teratail
回答率
85.47%
質問するログイン新規登録
トップApacheに関する質問CVE-2020-1938の回避策の設定について

編集履歴

回答編集履歴

1

動作環境の制限ならびに検証結果に編集しました

2020/09/10 11:01

投稿

A-pZ
A-pZ

スコア12011

test CHANGED
@@ -1,33 +1,33 @@
1
- 記述されいる設定があるようです。
1
+ Tomcat 7/8/9に、ajpを使う際は secret 属性が必須になました(そうでないと起動しません)
2
+
3
+ [https://www.jpcert.or.jp/at/2020/at200009.html](https://www.jpcert.or.jp/at/2020/at200009.html)
2
4
 
3
5
 
4
6
 
5
- [https://www.jpcert.or.jp/at/2020/at200009.html](https://www.jpcert.or.jp/at/2020/at200009.html) によると、
6
-
7
-
8
-
9
- server.xml には requiredSecret 属性を追加
7
+ server.xml の例
10
-
11
-
12
8
 
13
9
  ```xml
14
10
 
15
- <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" address="YOUR_TOMCAT_IP_ADDRESS" requiredSecret="YOUR_TOMCAT_AJP_SECRET" />
11
+ <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" address="127.0.0.1" secret="password" />
16
12
 
17
13
  ```
18
14
 
19
15
 
20
16
 
21
- Apacheのhttpd.confのajp設定は、リバースプロクシではありません
17
+ Apacheのhttpd.confのajp設定は以下のようになります。
18
+
19
+ この設定は、**Apache Httpd 2.4.42 以降** で有効です(それ以前のバージョンでは設定できず、HTTPDのビルドが必要かも知れません。)
22
20
 
23
21
 
24
22
 
25
23
  ```conf
26
24
 
27
- ProxyPass "URL" secret = "YOUR_TOMCAT_AJP_SECRET"
25
+ ProxyPass / ajp://localhost:8009/ secret=password
26
+
27
+ ProxyPassReverse / ajp://localhost:8009/ secret=password
28
28
 
29
29
  ```
30
30
 
31
31
 
32
32
 
33
- 私の方では動作検証はできていませんのでご了承ください
33
+ なお、残念ながら記載していただいているTomcat6やApache HTTPD 2.2.3ではこの記載利用できず、バージョンアップしなければなりません。