タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
概要 2020年2月24日にApache Software FoundationからApache Tomcatの脆弱性(CVE-2020-1938)情報が公開されました。これは、Apache JServ Protocol(AJP)に関する脆弱性です。AJPとは、Apache Tomcatと通信を行うためのプロトコルであり、例えば、HTTPサーバ(Apache HTTP Server)とアプリケーションサーバ(Apache Tomcat)を連携する際に用いられます。この場合、HTTPリクエストをApache HTTP Serverで受け取り、Javaで動的な処理が必要となるものをApache Tomcatで実行する構成になります。なお、Apache TomcatもHTTPサーバとしての機能を備えており、標準で8080/tcp(HTTP)及び8009/tcp(AJP)を使用する設定となっていま
Google Cloudは、Apache Tomcatで実行されているJavaアプリケーションを自動的にコンテナ環境へ移行してくれるツール群「Tomcat modernization flow」のパブリックプレビュー版をリリースしました。 Apache TomcatはJavaでアプリケーションサーバを実装するプラットフォームとして人気の高いアプリケーションンサーバです。ただしApache Tomcatが登場し普及した時期はDockerコンテナなどの技術が登場する前であるため、多くのApache Tomcatは仮想マシンなどの上で稼働していると見られます。 Google Cloudが発表したTomcat modernizatio flowは、この仮想環境上のApach Tomcatの情報を自動的に収集し、移行計画を策定、Google Kubernetes Engine(GKE)などコンテナ環
JVNVU#98868043 Apache TomcatにHttp11Processorインスタンスにおける競合状態による情報漏えいの脆弱性 Apache Tomcatには、Http11Processorインスタンスにて競合状態が発生し、誤ったクライアントへのレスポンスを行うことで情報漏えいとなる脆弱性が存在します。 Apache Tomcat 10.1.0-M1から10.1.0-M12までのバージョン Apache Tomcat 10.0.0-M1から10.0.18までのバージョン Apache Tomcat 9.0.0-M1から9.0.60までのバージョン Apache Tomcat 8.5.0から8.5.77までのバージョン The Apache Software Foundationから、Apache Tomcatの脆弱性に対するアップデートが公開されました。 Http11Proc
◆ Live配信スケジュール ◆ サイオステクノロジーでは、Microsoft MVPの武井による「わかりみの深いシリーズ」など、定期的なLive配信を行っています。 ⇒ 詳細スケジュールはこちらから ⇒ 見逃してしまった方はYoutubeチャンネルをご覧ください 【5/21開催】Azure OpenAI ServiceによるRAG実装ガイドを公開しました 生成AIを活用したユースケースで最も一番熱いと言われているRAGの実装ガイドを公開しました。そのガイドの紹介をおこなうイベントです!! https://tech-lab.connpass.com/event/315703/ こんにちは、Visual Studio Codeを愛してやまないサイオステクノロジー技術部 武井(Twitter:@noriyukitakei)です。今回は、Tomcat上のWebアプリケーションをVisual St
はじめに こんにちは。小室@さっぽろです。2022/09/30 Tomcat で新しい脆弱性が JVN のサイトにて公開されました。 JVNVU#98868043 - Apache TomcatにHttp11Processorインスタンスにおける競合状態による情報漏えいの脆弱性 複数のクライアントから接続された場合、Http11Processorのインスタンスを共有していることに起因して、レスポンスのすべてまたはその一部を誤ったクライアントに送信するため、情報が漏えいする可能性があります。 という内容でなかなかな内容です。 気になる脆弱性であったため 趣味で コードを見てみました。Tomcat のコードを追うのは初めてなので理解が間違っているかもしれません。 理解が間違っているところや曖昧な箇所があれば指摘ください。 *1 「なぜそうなるのか」まではある程度調べたものの、再現方法に関しては
中山です この記事はApp2Containerをとりあえず触ってみた、チュートリアル的な記事となります。 App2Containerとは App2Containerは、ASP.NETおよびJavaアプリケーションをコンテナ化するツールです。 AWS App2Container の発表 - アプリケーションをコンテナ化して AWS クラウドに移行する これによって、既存のアプリケーションをAWSのコンテナプラットフォームサービスであるECSもしくはEKSに簡単にデプロイできるようになります。 やってみた 公式のチュートリアルに沿って試していきたいと思います。今回は、tomcat上で動作するアプリケーションの移行をやってみます。 Containerizing a Java application on Linux 動作要件 動作要件は以下の通りです。 移行元の環境を用意する際にこれらが満たされ
[AWS CDK] 一撃でIPアドレスベースのApache HTTP ServerとApache TomcatのVirtual Hostが動作しているEC2インスタンスを作成してみた 一撃でIPアドレスベースのApache HTTP ServerとApache TomcatのVirtual Hostが動作しているEC2インスタンスを作成したい こんにちは、のんピ(@non____97)です。 皆さんは一撃でIPアドレスベースのApache HTTP ServerとApache TomcatのVirtual Hostが動作しているEC2インスタンスを作成したいなと思ったことはありますか? 私はちょっとあります。 以前、以下記事でApache HTTP ServerとApache TomcatのVirtual Hostが動作しているEC2インスタンスをAuto ScalingさせてALBで接続
