公開日:2023/09/14 最終更新日:2023/09/14

JVNVU#96802408
Apache Tomcat Connectors(mod_jk)における情報漏えいの脆弱性

概要

Apache Tomcat Connectors(mod_jk)には、情報漏えいの脆弱性が存在します。

影響を受けるシステム

  • Apache Tomcat Connectors mod_jk Connector 1.2.0から1.2.48
ISAPIリダイレクタは本脆弱性の影響を受けません。

詳細情報

Apache Tomcat Connectors(mod_jk)には、設定情報に「JkOptions +ForwardDirectories」が含まれているのに、これがプロキシされるリクエストに対して明示的なマウントがない場合などに、暗黙的なマッピングを使用して、リクエストを最初に定義されたワーカーにマップしてしまうことによる情報漏えいの脆弱性(CVE-2023-41081)があります。

想定される影響

この暗黙的なマッピングにより、ステータスワーカーが意図せず公開されたり、httpdで構成されたセキュリティ制約がバイパスされたりする可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者によると、次のバージョンで暗黙的なマッピング機能は削除され、すべてのマッピングは明示的な構成によって行われるように修正されているとのことです。

  • Apache Tomcat Connector (mod_jk) 1.2.49以降
ワークアラウンドを実施する
想定されるすべてのプロキシリクエストに対して、明示的なマウントが設定されていることを確認してください。
 

ベンダ情報

ベンダ リンク
The Apache Software Foundation [SECURITY] CVE-2023-41081 Apache Tomcat Connectors (mod_jk) Information Disclosure
Fixed in Apache Tomcat JK Connector 1.2.49

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia