JVNVU#96802408: Apache Tomcat Connectors(mod_jk)における情報漏えいの脆弱性
CRANK
公開日:2023/09/14 最終更新日:2023/09/14JVNVU#96802408Apache Tomcat Connectors(mod_jk)における情報漏えいの脆弱性Apache Tomcat Connectors(mod_jk)には、情報漏えいの脆弱性が存在します。Apache Tomcat Connectors mod_jk Connector 1.2.0から1.2.48ISAPIリダイレクタは本脆弱性の影響を受けません。Apache Tomcat Connectors(mod_jk)には、設定情報に「JkOptions +ForwardDirectories」が含まれているのに、これがプロキシされるリクエストに対して明示的なマウントがない場合などに、暗黙的なマッピングを使用して、リクエストを最初に定義されたワーカーにマップしてしまうことによる情報漏えいの脆弱性(CVE-2023-41081)があります。この暗黙的なマッピングにより、ステータスワーカーが意図せず公開されたり、httpdで構成されたセキュリティ制約がバイパスされたりする可能性があります。アップデートする開発者が提供する情報をもとに、最新版へアップデートしてください。開発者によると、次のバージョンで暗黙的なマッピング機能は削除され、すべてのマッピングは明示的な構成によって行われるように修正されているとのことです。Apache Tomcat Con…