Apache TomcatにDoS攻撃を招く脆弱性が発見される。5.5系から7.0系までが対象

末岡洋子
シェア

 Apache Tomcat開発チームは1月17日、Apache Tomcatに関するセキュリティ警告を発表した。影響を受けるのはバージョン5.5.0~5.5.34、6.0.0~6.0.33、7.0.0~7.0.22で、対策済みバージョンへのアップデートを呼びかけている。

 発見された脆弱性は大量のパラメーターとパラメーター値を処理する際の不具合によるもので、これを悪用することによりCPUを大量に浪費させるDoS攻撃が可能になるという。この不具合は、2011年12月に開催された「Chaos Communication Congress」で発表されたHash衝突(Hashdos)攻撃の報告を受け、分析調査しているときに見つかったという。

 開発チームはこのバグを修正したバージョンとして、6.0系のバージョン6.0.35および7.0系のバージョン7.0.23を2011年中にリリースしており、また5.5系については1月16日にバージョン5.5.35をリリースしている。

 なお、すでにサポート終了となっている5.5.0以前のバージョンでも同様の問題が存在する可能性があるという。5.5系は2012年9月30日でサポート終了(End of life)を迎えることになっている。

Apache Tomcat
http://tomcat.apache.org/index.html