Tomcat 5.5.22以前に脆弱性
既に最新版のTomcatでは以下の脆弱性が修正されていますが、脆弱性についての情報が公開されています。
If the Apache HTTP Server and Tomcat are configured to interoperate with the common proxy modules (mod_proxy, mod_rewrite, mod_jk), an attacker might be able to break out of the intended destination path up to the webroot in Tomcat.
最新版は以下でダウンロードできます。
特定の条件下のみ起こりうるため、全てのTomcatを利用した環境では発生しません。
- Apache Tomcat 5.x: < 5.5.22もしくはApache Tomcat 6.x: < 6.0.10
- Apache HTTP ServerとApache Tomcatの連携をmod_proxy, mod_rewrite, mod_jkを使って行っている
詳細情報は以下のサイトを参照して下さい。