teratail
回答率
85.30%
teratail header banner
teratail header banner
質問するログイン新規登録
トップApacheに関する質問CVE-2020-1938の回避策の設定について

編集履歴

回答編集履歴

1

動作環境の制限ならびに検証結果に編集しました

2020/09/10 11:01

投稿

A-pZ
A-pZ

スコア12011

answer CHANGED
@@ -1,17 +1,17 @@
1
- 記述されいる設定誤りあるようです。
1
+ Tomcat 7/8/9に、ajpを使う際は secret 属性必須になりました(そうでないと起動しません)
2
+ [https://www.jpcert.or.jp/at/2020/at200009.html](https://www.jpcert.or.jp/at/2020/at200009.html)
2
3
 
3
- [https://www.jpcert.or.jp/at/2020/at200009.html](https://www.jpcert.or.jp/at/2020/at200009.html) によると、
4
-
5
- server.xml には requiredSecret 属性を追加
4
+ server.xml の例
6
-
7
5
  ```xml
8
- <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" address="YOUR_TOMCAT_IP_ADDRESS" requiredSecret="YOUR_TOMCAT_AJP_SECRET" />
6
+ <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" address="127.0.0.1" secret="password" />
9
7
  ```
10
8
 
11
- Apacheのhttpd.confのajp設定は、リバースプロクシではありません
9
+ Apacheのhttpd.confのajp設定は以下のようになります。
10
+ この設定は、**Apache Httpd 2.4.42 以降** で有効です(それ以前のバージョンでは設定できず、HTTPDのビルドが必要かも知れません。)
12
11
 
13
12
  ```conf
14
- ProxyPass "URL" secret = "YOUR_TOMCAT_AJP_SECRET"
13
+ ProxyPass / ajp://localhost:8009/ secret=password
14
+ ProxyPassReverse / ajp://localhost:8009/ secret=password
15
15
  ```
16
16
 
17
- 私の方では動作検証はできていませんのでご了承ください
17
+ なお、残念ながら記載していただいているTomcat6やApache HTTPD 2.2.3ではこの記載利用できず、バージョンアップしなければなりません。