Apache Tomcatのディレクトリトラバーサル脆弱性の検証レポートを公表(NTTデータ・セキュリティ) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.21(土)

Apache Tomcatのディレクトリトラバーサル脆弱性の検証レポートを公表(NTTデータ・セキュリティ)

製品・サービス・業界動向 業界動向

 NTTデータ・セキュリティ株式会社は8月12日、Apache Tomcatのディレクトリトラバーサルの脆弱性に関する検証レポートを公表した。

 同脆弱性は、Tomcatの文字エンコーディングのひとつであるUTF-8のリクエスト処理及びシンボリックリンク処理の欠陥に起因したもので、これを悪用すればディレクトリトラバーサル攻撃が可能になるというもの。同攻撃は、相対パスを利用して、管理者が意図しないディレクトリ・ファイルにアクセスする攻撃手法なため、これによりサーバ上の非公開ファイルが閲覧されるなど情報漏洩の恐れがある。

 検証レポートでは、Tomcat 5.5.26を利用したシステム上でこの脆弱性への攻撃を検証し、実際にファイルの読み出しや実行権限でファイルへアクセスすることができることを示している。また、現在、修正プログラムがリリースされていないTomcat 5.5系及び4.1系(6.0系は対応済み)では、暫定的な対策として関連設定の見直しを行うことを薦めている。

http://www.nttdata-sec.co.jp/column/report20080813.pdf
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  2. Raspberry PiにKali linuxをセット、「ホワイトハッカ育成ツール」発売(スペクトラム・テクノロジー)

    Raspberry PiにKali linuxをセット、「ホワイトハッカ育成ツール」発売(スペクトラム・テクノロジー)

  3. 自分の利用しているサーバの状況を確認する方法 不正中継確認

    自分の利用しているサーバの状況を確認する方法 不正中継確認

  4. 30年度サイバーセキュリティ政府予算730億円、防衛省と厚労省が各45億円超(NISC)

  5. 新アルゴリズムを開発、古い制御システムでもサイバー攻撃対策が可能に(日立)

  6. Apache Strutsの脆弱性リスクの有無を判断できるツールを無料配布(Black Duck Software)

  7. ルートゾーンKSKロールオーバーの「新KSKでの署名開始」を延期(JPRS)

  8. 顔認証システムの現状、顔写真を使った「なりすまし」も3Dデータ照合で防ぐ

  9. IoTとAIを組み込んだスマートマンション、そのサイバーセキュリティを探る(インヴァランス)

  10. 世界で発生した情報漏えい事件から、該当アカウントを調査するサービス(ソリトン)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×