Tomcat 5.5.22以前に脆弱性

既に最新版のTomcatでは以下の脆弱性が修正されていますが、脆弱性についての情報が公開されています。


If the Apache HTTP Server and Tomcat are configured to interoperate with the common proxy modules (mod_proxy, mod_rewrite, mod_jk), an attacker might be able to break out of the intended destination path up to the webroot in Tomcat.

最新版は以下でダウンロードできます。

特定の条件下のみ起こりうるため、全てのTomcatを利用した環境では発生しません。

  1. Apache Tomcat 5.x: < 5.5.22もしくはApache Tomcat 6.x: < 6.0.10
  2. Apache HTTP ServerとApache Tomcatの連携をmod_proxy, mod_rewrite, mod_jkを使って行っている

詳細情報は以下のサイトを参照して下さい。