一般情報
Apache Tomcatは最近、 CVE-2020-1938 (「Ghostcat」とも呼ばれる)として追跡されている脆弱性を修正するために新しいバージョンをリリースしました。
対象ソフトウェア
- Apache Tomcat 7.0.0~7.0.99
- Apache Tomcat 8.5.0~8.5.50
- Apache Tomcat 9.0.0.M1 ~ 9.0.30
解像度
Liferayは、影響を受けるバージョンを使用しているお客様に対し、以下の参考記事を読み、以下の緩和策のいずれかを適用することを推奨します:
- Apache Tomcat 9.0.31以降にアップグレードしてください。
- Apache Tomcat 8.5.51以降にアップグレードしてください。
- Apache Tomcat 7.0.100 以降にアップグレードしてください。
軽減のための注意事項
以下の点にご注意ください:
Apache JServ Protocol (AJP)を使用する場合、Apache Tomcatへの着信接続を信頼する際に注意が必要です。 Tomcatは、AJP接続を、例えば同様のHTTP接続よりも高い信頼性を持って扱います。 このような接続が攻撃者に利用可能であれば、驚くような方法で悪用される可能性があります。 これらのバージョンの前に、Tomcatは、すべての構成されたIPアドレスをリッスンするAJPコネクタをデフォルトで有効にして出荷されています。 このConnectorは、必要なければ無効にすることが期待されていました(セキュリティガイドでも推奨されています)。
ミティゲーションが必要なのは、AJPポートが信頼できないユーザーからアクセスできる場合だけであることに注意することが重要です。
9.0.31、8.5.51、7.0.100以降にアップグレードしたユーザーには、小さな設定の変更が必要になると思われます。
追加情報
今後リリースされるLiferay DXPのService Packには、この脆弱性がすでに修正された新しいTomcatのバージョンがバンドルされる予定です。
参考文献・推奨記事
- Apache Tomcat 9.xの脆弱性 (関連項目)
- Apache Tomcat 8.xの脆弱性 (関連項目)
- Apache Tomcat 7.xの脆弱性 (関連項目)
- CVE-2020-1938 (CVEデータベース)
- GhostcatはTomcatの高リスクなファイルリード/インクルードの脆弱性 [CVE-2020-1938] (脆弱性を発見したセキュリティ研究者のブログエントリーです。)
- [SECURITY] CVE-2020-1938 AJP Request Injection and potential Remote Code Execution (メーリングリスト)
- Tomcat 9.0.31, Ghostcat and AJP (Liferay Community Blog entry by David H. Nebinger - Lead Consultant at Liferay)
会員限定記事
Liferay エンタープライズ サブスクリプションをお持ちのお客様は1500件を超えるベストプラクティス、トラブルシューティング、その他のソリューション記事を閲覧できます。ログインすると、記事全体をお読みいただけます。
ログイン