Ghostcat （CVE-2020-1938）にパッチを当ててますか？

前日、IPA なども注意喚起を行なっていた Tomcat の脆弱性^*1が、意外と影響が大きそうなバグだったのでメモ。

脆弱性の具体的な内容は、以下のサイトが分かりやすいです。本来アクセスできないサーバ上のコンテンツというのは、要は WEB-INF の下のファイルが見られるようになってしまうことが含まれているようで、これが結構クリティカルな問題を引き起こすようです。

今回の脆弱性は、Apache JServ Protocol (AJP)が通常のWeb通信で用いられるHTTP/HTTPSなどよりも信頼性の高い通信として扱ってしまい、本来アクセスできないサーバ上のコンテンツに、外部からアクセスできてしまうことにあります。

Tomcat 使っている場合は早急に状況を確認した方が良さそうです。

こんな記事もあります「HTTP HTTPS AJP」

トラックバックについて

Trackback URL:

お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]

このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/11581

Trackbacks

このエントリにトラックバックはありません

Comments

愛のあるツッコミをお気軽にどうぞ。[policy]
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。

コメントはありません

Comments Form

コメントは承認後の表示となります。
OpenIDでログインすると、即時に公開されます。

OpenID を使ってログインすることができます。

サイト内検索

検索ワードランキング

へぇが多いエントリ

閲覧数が多いエントリ

Movatterモバイル変換