Apache Tomcat における脆弱性に関する注意喚起

2017年9月28日

JPCERT/CC:Apache Tomcatにおける脆弱性に関する注意喚起が公開されています。

 

Apache Tomcat について、脆弱性 (CVE-2017-12617) に関する情報があります。
本脆弱性は Apache Tomcat の readonly パラメータを false に設定し、HTTP
PUT メソッドを有効にしている場合に、遠隔から任意のコードが実行される可
能性があります。

2017年9月25日現在、Apache Software Foundation からは、影響を受ける
バージョンや詳細については明らかにされておりませんが、JPCERT/CC では、
CVE-2017-12615 にて対象となったバージョン以外も影響を受けることを確認
しています。2017年9月25日現在、Apache Software Foundation からは、脆弱性 (CVE-2017-12617)
への対策を施した修正済みのバージョンは提供されておりません。

 

 

readonly パラメータを false に設定している場合、JPCERT/CC にて検証したと
ころ、Windows 以外の OS で動作している場合や、 脆弱性 (CVE-2017-12615)
の対象となる Apache Tomcat 7.0.0 から 7.0.79 以外のバージョンでも影響
を受け、悪用される可能性があることを確認しています。

 

次の設定を行い脆弱性の影響を軽減することを検討してください。

    - Apache Tomcat において、readonly パラメータを true に設定するか、HTTP PUT リクエストを受け付けないよう設定を行う。

       設定例) web.xml ファイルに追記し、readonly パラメータを true に設定する
         <init-param>
             <param-name>readonly</param-name>
             <param-value>true</param-value>
         </init-param>

なお、readonly パラメータは、デフォルトでは、true に設定されています。

設定の変更ができない場合は、インターネットからのアクセスに対して適切に
アクセス制限を行うこともお勧めします。

 

下記をご参照ください。

http://www.jpcert.or.jp/at/2017/at170038.html

お問い合わせ

CSIRT
電話:0852-32-6091