ニュース

「Apache Tomcat」にゼロデイ脆弱性、JPCERT/CCが回避策を案内

 「Apache Tomcat」におけるリモートから任意のコードが実行される可能性がある脆弱性「CVE-2017-12617」について、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が注意を喚起している。脆弱性が修正されたバージョンは未提供で、Apache Software Foundationでは、9月26日16時時点で情報を公表していない。

 この脆弱性は、デフォルトでは「true」のreadonlyパラメータが「false」に設定され、HTTP PUTメソッドが有効になっている場合に影響を受けるもの。この点は、9月19日に修正された脆弱性「CVE-2017-12615」と同じ。

 脆弱性「CVE-2017-12615」は、細工したリクエストを受けることで、リモートから任意のコードが実行される可能性があるもの。当初Windows版のバージョン「7.0.0」~「7.0.79」のみに影響するとされ、バージョン「7.0.81」で修正されていた。

 しかし、この修正をバイパスする実証コード(PoC)が出回っており、JPCERT/CCでは、CVE-2017-12615の対象だったWindows以外のOS/バージョンでも、この脆弱性の影響を受けることを確認しているという。RedHatによれば、共通脆弱性評価システム「CVSS v3」のスコアは8.1ポイント。

 JPCERT/CCでは一時的な回避策として、readonlyパラメータを「true」にし、HTTP PUTリクエストを受け付けないよう設定することを推奨している。また、この設定変更ができない環境では、インターネットからのアクセスに対する適切なアクセス制限を行うことを推奨している。

【追記 10月4日12:55】

 Apache Software Foundationでは、脆弱性「CVE-2017-12617」を修正したApache Tomcatの新バージョン「8.5.23」を10月1日に、ベータ版の「9.0.1」を9月30日にリリースしている。

【追記 10月5日13:45】

 Apache Tomcat 8.0系および7系についても、脆弱性を修正した最新バージョン「8.0.47」、「7.0.82」が追加でリリースされている。