United States Computer Emergency Readiness Team (US-CERT)は10月31日(米国時間)、「Apache Releases Security Update for Apache Tomcat JK Connectors|US-CERT」において、Apache Tomcat JK Connectorsに、パストラバーサルの脆弱性が存在すると伝えた。
JPCERT/CCによると、Apache Tomcat JK mod_jk Connector は、受け取った URI を正規化して worker プロセスとの対応付けを行うが、正規化処理の部分に問題があり、細工された URI を適切に処理できない場合があるという。
Apache httpd とリバースプロキシを組み合わせたシステムで、Tomcat で動作するアプリへのアクセスを一定の形式の URI のみに制限している場合に、細工されたリクエストにより、制限を回避してアプリにアクセスされるおそれがある。
影響を受けるとされるプロダクトおよびバージョンは次のとおり。
- Apache Tomcat JK Connectors 1.2.0から1.2.44までのバージョン
脆弱性に関する情報は次のメールにまとまっている。
-
[SECURITY] CVE-2018-11759 Apache Tomcat JK (mod_jk) Connector path traversal
![[SECURITY] CVE-2018-11759 Apache Tomcat JK (mod_jk) Connector path traversal](/techplus/photo/article/20181106-718122/images/001l.jpg)
