Apache Tomcatに不正Cookieの脆弱性

IPAとJPCERT/CCは、オープンソースソフトウェア「Apache Tomcat」で、不正なCookieが送信される脆弱性が見つかったと発表した。

[ITmedia]

　情報処理推進機構（IPA）セキュリティセンターとJPCERTコーディネーションセンター（JPCERT/CC）は2月12日、Webアプリケーションサーバに脆弱性が発見されたと発表した。

　サーバ上でJavaアプリケーションを動作させるためのオープンソースソフトウェア「Apache Tomcat」で、不正なCookieが送信される脆弱性が見つかった。Apache Tomcatは、HTTPリクエストに基づくCookie情報の生成過程で特定の文字を適切に処理しないため、遠隔からユーザーのWebブラウザに不正なCookieが送信される可能性がある。

Apache Tomcatの脆弱性（同社Webページより）

　影響を受けるシステムは「Apache Tomcat 4.1.0から4.1.36」「同5.5.0から5.5.25」「同6.0.0から6.0.14」。

　Apache Tomcat 6.0.xおよびApache Tomcat 5.5.xの場合、最新版にアップグレードすれば対処できる。Apache Tomcat 4.1.xでは最新版は提供されていないが、近日中に公開のApache Tomcat 4.1.37では問題が解消しているという。