インフラセキュリティの処方箋
第38回 2017年9月~今月は脆弱性祭り~どうしてこんなに出てくるのか~
2017年9月は,
今月は,
CVE-2017-12615~Windows版Tomcat 7でリモートコード実行できる脆弱性のはずが……
2017年8月16日にリリースされたTomcat 7.
When running on Windows with HTTP PUTs enabled (e.g. via setting the readonly initialisation parameter of the Default to false) it was possible to upload a JSP file to the server via a specially crafted request. This JSP could then be requested and any code it contained would be executed by the server.
具体的な実行手順は割愛しますが,
- 実行させたい内容を記述したJSPファイルをアップロードする
- 当該JSPにアクセスし,
記述された内容を実行する
CVE-2017-12615は,
- CVE-2017-12615は修正されたものの,
さらに悪質な脆弱性がTomcat 7. 0.81で確認された - 影響するバージョンは,
9月25日時点のTomcat7~9の最新版 - 脆弱性の影響を受ける動作プラットフォームは,
Windows以外にもLinux, Unixも入る
もともと,
- Apache Tomcat における脆弱性に関する注意喚起
(最終更新: 2017-09-25) - http://
www. jpcert. or. jp/ at/ 2017/ at170038. html
CVE-2017-12617~広範なプラットフォームに影響するTomcat 7~9のリモートコード実行脆弱性に対し, 新たに採番されたCVE番号
上記のように,
本校執筆時点
現状の対策は, 設定中のreadonlyパラメータをtrueにすること~PUTを制限するだけでは不十分
本脆弱性は,
下記は,
telnet localhost 8080 Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. OPTIONS / HTTP/1.0 HTTP/1.1 200 OK Server: Apache-Coyote/1.1 Allow: GET, HEAD, POST, PUT, DELETE, OPTIONS Content-Length: 0 Date: Mon, 25 Sep 2017 18:14:59 GMT Connection: close
readonlyパラメータは,
以下に,
<servlet>
<servlet-name>default</servlet-name>
<servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>
<init-param>
<param-name>debug</param-name>
<param-value>0</param-value>
</init-param>
<init-param>
<param-name>listings</param-name>
<param-value>false</param-value>
</init-param>
<init-param>
<param-name>readonly</param-name>
<param-value>false</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
書き込みを行うことを想起させるのは,
大変残念なことに,
バックナンバー
インフラセキュリティの処方箋
- 第44回 2018年3月~修正できない脆弱性対応,繰り返される歴史,そして「あたりまえ」を実践すること
- 第43回 2018年2月~いまも発見される,DLL読み込みに関する脆弱性~どう悪用されるのか?&対処は?
- 第42回 2018年1月~MeltdownとSpectre~現代的なCPUのしくみに根差した脆弱性 / 外部ネットワークを使うためのちょっとした注意
- 第41回 2017年12月~ROBOT:19年前から潜んでいたTLS実装の脆弱性
- 第40回 2017年11月~利用が容易なOffice脆弱性が発見された2017年11月~PoCも出ました
- 第39回 2017年10月~今月も脆弱性祭り~わかっちゃいますが尽きる気配はまったくありません
- 第38回 2017年9月~今月は脆弱性祭り~どうしてこんなに出てくるのか~
- 第37回 2017年8月~見直されるパスワード規則~特殊文字も変更間隔も規定しない現在の標準
- 第36回 2017年7月~ウィルス付きメールにご用心~マクロ付き文書ファイルと脆弱性を突く文書ファイル
- 第35回 2017年6月~EOLなWindowsへの修正ファイル提供と,DLLプリロードの問題