Apache Tomcat^®

• Apache Tomcat JK コネクタの脆弱性
• Apache Tomcat JK コネクタ 1.2.50 で修正済み
• Apache Tomcat JK コネクタ 1.2.49 で修正済み
• Apache Tomcat JK コネクタ 1.2.46 で修正済み
• Apache Tomcat JK コネクタ 1.2.43 で修正済み
• Apache Tomcat JK コネクタ 1.2.42 で修正済み
• Apache Tomcat JK コネクタ 1.2.41 で修正済み
• Apache Tomcat JK コネクタ 1.2.27 で修正済み
• Apache Tomcat JK コネクタ 1.2.23 で修正済み
• Apache Tomcat JK コネクタ 1.2.21 で修正済み
• Apache Tomcat JK コネクタ 1.2.16 で修正済み

このページでは、リリースされた Apache Tomcat JK コネクタのバージョンで修正されたすべてのセキュリティ脆弱性を一覧表示しています。各脆弱性には、Apache Tomcat^® セキュリティチームによってセキュリティ影響度評価が付けられています。この評価はプラットフォームによって異なる場合があることに注意してください。また、この欠陥が影響を与えることが判明している Apache Tomcat JK コネクタのバージョン、および欠陥が未検証の場合は疑問符付きでバージョンを一覧表示しています。

このページは、Apache Tomcat のアーカイブと CVE リストのレビューから作成されました。これらの脆弱性に関するコメントや修正は、Tomcat セキュリティチームにお送りください。

中程度：情報漏洩 / サービス拒否 CVE-2024-46544

Unix 系システムで JkShmFile ディレクティブによって設定されたメモリマップドファイルのデフォルト権限が誤っているため、ローカルユーザーが mod_jk の構成とステータス情報を含む共有メモリの内容を閲覧および/または変更できる可能性があります。これにより、情報漏洩および/またはサービス拒否が発生する可能性があります。

これはコミット d55706e9 で修正されました。

この問題は、2024 年 8 月 6 日に Tomcat セキュリティチームによって特定されました。この問題は 2024 年 9 月 23 日に公開されました。

影響：JK 1.2.9-1.2.49 (Unix 系プラットフォーム上の mod_jk のみ)

重要：情報漏洩 CVE-2023-41081

JkOptions +ForwardDirectories を含む構成であっても、すべてのプロキシされる可能性のあるリクエストに対して明示的なマウントが提供されていない場合など、特定の状況において、mod_jk は暗黙的なマッピングを使用し、リクエストを最初に定義されたワーカーにマップしていました。このような暗黙的なマッピングは、ステータスワーカーの意図しない公開や、httpd で設定されたセキュリティ制約のバイパスにつながる可能性がありました。JK 1.2.49 以降、暗黙的なマッピング機能は削除され、すべてのマッピングは明示的な構成を介して行われる必要があります。この問題の影響を受けるのは mod_jk のみです。ISAPI リダイレクターは影響を受けません。

これはコミット 0095b6cb で修正されました。

この問題は 2023 年 7 月 7 日に Tomcat セキュリティチームに報告されました。この問題は 2023 年 9 月 13 日に公開されました。

影響：JK 1.2.0-1.2.48 (mod_jk のみ)

注：以下の問題は Apache Tomcat JK コネクタ 1.2.45 で修正されましたが、1.2.45 のリリース候補の投票が承認されませんでした。したがって、この問題の修正を含むバージョンを入手するにはユーザーは 1.2.46 をダウンロードする必要がありますが、バージョン 1.2.45 は影響を受けるバージョンのリストには含まれていません。

重要：情報漏洩 CVE-2018-11759

Apache Web Server (httpd) 固有の、要求されたパスを URI-worker マップに一致させる前に正規化するコードが、一部のエッジケースを正しく処理していませんでした。Tomcat がサポートする URL の一部のみが httpd 経由で公開されている場合、特別に作成されたリクエストによって、リバースプロキシ経由でアプリケーションにアクセスするクライアントには意図されていないアプリケーション機能がリバースプロキシを介して公開される可能性がありました。また、一部の構成では、特別に作成されたリクエストによって httpd で設定されたアクセスコントロールをバイパスできる可能性もありました。この問題と CVE-2018-1323 には重複する部分がありますが、それらは同一ではありません。

これはリビジョン 1838836, 1838857, 1838871, 1838882, 1840444, 1840445, 1840448, 1840449, 1840450, 1840451, 1840491, 1840588, 1840592, 1840603, 1840604, 1840610, 1840629 および 1841463 で修正されました。

影響：JK 1.2.0-1.2.44

重要：情報漏洩 CVE-2018-1323

IIS/ISAPI 固有の、要求されたパスを URI-worker マップに一致させる前に正規化するコードが、一部のエッジケースを正しく処理していませんでした。Tomcat がサポートする URL の一部のみが IIS 経由で公開されている場合、特別に作成されたリクエストによって、リバースプロキシ経由でアプリケーションにアクセスするクライアントには意図されていないアプリケーション機能がリバースプロキシを介して公開される可能性がありました。

