Tomcat 4.xに脆弱性、幾つかの製品に影響も

オープンソースのJavaアプリケーションサーバ「Tomcat 4.x」に、なりすましを受ける脆弱性が存在する。

[ITmedia]

　情報処理推進機構（IPA）セキュリティセンターとJPCERTコーディネーションセンター（JPCERT/CC）は9月30日、オープンソースのJavaアプリケーションサーバ「Tomcat」に脆弱性が存在するとし、警告を発した。JVNの情報によると、問題が存在するのはTomcat 4.x。

　Tomcatは、Apache Jakartaプロジェクトで開発が進められてきたオープンソースのWebアプリケーションサーバ。9月23日には、Apacheのトッププロジェクトへ「昇格」することが明らかになったばかりだ。

　Tomcatでは、Webサーバとのやり取りを行うプロトコルとして、HTTP以外にAJP（Apache JServ Protocol）が利用できる。Tomcat 4.xでは、このAJP 1.3形式のリクエストを受け取った際の内容確認が不十分であることが脆弱性の原因だ。

　細工を施したAJP 1.3形式のリクエストを受け取ると、バッファに直前の情報を残したままサーブレットが呼び出されて処理が行われ、別のユーザーになりすまされる恐れがある。

　JVNによると、Tomcat 4.x向けに問題を修正するパッチが提供されるかどうかは不透明であり、5.x系列へのアップグレードが推奨されるという。

　Tomcat 4.xを組み込んだサードパーティー製の製品にもこの脆弱性は影響する。JVNの情報によると、製品名は明らかにされていないもののトレンドマイクロに該当する製品があるほか、日立製作所の「Cosminexus Application Server Version 5／6」などにも影響があるという。関係するベンダーの情報は、これまで公開された脆弱性同様、引き続き更新されていく見込み。