TomcatにXSSの脆弱性、最新版にアップデートを

Webアプリケーションサーバ「Apache Tomcat」の管理インタフェースにクロスサイトスクリプティング(XSS)の脆弱性が見つかった

» 2007年08月15日 15時16分 公開
[ITmedia]

 情報処理推進機構(IPA)セキュリティセンターおよびJPCERTコーディネーションセンター(JPCERT/CC)は8月15日、Apache Software Foundation(ASF)のWebアプリケーションサーバ「Apache Tomcat」にクロスサイトスクリプティング(XSS)の脆弱性が発見されたと発表、JVN(Japan Vulnerability Notes)に情報を公開した。

 Apache Tomcatは、サーバ上でJavaアプリケーションを動作させるためのオープンソースソフトウェア。今回見つかった問題は、管理用インタフェースHost ManagerのサーブレットがWebページ表示前にフィルタリングを行わないため、任意のスクリプトが埋め込まれてしまうXSSの脆弱性。細工を施したWebサーバを介してTomcatサーバにアクセスすると、Host Managerが出力するページに埋め込まれたスクリプトがユーザーが意図しない形で実行される恐れがあるという。

 この問題の影響を受けるのは、Apache Tomcat 5.5.0〜5.5.24、Apache Tomcat 6.0.0〜6.0.13の各バージョン。Apache Tomcat 6.0.xのユーザーはASFが公開する最新のバージョン6.0.14に更新することで修正できる。またApache Tomcat 5.5.xのユーザーは、現在ASFから最新版が提供されていないため、Host Managerでの作業が終了する度にブラウザを閉じるなどの回避策を講じる必要がある。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