Kan Ogawa
super****@jcom*****
2008年 8月 16日 (土) 17:56:49 JST
小川です。 その後、Donald Woodsが、Tomcatを最新版へアップグレードするよう に、JIRAへレポートしました。 https://issues.apache.org/jira/browse/GERONIMO-4245 https://issues.apache.org/jira/browse/GERONIMO-4246 結局のところ、すべてのバージョンで影響を受けるようです。 TomcatGBeanの設定を変更したり、次のリリースまでJetty版に代替させ るのは、おそらく難しいと思います。 脆弱性を解決した最新版のTomcatコンポーネントを再構成させるよう に、Geronimoのソースコードを再ビルドするしかなさそうですね。 もしくは、Mavenのリモート・リポジトリーにあるTomcat 6.0.18のライ ブラリーを入手し、Geronimoに構成されているTomcatのモジュールIDに あわせたファイル名にリネームして、Geronimoのローカル・リポジト リーにそのまま強引に上書きしてしまうとか... Kan Ogawa さんは書きました: > 小川です。 > > NTTデータ・セキュリティが、Tomcatにディレクトリトラバーサル脆弱性 > が潜在している検証レポートを本日公開したようです。 > http://www.atmarkit.co.jp/news/200808/13/tomcat.html > > この問題はTomcat 6.0.18で修正されていますが、Geronimo 2.1.2や > WASCE 2.1.0.0には、Tomcat 6.0.16が同梱されています。 > 修正パッチは、多分取り込まれていませんよね? >