これはリビジョン 1825658 で修正されました。

影響：JK 1.2.0-1.2.42

中程度：バッファオーバーフロー CVE-2016-6808

IIS/ISAPI 固有のコードは、仮想ホストが存在する場合に特別な処理を実装しています。仮想ホスト名と URI は連結され、仮想ホストマッピングルールが作成されます。このルールをターゲットバッファに書き込む前の長さチェックでは、仮想ホスト名の長さが考慮されておらず、バッファオーバーフローの可能性を生み出していました。

このオーバーフローが悪用可能かどうかは不明です。

これはリビジョン 1762057 で修正されました。

影響：JK 1.2.0-1.2.41

重要：情報漏洩 CVE-2014-8111

リクエスト URI 内の複数の連続するスラッシュは、設定されたマウントおよびアンマウントパターンと比較する前に単一のスラッシュに結合されていませんでした。したがって、攻撃者は複数の連続するスラッシュを含むリクエスト URI を使用して、JkUnmount ディレクティブの制限をバイパスする可能性があります。これにより、リバースプロキシを介してアプリケーションにアクセスするクライアントには意図されていないアプリケーション機能がリバースプロキシを介して公開される可能性があります。

mod_jk 1.2.41 以降、スラッシュはデフォルトで結合されます。この動作は、httpd の新しい JkOption (値: CollapseSlashesAll, CollapseSlashesNone または CollapseSlashesUnmount) および IIS の新しいプロパティ collapse_slashes (値: all, none, unmount) を介して設定可能になりました。

これはリビジョン 1647017 で修正されました。

影響：JK 1.2.0-1.2.40

重要：情報漏洩 CVE-2008-5519

問題のあるクライアントがデータを提供せずに Content-Length を設定した場合、またはユーザーが非常に迅速に繰り返しリクエストを送信した場合、あるユーザーが別のユーザーのリクエストに関連付けられた応答を閲覧できる可能性があります。

これはリビジョン 702540 で修正されました。

影響：JK 1.2.0-1.2.26
Tomcat 4.0.0-4.0.6, 4.1.0-4.1.36, 5.0.0-5.0.30, 5.5.0-5.5.27 に同梱されたソース

重要：情報漏洩 CVE-2007-1860

この問題はCVE-2007-0450 に関連しており、そのパッチは不十分でした。

複数のコンポーネント（ファイアウォール、キャッシュ、プロキシ、Tomcat）がリクエストを処理する場合、リクエスト URL がこれらのコンポーネントによって繰り返し複数回デコードされるべきではありません。そうしないと、リクエストに複数の URL エンコーディングを適用することで、最後のコンポーネントの前に実装されたアクセスコントロールルールを通過できる可能性があります。

バージョン 1.2.23 より前の mod_jk は、デフォルトで Apache httpd 内でリクエスト URL をデコードし、エンコードされた URL を Tomcat に転送していました。Tomcat 自身が 2 回目のデコードを行っていたため、/someapp の JkMount プレフィックスを通過させながら、実際には Tomcat 上の /otherapp にアクセスすることが可能でした。バージョン 1.2.23 以降では、mod_jk はデフォルトで元の変更されていないリクエスト URL を Tomcat に転送します。以前のバージョンでも、転送オプション「JkOption ForwardURICompatUnparsed」を設定することで、同レベルのセキュリティを実現できます。

構成によっては、異なる転送 JkOption が含まれている場合があることに注意してください。この場合、セキュリティ上の影響については転送に関するドキュメントを参照してください。新しいデフォルト設定は以前よりも安全ですが、mod_rewrite との相互運用性を損ないます。

影響：JK 1.2.0-1.2.22 (httpd mod_jk モジュールのみ)
Tomcat 4.0.0-4.0.6, 4.1.0-4.1.36, 5.0.0-5.0.30, 5.5.0-5.5.23 に同梱されたソース

緊急：任意のコード実行とサービス拒否 CVE-2007-0774

ネイティブ JK コネクタの URI ハンドラにおける安全でないメモリーコピーにより、スタックオーバーフロー状態が発生し、任意のコード実行やウェブサーバーのクラッシュに利用される可能性があります。

影響：JK 1.2.19-1.2.20
同梱されたソース：Tomcat 4.1.34, 5.5.20

重要：情報漏洩 CVE-2006-7197

Tomcat AJP コネクタには、send_body_chunks AJP メッセージによって配信されるチャンクの長さが長すぎることがあるバグが含まれていました。この種のバグにより、mod_jk がバッファ境界を越えて読み取り、クライアントに機密メモリ情報を漏洩させる可能性があります。

影響：JK 1.2.0-1.2.15
同梱されたソース：Tomcat 4.0.0-4.0.6, 4.1.0-4.1.32, 5.0.0-5.0.30, 5.5.0-5.5.16