Japan
サイト内の現在位置を表示しています。
WebOTX Web コンテナ:Apache Tomcat の JK Connector における重要な情報が取得される脆弱性 (2009年06月15日時点)
1. 概要
Apache Tomcat JKコネクタ(mod_jk)1.2.0から1.2.26には、Content-Length ヘッダの処理に関して不備があるため、HTTP クライアントからの任意のリクエストにより、重要な情報が取得される脆弱性が存在します。
2. 問題のある製品名
次の製品が該当します。
- WebOTX Web Edition V4.x~V6.x
- WebOTX Standard-J Edition V4.x~V6.x
- WebOTX Standard Edition V4.x~V6.x
- WebOTX Enterprise Edition V4.x~V6.x
- WebOTX Application Server Web Edition V7.x~V8.1
- WebOTX Application Server Standard-J Edition V7.x~V8.1
- WebOTX Application Server Standard Edition V7.x
- WebOTX Application Server Enterprise Edition V7.x
- WebOTX Application Server Express V8.2
- WebOTX Application Server Foundation V8.2
- WebOTX Application Server Standard V8.2
- WebOTX Application Server Enterprise V8.2
- WebOTX SIP Application Server Standard Edition V7.x~V8.1
- WebOTX UDDI Registry V1.1~V7.1
- WebOTX 開発環境 V6.1~V6.5
- WebOTX Developer V7.x~V8.2
- WebOTX Enterprise Service Bus V6.4~V7.x
3. 対処方法
別途パッチを用意しております。詳細につきましては弊社営業にお問合せください。
4. 参考ページ
- (JVNDB-2009-001198)Apache Tomcat の JK Connector における重要な情報が取得される脆弱性
- (CVE-2008-5519)The JK Connector (aka mod_jk) 1.2.0 through 1.2.26 in Apache Tomcat allows remote attackers to obtain sensitive information via an arbitrary request from an HTTP client, in opportunistic circumstances involving (1) a request from a different client that included a Content-Length header but no POST data or (2) a rapid series of requests, related to noncompliance with the AJP protocol's requirements for requests containing Content-Length headers.
5. Q & A
-
ApacheベースではないWebサーバを使用している場合、本事象には該当しないと考えていますが認識が正しいでしょうか?
本脆弱性は、Apache HTTP Serverなどの外部Webサーバを利用している場合に影響があります。外部Webサーバとして IISや、Sun Java Webサーバと連携している場合も影響があります。内蔵Webサーバの場合は影響ありません。
6. 更新履歴
- 2009/06/15
- 2009/05/19