-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2020-0009 JPCERT/CC 2020-02-25(新規) 2020-02-28(更新) <<< JPCERT/CC Alert 2020-02-25 >>> Apache Tomcat の脆弱性 (CVE-2020-1938) に関する注意喚起 https://www.jpcert.or.jp/at/2020/at200009.html I. 概要 Apache Software Foundation は、2020年2月24日 (現地時間) に、Apache Tomcat の脆弱性 (CVE-2020-1938) に関する情報を公開しました。脆弱性 (CVE-2020-1938) では、Apache JServ Protocol (AJP) における Attribute の取り扱いに問題があり、悪用された場合、遠隔の第三者が AJP を介し、情 報を窃取するなどの可能性があります。 また、Web アプリケーションがファイルのアップロードおよび保存を許可して いる場合、遠隔の第三者が任意のコードを実行する可能性があります。 脆弱性の詳細については、Apache Software Foundation からの情報を参照し てください。 Apache Software Foundation [SECURITY] CVE-2020-1938 AJP Request Injection and potential Remote Code Execution https://lists.apache.org/thread.html/r7c6f492fbd39af34a68681dbbba0468490ff1a97a1bd79c6a53610ef%40%3Cannounce.tomcat.apache.org%3E II. 対象 次のバージョンの Apache Tomcat が本脆弱性の影響を受けます。 - Apache Tomcat 9.0.0.M1 から 9.0.30 - Apache Tomcat 8.5.0 から 8.5.50 - Apache Tomcat 7.0.0 から 7.0.99 III. 対策 Apache Software Foundation より、修正済みのバージョンが提供されていま す。修正済みのバージョンを適用することをご検討ください。 - Apache Tomcat 9.0.31 - Apache Tomcat 8.5.51 - Apache Tomcat 7.0.100 IV. 回避策 アップデートの実施が難しい場合には、次の回避策を検討してください。なお、 アップデートと回避策を併用することでシステムをより堅牢化することができ ます。 - AJP が不要な場合は、無効にする - AJP が必要な場合は、認可設定などアクセス制限を行う 【認可設定の例】 - Tomcat 側の設定 - /conf/server.xml における Connector port に次の設定を行う ===================================================================== ===================================================================== - Apache 側の設定 - /conf/httpd.conf における ProxyPass に次の設定を行う ===================================================================== ProxyPass "URL" secret = "YOUR_TOMCAT_AJP_SECRET" ===================================================================== YOUR_TOMCAT_AJP_SECRET については、簡単に推測できない値を使用してくだ さい。設定の詳細は、Tomcat、mod_proxy 及び mod_proxy_ajp のマニュアル を参照してください。 ** 更新: 2020年2月28日追記 ******************************************* 【認可設定の例】に関して外部からご指摘があり、JPCERT/CC で改めて検証し なおしたところ、現時点の最新バージョン (2.4.41) の Apache では、【認可 設定の例】が動作しない事を確認しました。なお、開発者からの情報によると 当該機能は、Apache 2.4.42 にて実装されるとのことです。 各ディストリビュータが配布する Apache によっては、既にパッチが適用され ており【認可設定の例】が設定できる場合 (JPCERT/CC では CentOS7にて確認) があります。詳細は各ディストリビュータへお問い合わせください。 また、JPCERT/CC では、Apache Tomcat Connectors (mod_jk) に認可情報を設 定することで回避策が動作することを確認しています。設定の詳細は、 Apache Software Foundation の情報を参照してください。 Apache Software Foundation The Apache Tomcat Connectors: mod_jk, ISAPI redirector, NSAPI redirector http://tomcat.apache.org/connectors-doc/ The Apache Tomcat Connectors - Reference Guide workers.properties configuration https://tomcat.apache.org/connectors-doc/reference/workers.html ********************************************************************** V. 参考情報 Apache Software Foundation Fixed in Apache Tomcat 9.0.31 http://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.31 Apache Software Foundation Fixed in Apache Tomcat 8.5.51 http://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.51 Apache Software Foundation Fixed in Apache Tomcat 7.0.100 http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.100 Apache Software Foundation Apache Tomcat 9 Security Considerations https://tomcat.apache.org/tomcat-9.0-doc/security-howto.html Apache Software Foundation Apache Tomcat 8 Security Considerations https://tomcat.apache.org/tomcat-8.5-doc/security-howto.html Apache Software Foundation Apache Tomcat 7 Security Considerations https://tomcat.apache.org/tomcat-7.0-doc/security-howto.html Apache Apache Module mod_proxy https://httpd.apache.org/docs/trunk/en/mod/mod_proxy.html Apache Apache Module mod_proxy_ajp https://httpd.apache.org/docs/trunk/en/mod/mod_proxy_ajp.html ** 更新: 2020年2月28日追記 ******************************************* 上記は Apache 開発バージョンのマニュアルです。IV. 回避策【認可設定の例】 の当該機能 (secret) の説明が記載されています。なお、現時点の最新バージョン (2.4.41) のマニュアルには、当該機能の説明は記載されていません。 ********************************************************************** 今回の件につきまして当センターまで提供いただける情報がございましたら、 ご連絡ください。 ________ 改訂履歴 2020-02-25 初版 2020-02-28 「IV. 回避策」、「V. 参考情報」の更新 ====================================================================== 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) 早期警戒グループ TEL: 03-6811-0610 Email: ew-info@jpcert.or.jp -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJeWJ2GAAoJEKntH+qu5CT/TbIP/iqi0FGz/2BdJxnfAukG5CBb 5XKdaKdhnKmPM1sFWpEo4/mrhupgwWhrJnWobGSTgJoIOoFuRrriJDrI5hGmcy/+ ZIxkhehKS8vWCBAwait0hYVRHqSsnniODa2QaYYpJA0UJmnaJWiX/e2+Aq9ygpz3 nQqjS49In7vchM0bhrtTdVkkNCUT2Q1XwBr+UEnLKc1nh59cmocV5m2fEdMQ8v6O 67fMDIKSt43cupIhWn+wr1qRYuz0ai1e+Fg0KKp5VJIMv90SZRwYLS1ihatwJuVQ S6Kn2iPesRGFZcUphcB8F+PqbIvaJxjJOkn3tjyAzEWCkIJxElVK0WxTXfUR3p95 CrN/4LPNOIyZs5N4WfcQ9xFJJmwJnVHDNoc/hbAYb/FDSZ3nMB8d/R8RLWqDNWau Bh36JrCczqfyb9stc+9NVPbOu9VuNaC6F4N5bZRU/H3Nmv/HZaoOAyTP5kUbLaua g3rHLFTEmyHu9GweNupDGfUNf8IXEg6nExcGG0uzth5uyc56JicnkpAIRcpcGzzi QNPZ1GIaTV6osnL36vStJYp4QKdujL2scHPzaezL21HWyKuZeKFIrnsJHtY6BdTk Purfa782O5eMkFUf7M+7uUxmNMk6wxyPCiNAwrK2dkpHVws7yJHIvg0ryJxEo7Wu shna9FBGkWaPivoYzx1M =NEH/ -----END PGP SIGNATURE-----