2017年9月は、かなり深刻な脆弱性が相次いで発見された月でした。中でもApache Tomcatの脆弱性は、相当深刻なレベルのものと理解しています。

今月は、Apache Tomcatの脆弱性について解説を行います。

CVE-2017-12615～Windows版Tomcat 7でリモートコード実行できる脆弱性のはずが……

2017年8月16日にリリースされたTomcat 7.0.81ですが、これはWindows版Tomcatが稼働している環境で、任意のコードを実行させられる脆弱性とされて「いました⁠」⁠。

When running on Windows with HTTP PUTs enabled (e.g. via setting the readonly initialisation parameter of the Default to false) it was possible to upload a JSP file to the server via a specially crafted request. This JSP could then be requested and any code it contained would be executed by the server.

具体的な実行手順は割愛しますが、リモートコード実行のためには、おおまかには以下の手順を踏みます。

1. 実行させたい内容を記述したJSPファイルをアップロードする
2. 当該JSPにアクセスし、記述された内容を実行する

CVE-2017-12615は、Tomcat 7.0.81で修正されましたが、その後の第三者検証により、以下のことが明らかになりました。

• CVE-2017-12615は修正されたものの、さらに悪質な脆弱性がTomcat 7.0.81で確認された
• 影響するバージョンは、9月25日時点のTomcat7～9の最新版
• 脆弱性の影響を受ける動作プラットフォームは、Windows以外にもLinux、Unixも入る

もともと、CVE-2017-12615については、2017年9月20日にJPCERT/CCから注意喚起が出されていましたが、上記のような状況を受けて、2017年9月25日に注意喚起の内容が更新されています。

Apache Tomcat における脆弱性に関する注意喚起（最終更新: 2017-09-25）

http://www.jpcert.or.jp/at/2017/at170038.html

CVE-2017-12617～広範なプラットフォームに影響するTomcat 7～9のリモートコード実行脆弱性に対し、新たに採番されたCVE番号

上記のように、広い範囲に影響するTomcatの脆弱性ということで、新たにCVE番号 CVE-2017-12617が採番されました。

本校執筆時点（2017年9月25日）では、まだ脆弱性修正が行われたTomcatはリリースされていないため、Tomcatそのものの設定もしくはTomcatと連携するWebサーバなどで影響するリクエストを止める必要があります。

現状の対策は、設定中のreadonlyパラメータをtrueにすること～PUTを制限するだけでは不十分

本脆弱性は、PUTをはじめとする「書き込みを行えるリクエスト」を、リクエスト内容を細工することで通してしまうものです。詳細は後述しますが、バージョンアップ以外で行える対処は、readonlyパラメータをtrueにするか、readonlyパラメータの設定を削除してしまうことです（readonlyパラメータを指定しないときは、true扱いになります⁠）⁠。

下記は、Tomcat 7のweb.xmlを編集し、readonlyパラメータをfalseにしたもので取得したOPTIONSリクエストに対するレスポンスの内容です。readonlyパラメータをtrueにした状態でも、OPTIONSリクエストに対するレスポンスからは、PUTとDELETEが発行可能なように見えますが、実際にPUTやDELETEを発行しても受け付けられないことは検証済みです。

telnet localhost 8080
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
OPTIONS / HTTP/1.0

HTTP/1.1 200 OK
Server: Apache-Coyote/1.1
Allow: GET, HEAD, POST, PUT, DELETE, OPTIONS
Content-Length: 0
Date: Mon, 25 Sep 2017 18:14:59 GMT
Connection: close

readonlyパラメータは、以下のように<servlet>～</servlet>で囲まれた部分に、<init-param>～</init-param>で囲まれたところでパラメータを設定するだけです。

以下に、readonlyパラメータをfalseにした記述を含む設定を示します。

<servlet>
    <servlet-name>default</servlet-name>
    <servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>
    <init-param>
        <param-name>debug</param-name>
        <param-value>0</param-value>
    </init-param>
    <init-param>
        <param-name>listings</param-name>
        <param-value>false</param-value>
    </init-param>
    <init-param>
        <param-name>readonly</param-name>
        <param-value>false</param-value>
    </init-param>
    <load-on-startup>1</load-on-startup>
</servlet>

書き込みを行うことを想起させるのは、PUTとDELETEですが、本脆弱性は、細工されたDELETEリクエストも処理するように仕向けることが可能です。これは、Webアプリケーションサーバ上に配置されたJSPファイルを削除することが可能ということを意味します。PUTを制限することで、アップロードされた任意コードの実行は防げますが、DELETEを制限しないとサーバ上のJSPファイルを削除可能になり、これはこれでDoS攻撃を誘発することになります。

大変残念なことに、本記事を校正している段階でまだ脆弱性が修正されたTomcatがリリースされていません。修正版がリリースされるまではPUTやDELETEなどのリクエストを受け付けないような設定にしておき、修正版がリリースされたらすみやかにTomcatのバージョンアップを行うことをお勧めします。