ニュース
» 2005年11月11日 21時18分 公開

IPA、Tomcat 4.xの脆弱性の修正パッチを独自に提供

IPAは、9月30日に公表されたオープンソースのJavaアプリケーションサーバ「Tomcat 4.x」に存在する脆弱性を修正する独自プログラムを作成し、無償での配布を開始した。

[ITmedia]

 情報処理推進機構(IPA)は11月11日、9月30日に警告されたオープンソースのJavaアプリケーションサーバ「Apache Tomcat 4.x」に存在する脆弱性を修正する独自プログラムを作成し、無償での配布を開始した。

 この脆弱性は、TomcatがWebサーバと連動する際に用いるプロトコルの1つであるAJP(Apache JServ Protocol)のコネクタに存在する。細工を施したAJP 1.3形式のリクエストを受け取ると、バッファに直前の情報を残したままサーブレットが呼び出されて処理が行われるため、別のユーザーになりすまされる恐れがある。

 しかし、開発元のApache Software Foundationでは、AJP 1.3 Connectorはもうサポートしておらず、代わりに根本的な対策として、Coyote JK Connectorの利用を推奨している。そもそもTomcat本体についても、バージョン4.x系列から5.x系列へのアップグレードを勧めている状態だ。このため、脆弱性が公表されてから1カ月以上が経つにもかかわらず、同Foundationによる正式な修正プログラムは提供されていない。

 しかしIPAによると、Tomcatバージョン4.xを利用しているシステムは今なお数多く稼動しているという。脆弱性情報の公開後、IPAに複数の問い合わせも寄せられたということだ。これを踏まえてIPAでは、構成変更やアップグレードなどの対処が早急に行えない環境向けにAJP 1.3 Connectorの問題を修正するプログラムを独自に作成し、提供することとした。

 この修正プログラムはIPAのWebサイトより入手できる。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