1. TOP
  2. ニュース&トピックス
  3. Apache Tomcat における脆弱性(CVE-2020-1938)について
Technical Term

Apache Tomcat における脆弱性(CVE-2020-1938)について

ニュース

【概要】

Apache Tomcat は、Apache Software Foundation の Jakarta プロジェクトによって開発されたサーブレットコンテナです。

この Apache Tomcat において、意図しないファイルを読み込んでしまう脆弱性が確認されています。

この脆弱性が悪用された場合、悪意のある第三者が AJP(Apache JServ Protocol)リクエストを送信し、Web アプリケーションのルートディレクトリにある任意のファイルを読み取られる可能性があります。

Web アプリケーションがファイルのアップロードや保存を許可している場合等では、遠隔の攻撃者により任意のコードが実行される可能性があります。

すでに攻撃コードの公開が確認されており、今後被害が拡大する可能性があるため、早急に対策を実施して下さい。

【影響を受けるシステム】

 Apache Tomcat 7.0.0 から 7.0.99
 Apache Tomcat 8.5.0 から 8.5.50
 Apache Tomcat 9.0.0.M1 から 9.0.30

 ※ 上記バージョン以外でも脆弱性の影響を受ける可能性があります。詳細はベンダに確認してください。

【対策】

 1.脆弱性の解消 - 修正プログラムの適用

 ベンダから提供されている修正プログラムを適用して下さい。各バージョンの対応状況は、下記リンクよりご確認ください。
 Apache Tomcat® - Apache Tomcat 9 vulnerabilities

【参考情報】

 Apache Tomcat® - Apache Tomcat 9 vulnerabilities
  http://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.31別ウィンドウで開く

 CVE - CVE-2020-1938
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1938別ウィンドウで開く

 Apache Tomcat の脆弱性 (CVE-2020-1938) に関する注意喚起
  https://www.jpcert.or.jp/at/2020/at200009.html別ウィンドウで開く

出典:独立行政法人情報処理推進機構(IPA)

一覧に戻る