Published: 2025-03-14 08:00

Apache Tomcat partial PUT にリモートコード実行、情報漏えいや改ざんの脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は3月11日、Apache Tomcat partial PUTにおけるリモートコード実行情報漏えい改ざん脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り

Apache Tomcat 11.0.0-M1から11.0.2まで Apache Tomcat 10.1.0-M1から10.1.34まで Apache Tomcat 9.0.0.M1から9.0.98まで

 Apache Tomcatのpartial PUTの元の実装では、ユーザーが指定したファイル名とパスをにパス区切り文字を「.」に置き換えた一時ファイルが使用されており、特定条件下で、リモートコード実行、セキュリティ上重要なファイルの表示やコンテンツ挿入可能性がある。

 下記すべて条件成立する場合、セキュリティ上重要なファイルの表示やコンテンツ挿入可能性がある。

・デフォルトサーブレットの書き込み有効(デフォルトで無効) ・partial PUTをサポート(デフォルトで有効) ・セキュリティ上重要なアップロード対象のURLが、パブリックアップロード対象URLのサブディレクトリである ・攻撃者がアップロードされるセキュリティ上重要なファイルの名前を知っている ・セキュリティ上重要なファイルがpartial PUTでアップロードされる

 下記すべて条件成立する場合、リモートコード実行可能性がある。

・デフォルトサーブレットの書き込み有効(デフォルトで無効) ・partial PUTをサポート(デフォルトで有効) ・アプリケーションがデフォルトのストレージロケーションでTomcatのファイルベースのセッション永続使用している ・アプリケーションに、デシリアライゼーション攻撃に利用される可能性のあるライブラリが含まれている

# 言葉 意味
5 じゅうよう (重要) : important; momentous; essential; principal; major
4 かのうせい (可能性) : potentiality; likelihood; possibility; availability
4 ゆうこう (有効) : 1. valid; effective 2. yuko (judo)
3 じっこう (実行) : execution (e.g. of a plan); carrying out; practice; action; implementation; fulfillment; realization
3 じょうけん (条件) : condition; term; requirement; qualification; prerequisite
2 しよう (使用) : use; application; employment; utilization; utilisation
2 ひょうじ (表示) : 1. indication; expression; showing; manifestation; demonstration 2. display; displaying
2 そうにゅう (挿入) : insertion; incorporation; infixing
2 かき (下記) : the following
2 すべて (全て) : 1. everything; all; the whole 2. entirely; completely; wholly; all
2 せいりつ (成立) : 1. formation; establishment; materialization; coming into existence 2. conclusion (e.g. of a deal); reaching (e.g. an agreement); approval; completion; closing; enacting; arrangement
2 かきこみ (書き込み) : 1. writing 2. entry (e.g. to a form)
2 むこう (無効) : invalid; void; ineffective; unavailable
2 たいしょう (対象) : target; object (of worship, study, etc.); subject (of taxation, etc.)
1 どくりつぎょうせいほうじん (独立行政法人) : independent administrative corporation (institution, agency)
1 じょうほうしょりすいしんきこう (情報処理推進機構) : Information-technology Promotion Agency (organization)
1 および (及び) : and; as well as
1 いっぱんしゃだんほうじん (一般社団法人) : general incorporated association
1 おく (奥) : inner part; inside; interior; depths (e.g. of a forest); back (of a house, drawer, etc.); bottom (e.g. of one's heart); recesses; heart
1 じょうほうろうえい (情報漏洩) : information leak; data breach
1 かいざん (改ざん) : alteration; falsification; faking
1 ぜいじゃくせい (脆弱性) : vulnerability; weakness; fragility
1 はっぴょう (発表) : announcement; publication; presenting; statement; communique; making known; breaking (news story); expressing (one's opinion); releasing; unveiling
1 えいきょう (影響) : 1. influence; effect 2. to influence; to affect; to have an influence on; to impact; to have an effect on
1 とおり (通り) : 1. avenue; street; way; road 2. coming and going; street traffic
1 じっそう (実装) : implementation (e.g. of a feature); installation (of equipment); mounting; packaging
1 してい (指定) : designation; specification; assignment; appointment; pointing at
1 ファイルめい (ファイル名) : file-name
1 もと (元) : 1. origin; source 2. base; basis; foundation; root
1 くぎりもじ (区切り文字) : delimiter
1 おきかえる (置き換える) : to replace; to move; to change the position of
1 とくてい (特定) : 1. specific; particular; designated; special 2. specifying; designating; identifying; pinpointing
1 こうげきしゃ (攻撃者) : aggressor; assailant; invader
1 しる (知る) : 1. to be aware of; to know; to be conscious of; to cognize; to cognise 2. to notice; to feel
1 えいぞく (永続) : permanence; continuation
1 さが (性) : 1. one's nature; one's destiny 2. custom; tradition; habit; convention
1 こうげき (攻撃) : 1. attack; assault; raid; onslaught; offensive 2. criticism; censure; denunciation; condemnation
1 ふくむ (含む) : 1. to contain; to comprise; to have; to hold; to include; to embrace 2. to hold in the mouth