【活用ガイド】

JVNDB-2018-008951

Apache Tomcat JK mod_jk Connector にパストラバーサルの脆弱性

概要

Apache Tomcat JK mod_jk Connector には、パストラバーサルの脆弱性が存在します。

Apache Tomcat JK mod_jk Connector は、受け取った URI を正規化して worker プロセスとの対応付けを行います。この正規化処理の部分に問題があり、細工された URI を適切に処理できない場合があります。

この問題は、CVE-2018-1323 の問題と重複する部分もありますが、同一の問題ではありません。
CVSS による深刻度 (CVSS とは?)

影響を受けるシステム


Apache Software Foundation
  • Apache Tomcat JK Connector 1.2.0 から 1.2.44 まで

想定される影響

Apache httpd とリバースプロキシを組み合わせたシステムで、Tomcat で動作するアプリへのアクセスを一定の形式の URI のみに制限している場合に、細工されたリクエストにより、制限を回避してアプリにアクセスされる可能性があります。
対策

[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は本脆弱性の対策版として、次のバージョンをリリースしています。

* Apache Tomcat JK Connector 1.2.46
ベンダ情報

Apache Software Foundation
CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2018-11759
参考情報

  1. JVN : JVNVU#99875465
  2. National Vulnerability Database (NVD) : CVE-2018-11759
更新履歴

  • [2018年11月02日]
      掲載
  • [2019年09月27日]
      参考情報:National Vulnerability Database (NVD) (CVE-2018-11759) を追加