I.概要

Apache Software Foundation は、2020年2月24日 (現地時間) に、ApacheTomcat の脆弱性 (CVE-2020-1938) に関する情報を公開しました。脆弱性(CVE-2020-1938) では、Apache JServ Protocol (AJP) における Attributeの取り扱いに問題があり、悪用された場合、遠隔の第三者が AJP を介し、情報を窃取するなどの可能性があります。

[SECURITY] CVE-2020-1938 AJP Request Injection and potential Remote Code Execution
https://lists.apache.org/thread.html/r7c6f492fbd39af34a68681dbbba0468490ff1a97a1bd79c6a53610ef%40%3Cannounce.tomcat.apache.org%3E

II.対象

次のバージョンの Apache Tomcat が本脆弱性の影響を受けます。

– Apache Tomcat 8.5.0 から 8.5.50
– Apache Tomcat 7.0.0 から 7.0.99

III.対策

Apache Software Foundation より、修正済みのバージョンが提供されていま
す。修正済みのバージョンを適用することをご検討ください。

– Apache Tomcat 8.5.51
– Apache Tomcat 7.0.100

IV. 回避策

アップデートの実施が難しい場合には、次の回避策を検討してください。なお、アップデートと回避策を併用することでシステムをより堅牢化することができます。

– AJP が必要な場合は、認可設定などアクセス制限を行う

– Tomcat 側の設定
– <CATALINA_BASE>/conf/server.xml における Connector port に次の設定を行う

– /conf/httpd.conf における ProxyPass に次の設定を行う

V. 参考情報

Apache Software Foundation
Fixed in Apache Tomcat 9.0.31
http://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.31

Fixed in Apache Tomcat 8.5.51
http://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.51

Fixed in Apache Tomcat 7.0.100
http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.100

Apache Tomcat 9 Security Considerations
https://tomcat.apache.org/tomcat-9.0-doc/security-howto.html

Apache Tomcat 8 Security Considerations
https://tomcat.apache.org/tomcat-8.5-doc/security-howto.html

Apache Tomcat 7 Security Considerations
https://tomcat.apache.org/tomcat-7.0-doc/security-howto.html

Apache Module mod_proxy
https://httpd.apache.org/docs/trunk/en/mod/mod_proxy.html

Apache Module mod_proxy_ajp
https://httpd.apache.org/docs/trunk/en/mod/mod_proxy_ajp.html