情報処理推進機構(IPA)は11日、Apache Tomcatの脆弱性修正プログラムを作成し、提供を開始した。
Apache Tomcatは、WebサーバーのApache上でJavaアプリケーションを動作させるためのソフトウェアで、Javaを利用したWebアプリケーションにおいて広く利用されている。今回提供する修正プログラムは、Tomcatのバージョン4.1.31以前でAJP 1.3 Connectorを使用している場合に、特定のリクエストが適切に処理されない脆弱性に対するもの。
IPAでは発見者からの届け出を受け、9月30日に脆弱性を公表。開発元であるApache Software Foundationに情報を通知し、修正プログラムの提供を依頼したが、現時点で開発元からは正式な修正プログラムは提供されていないため、独自に修正プログラムを提供する。
Apache Software Foundationは、現在はAJP 1.3 Connectorをサポートしておらず、代わりにCoyote JK Connectorを使用することを推奨している。また、Tomcatについても、バージョン4.xから5.xへのアップグレードを推奨している。しかし、バージョン4.xを使用したシステムが現在も多く稼動しており、脆弱性についてもIPAに複数の問い合わせがあったことから、IPAでは構成変更等の対処が早急にできない環境で脆弱性を回避できるよう、AJP 1.3 Connectorの問題を修正するプログラムを作成し、提供することにしたという。
関連情報
■URL
ニュースリリース
http://www.ipa.go.jp/about/press/20051111.html
( 三柳英樹 )
2005/11/11 18:13
- ページの先頭へ-
|