Tomcatにディレクトリトラバーサル脆弱性

PC

 NTTデータ・セキュリティは8月13日、Apache Tomcatディレクトリトラバーサル脆弱性を検証するレポートを公開した。

中略

 ディレクトリトラバーサル脆弱性とは、相対パスとなるような不正なパラメータを送り込むことにより、管理者の意図しないファイルにアクセスできてしまうもの。NVDで公開されているTomcatの脆弱性は、UTF-8の処理およびシンボリックリンクの扱いに起因したもので、Tomcat 6.0.16以前で、以下の2点を設定している環境で発生する可能性がある。

1. GETリクエスト送信時の文字エンコーディングに「UTF-8」を利用している(URIEncoding="UTF-8")
2. シンボリックリンクを有効にしている(allowLinking="true")

Tomcatにディレクトリトラバーサル脆弱性、NTTデータ・セキュリティが注意喚起
 @IT


結構影響範囲がありそうですね。

少なくとも社内にあるTomcatは6.0.16以前のものがほとんどのはず。。。