legacy-knowledge-base
公開されました Jul. 2, 2025

Apache Tomcat セキュリティ アドバイザリ: CVE-2020-9484 (セッション永続性によるリモート コード実行)

written-by

Jose Jimenez

How To articles are not official guidelines or officially supported documentation. They are community-contributed content and may not always reflect the latest updates to Liferay DXP. We welcome your feedback to improve How To articles!

While we make every effort to ensure this Knowledge Base is accurate, it may not always reflect the most recent updates or official guidelines.We appreciate your understanding and encourage you to reach out with any feedback or concerns.

legacy-article

learn-legacy-article-disclaimer-text

一般情報

Apache Tomcat は最近、 CVE-2020-9484として追跡されている脆弱性を修正する新しいバージョンをリリースしました。

Apache Tomcat が提供する情報によると、次のようになります。

"もしも:

  • 攻撃者は、サーバー上のファイルの内容と名前を制御できます。と
  • サーバーは、 FileStorePersistenceManager を使用するように構成されています。と
  • PersistenceManager sessionAttributeValueClassNameFilter="null" ( SecurityManager が使用されない場合のデフォルト) または十分に緩いフィルタで構成され、攻撃者が提供したオブジェクトを逆シリアル化できるようにします。と
  • 攻撃者は、 FileStore が使用するストレージの場所から、攻撃者が制御しているファイルまでの相対ファイル パスを知っています。

次に、攻撃者は特別に細工されたリクエストを使用して、制御下にあるファイルの逆シリアル化を介してリモート コード実行をトリガーできます。

注: 攻撃が成功するには、上記のすべての条件が真である必要があります。"

影響を受けるソフトウェア

  • Apache Tomcat 10.0.0-M1 から 10.0.0-M4 (現在、Liferay DXP ではサポートされていません)
  • Apache Tomcat 9.0.0.M1 から 9.0.34
  • Apache Tomcat 8.5.0 から 8.5.54
  • Apache Tomcat 7.0.0 から 7.0.103

解決策

Liferay は、影響を受けるバージョンのいずれかを使用しているお客様に、以下の参照記事を読み、次の軽減策のいずれかを適用することをお勧めします。

  • Apache Tomcat 9.0.35 以降にアップグレードします。
  • Apache Tomcat 8.5.55 以降にアップグレードします。
  • Apache Tomcat 7.0.104 以降にアップグレードします。

Liferay Service Pack および Fix Pack バンドルには、この移行でお客様を支援するために、Tomcat マイクロ バージョンの増加が含まれています。

Liferay DXP 7.3

  • Liferay DXP 7.3 GA1 は Tomcat 9.0.37 にバンドルされています

Liferay DXP 7.2

  • Liferay DXP 7.2 Fix Pack 9 バンドルには、Tomcat 9.0.37 が含まれています。
  • Liferay DXP 7.2 Service Pack 4 は Tomcat 9.0.40 にバンドルされています

Liferay DXP 7.1

  • Liferay DXP 7.1 Service Pack 5 は Tomcat 9.0.37 にバンドルされています
    • Service Pack 5 にはフィックスパック 20 が含まれています

Liferay DXP 7.0

  • Liferay DXP 7.0 Fix Pack 97 バンドルには、Tomcat 8.5.57 が含まれています。
  • Liferay DXP 7.0 Service Pack 16 は Tomcat 8.5.57 にバンドルされています

代替緩和策

「Tomcat バージョンをアップグレードする代わりに、ユーザーは PersistenceManager sessionAttributeValueClassNameFilter の適切な値で構成して、アプリケーションが提供する属性のみがシリアライズおよびデシリアライズされるようにすることができます。」

回避策

適切な行のコメントを外して、すべての Web アプリケーション コンテキストのセッション パーシステンス を無効にします。

<!-- Uncomment this to disable session persistence across Tomcat restarts -->
<!--
<Manager pathname="" />
-->

変更するファイル:

  • (デフォルトのコンテキスト) TOMCAT_HOME/conf/context.xml
  • (ROOT コンテキスト) TOMCAT_HOME/conf/Catalina/localhost/ROOT.xml
  • (その他) TOMCAT_HOME/conf/Catalina/localhost/*.xml

追加情報

Liferay は現在、この脆弱性を評価しています。 通常の軽減措置は、開発ブランチとメンテナンス ブランチで使用される Tomcat のバージョンを更新することです。これにより、Liferay DXP の将来のサービス パック リリースを、この脆弱性が既に修正されている新しい Tomcat バージョンにバンドルできるようになります。

参考文献・おすすめ記事

did-this-article-resolve-your-issue

legacy-knowledge-base