JVNDB-2023-003641
|
Apache Tomcat Connectors (mod_jk) における情報漏えいの脆弱性
|
|
Apache Tomcat Connectors (mod_jk) には、設定情報に「JkOptions +ForwardDirectories」が含まれているのに、これがプロキシされるリクエストに対して明示的なマウントがない場合などに、暗黙的なマッピングを使用して、リクエストを最初に定義されたワーカーにマップしてしまうことによる情報漏えいの脆弱性 (CVE-2023-41081) があります。
|
|
|
|
|
Apache Software Foundation
- Apache Tomcat Connectors mod_jk Connector 1.2.0 から 1.2.48
|
ISAPI リダイレクタは本脆弱性の影響を受けません。
|
|
この暗黙的なマッピングにより、ステータスワーカーが意図せず公開されたり、httpd で構成されたセキュリティ制約がバイパスされたりする可能性があります。
|
|
[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者によると、次のバージョンで暗黙的なマッピング機能は削除され、すべてのマッピングは明示的な構成によって行われるように修正されているとのことです。
* Apache Tomcat Connector (mod_jk) 1.2.49 以降
[ワークアラウンドを実施する]
想定されるすべてのプロキシリクエストに対して、明示的なマウントが設定されていることを確認してください。
|
|
Apache Software Foundation
日本電気
|
|
|
|
- CVE-2023-41081
|
|
- JVN : JVNVU#96802408
- National Vulnerability Database (NVD) : CVE-2023-41081
|
|
- [2023年09月15日]
掲載
- [2023年11月20日]
ベンダ情報:日本電気 (NV23-010) を追加
|
