IPAとJPCERT/CCは、オープンソースソフトウェア「Apache Tomcat」で、不正なCookieが送信される脆弱性が見つかったと発表した。
情報処理推進機構(IPA)セキュリティセンターとJPCERTコーディネーションセンター(JPCERT/CC)は2月12日、Webアプリケーションサーバに脆弱性が発見されたと発表した。
サーバ上でJavaアプリケーションを動作させるためのオープンソースソフトウェア「Apache Tomcat」で、不正なCookieが送信される脆弱性が見つかった。Apache Tomcatは、HTTPリクエストに基づくCookie情報の生成過程で特定の文字を適切に処理しないため、遠隔からユーザーのWebブラウザに不正なCookieが送信される可能性がある。
影響を受けるシステムは「Apache Tomcat 4.1.0から4.1.36」「同5.5.0から5.5.25」「同6.0.0から6.0.14」。
Apache Tomcat 6.0.xおよびApache Tomcat 5.5.xの場合、最新版にアップグレードすれば対処できる。Apache Tomcat 4.1.xでは最新版は提供されていないが、近日中に公開のApache Tomcat 4.1.37では問題が解消しているという。
Copyright © ITmedia, Inc. All Rights Reserved.