実現したこと Dockerの公式tomcatイメージをもとに、tomcatのサンプルアプリを含むイメージをビルドしてコンテナをデプロイする 環境 Windows 10 Home 1903 Docker Toolbox version 19.03.1 手順 ##1.Docker Toolboxをインストールして起動する 以下からダウンロードしてインストールする https://docs.docker.com/toolbox/toolbox_install_windows/ ##2.Dockerfileを作って、作業用フォルダに格納する ここではDocker Hubにある公式のtomcatイメージをpullしてくる。tomcatのサンプルアプリをダウンロードしてくるために、wgetを事前にインストールして、tomcatの公式サイトからダウンロード。curlでもダウンロードできると思われるが、練
JPCERT-AT-2021-0002 JPCERT/CC 2021-01-15 I. 概要2021年1月14日(米国時間)、Apache Software FoundationはApache Tomcatの脆弱性(CVE-2021-24122)に関する情報を公開しました。NTFSファイルシステムを利用しているシステム構成で、ネットワーク上にリソースを提供している場合、Java APIのFile.getCanonicalPath()の予期しない動作により、結果としてJSPのソースコードが漏えいするなどの可能性があります。 Apache Software Foundation CVE-2021-24122 Apache Tomcat Information Disclosure https://lists.apache.org/thread.html/r1595889b083e05986f4
JPCERT-AT-2020-0024 JPCERT/CC 2020-05-21(新規) 2021-03-02(更新) I. 概要Apache Software Foundation は、2020年5月20日 (現地時間) に、Apache Tomcat の脆弱性 (CVE-2020-9484) に関する情報を公開しました。脆弱性を悪用されると、デシリアライズ対象データの検証が適切に行われていないことに起因して、遠隔の第三者が、サーバ上に管理可能なファイルを配置することができる場合に、任意のコードを実行する可能性があります。 脆弱性の詳細については、Apache Software Foundation からの情報を参照してください。 Apache Software Foundation CVE-2020-9484 Apache Tomcat Remote Code Execution vi
はじめに Tomcatに新たな脆弱性CVE-2020-9484が発見されました。既にアップデートは提供されています。影響を受けるバージョンなどの情報についてはオフィシャルのページを参照ください。今回はこの脆弱性の技術的な側面について解説します。 攻撃成功率は高くない CVE-2020-9484は一応リモートからの任意のコード実行(RCE)であるとされていますが、現実的には攻撃を成功させるためのハードルは高く、実際に被害が発生する可能性はそれほどは高くありません。攻撃が成功するために必要となる条件は下記になります。 攻撃者がTomcatが稼働しているサーバ上のどこかに任意の名前・中身のファイルを配置できること Tomcatがセッションの永続化のためにPersistenceManagerをFileStoreで使っており、かつsessionAttributeValueClassNameFilte
こんにちは。おおたにです。 先日Tomcat9を最新バージョン(その時点では9.0.33)にアップデートしたところ、WebサーバとのAJP接続がうまくいかなくなったので、今回はその対処法を紹介します。 原因 こちらの脆弱性への対応のため、Tomcat 9.0.31でAJP1.3コネクタ設定が変更されたことが原因でした。具体的な変更点はTomcat 9.0.31のchangelogにありますが、主なものは以下の3点です。 AJPコネクタ(8009番ポートのやつ)がデフォルトでdisabledになった バインドアドレスのデフォルトがIPv6ループバックアドレス(::1)になった 新しい属性secretRequiredが追加され、デフォルトでtrueとなっている(trueの場合、secret属性でシークレットキーを指定する必要がある) 以下、上記変更に対応するための設定方法です。今回はApach
JavaアプリケーションのAP,Webサーバとして環境を構築します。 AmazonLinux2はCentOS7と似た感覚で操作が可能です。 また、インストールする各種ミドルウェアの設定は別稿で取り扱います。 環境情報(事前情報) 本稿ではルート権限が必要です。AMIデフォルトで作成済みの「ec2-user」ユーザならsudo出来ると思いますが、何らかの事情で使えない場合は適宜読み替えてください。 EC2インスタンスOS(AMI):Amazon Linux 2 AMI (HVM), SSD Volume Type 64 ビット (x86) 割当セキュリティグループ:インバウンド側TCP-22,80番ポート以外disable Elastic IP及びインターネットゲートウェイを設定していない為、NATゲートウェイを用いてアウトバウンド側への通信は出来るように設定 HTTP通信を受け取る為、EL
Apache Tomcat の脆弱性(CVE-2020-1938)を標的としたアクセスの観測について 宛先ポート 9530/TCP に対する Mirai ボットの特徴を有するアクセスの増加 ※本資料における「送信元国・地域」については、判明した送信元IP アドレスが当該国・地域に割り当てられていることを指しており、踏み台となっているなどにより、送信者の所在と一致していない場合があります。 詳細 Apache Tomcat の脆弱性(CVE-2020-1938)を標的としたアクセスの観測等について(PDF形式:813KB)
