Tomcatに見つかった3つの脆弱性について
はじめに Apache Tomcatに立て続けに見つかったCVE-2017-12615~12617の3つの脆弱性は基本的には同じ原因によるものでした。3つのうち2つは任意のJSPファイルをPUTリクエストでアップロードできてしまい、アップロード後にアクセスすることでJavaのコードが実行できてしまう、というパターンのRCE。残りの1つはJSPがそのまま静的ファイルとしてアクセス可能なためにソースコードが漏洩してしまう、というものです。 今回JPCERT/CCも注意喚起するなど、広く知られることになりましたが、一方でなかなかパッチが提供されないという状況にもなっています。今回はこの脆弱性についての調査を報告します。 readonlyパラメータとは何か JSPがアップロードできてしまうのはreadonlyパラメータがfalseになっている場合です。このパラメータはデフォルトでtrueであり、f
JVNVU#94679988: Apache Tomcat の複数の脆弱性に対するアップデート
The Apache Software Foundation から、Apache Tomcat に関する複数の脆弱性に対するアップデートが公開されました。 Apache Tomcat 9.0.0.M1 から 9.0.0.M2 まで Apache Tomcat 8.0.0.RC1 から 8.0.31 まで Apache Tomcat 7.0.0 から 7.0.67 まで Apache Tomcat 6.0.0 から 6.0.44 まで これら以前の、サポート対象外の Apache Tomcat も本脆弱性の影響を受ける可能性があります。 The Apache Software Foundation から、Apache Tomcat に関する次の複数の脆弱性に対するアップデートが公開されました。 ディレクトリトラバーサル (CVE-2015-5174) ディレクトリ有無の漏えい (CVE-20
Tomcatの最大使用可能スレッド数の見積 - 銀の鍵 (The Silver Key)
我等が働き者、Tomcat。君は一体、どの程度まで多くのスレッドを作成してリクエストをさばく事が出来るんだい? まず最初にLinuxのスレッドライブラリについて軽く言及しておかねばなるまい。Linuxのスレッドライブラリには二種類ある。 まず、昨今のLinux(Kernel 2.6及びそれ以降)で用いられているNTPL(Native POSIX Thread Library)。これは1:1モデルのスレッドライブラリで、スレッドをプロセスとして実装してある。SolarisなどではいわゆるLWP(Light Weight Process)をしてスレッドを実装してあるのだけれども、Linuxではスレッドもプロセスも同じtask_struct構造体として扱い、COE(Context Of Execution、実行コンテキスト)をそれぞれ用に割り当てて用いているようだ。各プロセスは独立した仮想メモリ
wall-climb » コンカレントGCの注意点
次? 代のサーバマシンによるシステムでは、CPUマルチコア化が進み、OSぜ 64bit化によってメモリも豊富に眩 むような大規模なものが一般的になるのではないでしょうか。このようなサーバ上ぜ Tomcatを起動させる場合、その? 富なリソースを生かしぜ Javaのヒープサイズ、GCチューニングを実施するのが一般的だと思゜ れます。ただし、このオプションを中途半端に? ? すると、逆にパフォーマンスを損なう可能性があることに注? しなければならないようです。 CPUマルチコアリソースを十分に活用する為ぜ GCチューニングパラメータに、「-XX:+UseParNewGC」「-XX:+UseConcMarkSweepGC」があります。前者ぜ GC処理をマルチCPUでパラレルに? 施するオプション、「-XX:ParallelGCThreads=n」と合゜ せてパラレル処理? (n)を指定出来ます。
HotSpot VMの特性を知る
Permanent領域のチューニング JVMにはPermanent領域と呼ばれるヒープ領域があります。ここにはクラス定義やメソッド、フィールドなどのメタデータが格納されます。 Permanent領域のデフォルトのサイズは、一般的なアプリケーションにとって十分な大きさに設定されています。しかし、アプリケーションによっては非常に多くのクラスをロードするものもあり、Permanent領域が足りなくなることがあります。例えば、JSPやサーブレットを多用するアプリケーション(アプリケーションサーバなど)は、デフォルトのPermanent領域サイズでは足りなくなり、次のようなエラーが発生することがあります。 $ java ManyClassLoadingTest Permanent generation is full... increase MaxPermSize (current capacity
『Tomcat起動時のJava仮想マシンのパフォーマンスチューニング』
デフォルトでは少量しか割り当てられないTomcatを利用してWebアプリケーションを作成する際、Tomcatが利用するJava仮想マシン(JVM)が利用するヒープメモリのサイズは、デフォルトでは少量しか割り当てられていない。 ある程度のアクセス数が見込めれる場合はきちんとチューニングする必要があります。 多少調べたので覚書程度に書いておきます。 Tomcatは起動時のJVMオプションを$CATALINA_OPTSや$JAVA_OPTS環境変数に設定することで制御できます。 これらの変数を設定する方法は色々ありますが、Tomcatの起動スクリプトのcatalina.shにはsetenv.shがあれば読み込むというコードが仕込まれているので、それを利用するのがスマートな気がします。 setenv.shの作り方作り方は簡単です。 CATALINA_HOMEのbinにsetenv.shというファイ
Tomcatをツールで運用し、設定の基礎を知る
Tomcatをツールで運用し、設定の基礎を知る:Tomcatはどこまで“安全”にできるのか?(2)(1/3 ページ) Tomcatに運用と設定は必要ない? 前回でTomcatのセットアップから利用確認までが完了しました。今回はTomcatの運用と設定、それにバージョン6からの新機能について触れていきたいと思います。 いままでTomcatに触れたことのある方々はご存じのとおり、このアプリケーションは有名でみんなが利用しているのですが、ドキュメンテーションが少ないことでも有名です。実験的に利用する際に簡単に運用するのであれば、ほとんど変更することなく利用できるため、細かくいじりたくない・必要ないというのも事実でしょう。 そんなニーズに応えるちょっとした管理に便利なのが、Tomcatの管理マネージャ(Tomcat Manager Application)です。今回はまずこの機能の利用方法から入っ
