Tomcat 3.xにDoS攻撃につながる脆弱性

JVNの情報によると、オープンソースのアプリケーションサーバ「Tomcat」の古いバージョンに、DoS攻撃を受けるおそれのある脆弱性が存在する。

[ITmedia]

　オープンソースのアプリケーションサーバ「Tomcat」の古いバージョンに、DoS攻撃を受けるおそれのある脆弱性が存在することが明らかになった。JPCERT コーディネーションセンター（JPCERT/CC）と情報処理推進機構（IPA）が共同で運営するJVN（JP Vendor Status Notes）で情報が公開された。

　Tomcatは、同じくApache Software Foundationが公開している「Apache」Webサーバと連携して動作する、オープンソースのWebアプリケーションサーバ。対応するServletに応じて3.x系列から5.x系列までがあり、最新バージョンは5.5.7となっている。

　今回指摘された脆弱性は、そのうち3.x系列に存在するもの。ApacheとTomcatの連携に利用される「AJP12」（Apache JServ Protocol 1.2）を用いて特定にパターンで繰り返しアクセスされると、システム性能が徐々に低下し、最終的にサービス不能（DoS）状態に陥るという。この脆弱性を悪用された場合、管理者権限の取得などは不可能だが、対外的なサービスの継続が困難になる恐れがある。

　開発元のApache Software Foundationでもこの問題を把握しているというが、現時点で修正バージョンを配布する予定はないという。問題を回避するには、AJP12が用いるTCP 8007ポートをフィルタリングするか、脆弱性の存在しないTomcat 4.x以降にアップグレードする。

　なおこの脆弱性は、日立のHIRT（Hitachi Incident Response Team）が発見し、IPAに届け出たもの。同社の「Cosminexus Server Component Container for Java」もこの脆弱性の影響を受けるといい、情報および修正プログラムを公開している。