IPA、Tomcat 4.xの脆弱性の修正パッチを独自に提供

IPAは、9月30日に公表されたオープンソースのJavaアプリケーションサーバ「Tomcat 4.x」に存在する脆弱性を修正する独自プログラムを作成し、無償での配布を開始した。

[ITmedia]

　情報処理推進機構（IPA）は11月11日、9月30日に警告されたオープンソースのJavaアプリケーションサーバ「Apache Tomcat 4.x」に存在する脆弱性を修正する独自プログラムを作成し、無償での配布を開始した。

　この脆弱性は、TomcatがWebサーバと連動する際に用いるプロトコルの1つであるAJP（Apache JServ Protocol）のコネクタに存在する。細工を施したAJP 1.3形式のリクエストを受け取ると、バッファに直前の情報を残したままサーブレットが呼び出されて処理が行われるため、別のユーザーになりすまされる恐れがある。

　しかし、開発元のApache Software Foundationでは、AJP 1.3 Connectorはもうサポートしておらず、代わりに根本的な対策として、Coyote JK Connectorの利用を推奨している。そもそもTomcat本体についても、バージョン4.x系列から5.x系列へのアップグレードを勧めている状態だ。このため、脆弱性が公表されてから1カ月以上が経つにもかかわらず、同Foundationによる正式な修正プログラムは提供されていない。

　しかしIPAによると、Tomcatバージョン4.xを利用しているシステムは今なお数多く稼動しているという。脆弱性情報の公開後、IPAに複数の問い合わせも寄せられたということだ。これを踏まえてIPAでは、構成変更やアップグレードなどの対処が早急に行えない環境向けにAJP 1.3 Connectorの問題を修正するプログラムを独自に作成し、提供することとした。

　この修正プログラムはIPAのWebサイトより入手できる。