第3回 チューニンガソン番外編 一人 チューニンガソン - かれ4
今回からは運営側として参加のチューニンガソン 準備編 まず一番大変だったのが、テーマの決定 色々話しあって erlangのtwoorlを暫定でテーマに このtwoorlが曲者で動かすためには yaws,ErlyWeb,erlangと難関が待ち構えています。 yaws,ElryWeb,erlangは行けるものの、 どうしても運営側の誰もtwoorlを動かすことに成功できず諦めました。 そのあと出てきたテーマがjavaのCMS blojsom これが今回のテーマです。 これを動かすまでも結構な苦労が。。。 tomcatをいじったことのない人達が何とか動かすところまでいけたので、とりあえずテーマは確定で その間の試行錯誤(情報がやたら少ないand古いバージョン用のせいで)は大変でしたが、省略。 そして、計測の方法やなにやらを決めて、 実際に自分でチューニングしてみて、チートの可能性を見つけること
第3回チューニンガソンに参加して来ました
先日行われた「第3回チューニンガソン(Tuningathon)」に参加して来ました。 僕は福岡在住なので、福岡サテライトでの参加です。 Zusaar 福岡サテライト Zusaar 東京本会場 今回はblojsom + Tomcat + MySQLでした。 結果は5位。 仕事でTomcatを5年くらい運用管理している現役Java屋なので、 優勝しないといけない気がしますが。。。 福岡会場はJavaやった事がない方がほとんどで、 最近はホントにJavaって少数派なんだと実感しました。 なんか寂しい(ToT) 東京本会場はどうだったのかな? 条件は、 Tomcatをフロントにして、DBはMySQLにすること。 Tomcat, Java, MySQLの入れ替えはOK。 webapps/blojsom以下は改変NG。アプリ配置パスも変更不可。 という感じです。 僕がやった内容は以下になります。 JV
TomcatのJVM(Java Virtual Machine)チューニング例 - 銀の鍵
One thing to realize about our fractional reserve banking system is that, like a child's game of musical chairs, as long as the music is playing, there are no losers. Andrew Gause, Monetary Historian 「部分準備金融制度について一つだけ実現している事は、 子供の椅子取りゲームのように、 音楽が流れ続けている限りは敗者が存在しないということである。」 アンドリュー ガウス、金融史家 【Sun HotSpot VMのガベージコレクションとヒープ】 TomcatはApache Software Foundationが提供するフリーのサーブレットコンテナ実装です。要するにJ
Tomcatをツールで運用し、設定の基礎を知る
Tomcatをツールで運用し、設定の基礎を知る:Tomcatはどこまで“安全”にできるのか?(2)(3/3 ページ) Tomcat 6から新しくできるようになった設定 Tomcatでは、いままでもスレッドプールには対応していましたが、コネクタごとにしか設定できませんでした。Tomcat 6からは、ほかの<Executor>タグの実装によりコンポーネント間でもスレッドプールを共有できるようになりました。この機能について軽く説明しておきましょう。 サービス内でスレッドプールを共有する>Executor>タグ <Executor>タグは<Server>タグ要素の子として設定できるようになっています。このタグを設定することで1つのサービス内でスレッドプールを共有できます。 さて、それでは内容を簡単に見てみましょう。<Executor>タグは標準で以下の属性を設定できます。 実装するJavaのクラス
CentOSにtomcatをインストール - 総天然色頁
やりたいこと apacheからtomcatを使いたい。 apacheとtomcatは同じ実機に用意する。 jdkは1.6.x、tomcatは6.0.xを使う。 jdkのインストール 既存のJDKは消しておいた方が良さそう? Java SE - Downloads | Oracle Technology Network | Oracleから最新のJDKの書庫ファイルを落としてくる。 "....-rpm.bin"の方 旧版を使用する場合は、Oracle Java Archive | Oracle Technology Network | Oracleから落とす 実行権限を付与 ファイルを実行→解凍 使用許諾が出て来た後、"Do you agree to the above license terms? [yes or no]"と出るのでyes # chmod u+x jdk-6u13-linu
“安全”のためにTomcatを理解し、構築し、動作させる
“安全”のためにTomcatを理解し、構築し、動作させる:Tomcatはどこまで“安全”にできるのか?(1)(1/3 ページ) 無料サーバはどこまで安全にできるのか? 近年、Linux上でサーバを構築・公開する方が多くなってきていますが、中途半端な設定のサーバを公開することで会社の情報資産が危険にさらされることがよくあります。 そんな中、基本的に無料のOSであるLinuxサーバと、同じく無料で利用できるアプリケーションで、世界中において高いシェアを誇るTomcatを用い、「無料でどこまで製品サーバのセキュリティに迫れるか?」「どこまで安全にWebアプリケーション構築ができるか?」をこの連載を通して追っていきたいと思います。 第1回は、そもそもTomcatとは何かを解説し、Tomcatの最新版の新機能とそのセットアップの仕方や自動起動の方法、Apacheと連携させる方法などを紹介します。 T
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「Apache Tomcat」にゼロデイ脆弱性、JPCERT/CCが回避策を案内 