Tomcatに2種類のクロスサイトスクリプティング脆弱性

オープンソースのWebアプリケーションサーバ「Apache Tomcat」に、2種類のクロスサイトスクリプティングの脆弱性が存在する。

[ITmedia]

　オープンソースのWebアプリケーションサーバ「Apache Tomcat」にクロスサイトスクリプティングの脆弱性が存在することが明らかになった。

　JVN（JP Vendor Status Notes）が6月15日に公開した情報によると、Apache Tomcatに関連して、2種類のクロスサイトスクリプティングの脆弱性が存在する。1つは、付属のサンプルプログラム「jsp-examples」に存在するもの。もう1つは管理者向けインタフェースの「Web Application Manager」に存在する問題だ。いずれも悪意あるWebサイトを介して悪用されれば、ユーザーの意図しないスクリプトが実行されてしまう恐れがある。

　これら脆弱性の影響を受けるのは、Apache Tomcat 4.0.6以前、4.1.36以前、5.0.30以前、5.5.24以前および6.0.13以前。今のところApache Foundationによる正式な解決策は示されておらず、「付属のサンプルプログラムをインストールしない」「Web Application Managerで作業が終了のするたびにブラウザを閉じ、ログアウトする」といった手段が回避策になるという。