JVNDB-2018-008951
|
Apache Tomcat JK mod_jk Connector にパストラバーサルの脆弱性
|
|
Apache Tomcat JK mod_jk Connector には、パストラバーサルの脆弱性が存在します。
Apache Tomcat JK mod_jk Connector は、受け取った URI を正規化して worker プロセスとの対応付けを行います。この正規化処理の部分に問題があり、細工された URI を適切に処理できない場合があります。
この問題は、CVE-2018-1323 の問題と重複する部分もありますが、同一の問題ではありません。
|
|
|
|
|
Apache Software Foundation
- Apache Tomcat JK Connector 1.2.0 から 1.2.44 まで
|
|
|
Apache httpd とリバースプロキシを組み合わせたシステムで、Tomcat で動作するアプリへのアクセスを一定の形式の URI のみに制限している場合に、細工されたリクエストにより、制限を回避してアプリにアクセスされる可能性があります。
|
|
[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は本脆弱性の対策版として、次のバージョンをリリースしています。
* Apache Tomcat JK Connector 1.2.46
|
|
Apache Software Foundation
|
|
|
|
- CVE-2018-11759
|
|
- JVN : JVNVU#99875465
- National Vulnerability Database (NVD) : CVE-2018-11759
|
|
- [2018年11月02日]
掲載
- [2019年09月27日]
参考情報:National Vulnerability Database (NVD) (CVE-2018-11759) を追加
|
