Apache Tomcatセキュリティアドバイザリ:CVE-2020-1938(Ghostcat、AJPコネクタの変更)

一般情報

Apache Tomcatは最近、 CVE-2020-1938 (「Ghostcat」とも呼ばれる)として追跡される脆弱性を修正する新しいバージョンをリリースしました。

影響を受けるソフトウェア

  • Apache Tomcat 7.0.0から7.0.99
  • Apache Tomcat 8.5.0から8.5.50
  • Apache Tomcat 9.0.0。M1から9.0.30

解決

Liferayは、影響を受けるバージョンのいずれかを使用して、以下の参照記事を読み、次の緩和策のいずれかを適用することをお勧めします。

  • Apache Tomcat 9.0.31以降にアップグレードします。
  • Apache Tomcat 8.5.51以降にアップグレードします。
  • Apache Tomcat 7.0.100以降にアップグレードします。

緩和策のメモ

次の点に注意してください。

Apache JServプロトコル(AJP)を使用する場合、Apache Tomcatへの着信接続を信頼するときは注意が必要です。 Tomcatは、AJP接続を、たとえば、類似のHTTP接続よりも高い信頼を持っているものとして扱います。 攻撃者がそのような接続を利用できる場合、それらは驚くべき方法で悪用される可能性があります。 これらのバージョンの前は、Tomcatには、構成されたすべてのIPアドレスをリッスンするAJPコネクターがデフォルトで有効になって出荷されていました。 このコネクターは、不要な場合は無効にすることが期待されていました(セキュリティガイドで推奨されています)。
軽減が必要なのは、信頼できないユーザーがAJPポートにアクセスできる場合のみであることに注意することが重要です。
9.0.31、8.5.51、または7.0.100以降にアップグレードするユーザーは、設定を少し変更する必要がある可能性があります。

追加情報

Liferay DXPの今後のサービスパックリリースには、この脆弱性がすでに修正されている新しいTomcatバージョンがバンドルされます。

参考文献と推奨記事

この記事は役に立ちましたか?
1人中1人がこの記事が役に立ったと言っています