Tweet

6.0.18以上にアップグレードを

Tomcatにディレクトリトラバーサル脆弱性、NTTデータ・セキュリティが注意喚起

2008/08/13

　NTTデータ・セキュリティは8月13日、Apache Tomcatのディレクトリトラバーサル脆弱性を検証するレポートを公開した。Apache Tomcatのサイトで公開されている脆弱性はNational Vulnerability Database（NVD）では現在レビュー中というステータスだが、NTTデータ・セキュリティでの検査においてイントラ用途のTomcatが意図せずインターネット側に公開されている事例が多いことから、注意喚起の意味を込めレポートを公開したとのこと。

　ディレクトリトラバーサル脆弱性とは、相対パスとなるような不正なパラメータを送り込むことにより、管理者の意図しないファイルにアクセスできてしまうもの。NVDで公開されているTomcatの脆弱性は、UTF-8の処理およびシンボリックリンクの扱いに起因したもので、Tomcat 6.0.16以前で、以下の2点を設定している環境で発生する可能性がある。

1. GETリクエスト送信時の文字エンコーディングに「UTF-8」を利用している（URIEncoding="UTF-8"）
2. シンボリックリンクを有効にしている（allowLinking="true"）

　この脆弱性はTomcat 6.0.18では修正されているが、Tomcat 5.0系および4.1系については次期リリースでの対応となるため、上記の設定内容を見直す必要がある。この脆弱性についてApacheセキュリティチームは、問題の原因はJava側にあるとしている。

　NTTデータ・セキュリティが公開した「Tomcatのディレクトリトラバーサルの脆弱性に関する検証レポート」では、Tomcat 5.5.26を利用したシステムで、この脆弱性を攻撃された場合の影響を解説している。レポートではTomcatの実行権限でファイルへのアクセスが可能であることが検証されており、もし管理者権限でTomcatが動いている場合、暗号化されたパスワード情報（/etc/shadow）を悪意のあるユーザーが不正に取得できるとしている。

NTTデータ・セキュリティが行った検証イメージ