JVNDB-2018-001879
|
Apache Tomcat JK ISAPI Connector にパストラバーサルの脆弱性
|
|
Apache Tomcat JK ISAPI Connector には、パストラバーサルの脆弱性が存在します。
Apache Tomcat JK ISAPI Connector の IIS/ISAPI 向けの処理のなかで、受け取ったリクエストの URI から worker への対応付けを行う前にリクエスト中のパスを正規化する処理に、パストラバーサル (CWE-22) の脆弱性が存在します。
|
|
|
|
|
Apache Software Foundation
- Apache Tomcat JK ISAPI Connector 1.2.0 から 1.2.42 まで
|
|
|
Apache Tomcat 側で処理が行われるパスのうち一部の範囲のみを IIS 経由で公開する設定にしている場合に、リバースプロキシ経由で受け取った細工されたリクエストにより、公開していないパスにアクセスされる可能性があります。
|
|
[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者はこれらの脆弱性の対策版として、次のバージョンをリリースしています。
* Apache Tomcat JK ISAPI Connector 1.2.43
|
|
Apache Software Foundation
日本電気
|
|
- パス・トラバーサル(CWE-22) [JPCERT/CC評価]
|
|
- CVE-2018-1323
|
|
- JVN : JVNVU#94969247
- National Vulnerability Database (NVD) : CVE-2018-1323
|
|
- [2018年03月14日]
掲載
- [2018年07月31日]
ベンダ情報:日本電気 (NV18-014) を追加
参考情報:National Vulnerability Database (CVE-2018-1323) を追加
|
