詳細情報

The Apache Software Foundationから、Apache Tomcat Connector(mod_jk)の脆弱性に対するアップデートが公開されました。

  • Unix系システムのJkShmFileディレクティブによって設定されたメモリマップファイルに対するデフォルトのパーミッションが正しくないため、ローカルユーザーがmod_jk設定情報とステータス情報を含む共有メモリの内容を表示および変更できる問題(CVE-2024-46544、CWE-276

想定される影響

情報漏えいやサービス運用妨害(DoS)攻撃を受ける可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者によると、本脆弱性は次のバージョンで修正されているとのことです。

  • Apache Tomcat Connector(mod_jk)1.2.50

ベンダ情報

ベンダ リンク
The Apache Software Foundation [SECURITY] CVE-2024-46544 Apache mod_jk - Information Disclosure / Denial of Service-Apache Mail Archives
Fixed in Apache Tomcat JK Connector 1.2.50

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2024/09/24
[タイトル]、[概要]、[想定される影響]、[詳細情報]、[対策方法]を修正しました