本稿では Java のアプリケーション・サーバー Apache Tomcat 9 を CentOS 7 にインストールする手順について解説します。 事前準備 Apache Tomcat をインストールする前に、まずは Apache Tomcat 9 の動作の前提となる環境を作ります。 Apache Tomcat 9 は Java で作られているため JDK (Java SE Development Kit) が必要です。 つぎの記事などを参考に JDK をインストールしてください。 また、Linux 上で Tomcat を動かすための専用ユーザとして tomcat を追加します。 # useradd -s /sbin/nologin tomcat Apache Tomcat 9 のダウンロードと配置 それでは Apache Tomcat 9 のインストール作業に移ります。 まずは Apac
JVNVU#92183876 Apache TomcatのJsonErrorReportValveにおけるエスケープ処理不備の問題
Connectorタグ Tomcat Version:8.5.23 Connectorタグは、以下の通信プロトコルをサポートしています。 HTTPプロトコル HTTP/1.0 HTTP/1.1 HTTP/2 SSLプロトコル(HTTPS) AJPプロトコル Tomcatは、Servlet及びJSPを実行させるだけでなくスタンドアローンのWebサーバーとしても機能します。 ※.但し、静的コンテンツを処理させるのはWebサーバーであるApacheHttpdServer,IIS,Nginxなどを利用すべきです。(筆者見解) HTTP Connector要素は、Connectorコンポーネントを表します。 このコンポーネントの特定のインスタンスは、サーバー上にport属性で指定したTCPポート番号を解放します。 このようなコネクタは、1つのサービスの一部として構成することができます。 解放したTC
※この記事12/23が空いていたので、代わりに投稿しました。ライトなものです。 Tomcatの最新バージョンは9.0 現在の Apache Tomcat の最新メジャーバージョンは9.0です。 https://tomcat.apache.org/ を見ると、2020/12/25 現在 Apache Tomcat 9.0.41 Apache Tomcat 8.5.61 Apache Tomcat 7.0.107 が更新されています。2011/1にリリースされたTomcat7.0もようやく2021/3/31にEOLを迎えると発表されています。 http://tomcat.apache.org/tomcat-70-eol.html いつかは、いま運用保守したり開発しているアプリケーションをTomcat10に乗り換える必要がありますが、ここに頭の痛い問題があります。Jakrta EE 9 のパッケ
「Apache Tomcat」にリモートよりコードの実行が可能となる脆弱性が含まれていることがわかった。5月11日以降に公開されたアップデートで修正されており、アップデートが呼びかけられている。 サーバ上のファイルを編集できるなど特定条件下においてリモートよりコードの実行が可能となる脆弱性「CVE-2020-9484」が存在することを、同ソフトウェアの開発関係者が明らかにしたもの。重要度は4段階中2番目にあたる「高(High)」とされている。 同ソフトウェアの開発チームでは、5月11日に最新版となる「Apache Tomcat 10.0.0-M5」「同9.0.35」「同8.5.55」、同月16日に「同7.0.104」をリリースしており、これらアップデートで同脆弱性を修正済みだという。 開発者は利用者に対し、あらためてアップデートを呼びかけるとともに、脆弱性の公表を受けて、JPCERTコーデ
CentOS 7 にmod_jkをインストールして、ApacheとTomcatとAJPで連携させてみるCentOSApacheTomcatAJP TL;DR CentOS上で、mod_jkを使ってApache、Tomcatを連携させる mod_jkのビルドにはapxsが必要 CentOSの場合、apxsはhttpd-develでインストールできる mod_jkは共有メモリを使うので、SELinuxに阻まれることがあるので注意 というわけで、この記事ではCentOS上にインストールしたApache、Tomcatをmod_jkを使って連携させてみます。 mod_jk mod_jkとは、Tomcatプロジェクトが開発している、Webサーバーとの接続プラグインのひとつです。 The Apache Tomcat Connectors: mod_jk, ISAPI redirector, NSAPI
Windowsのローカル環境に無料のGitサーバ「Gitbucket」をインストールする手順について説明します。Apacheと連携させたTomcat上で動作させ、PostgreSQLと連携させる方法で説明します。 目次 本ページで利用するチートシート 動作確認環境 GitBucketとは? GitBucketをダウンロードする GitBucket単体で起動する 動作確認 停止方法 GitBucketをTomcat上で起動する 動作確認 Apache経由でGitBucketにアクセスする Apache側の対応 Tomcat側の対応 動作確認 利用するDBを「H2」→「PostgreSQL」に変更する PostgreSQL側の対応 GitBucket側の対応 動作確認 本ページで利用するチートシート # GitBucket起動コマンド java -jar gitbucket.war # Git
Sep 27 23:41:00 dev3 docker[56810]: 2021-09-27 23:41:00.043 WARN 1 --- [nio-8080-exec-1] o.a.c.util.SessionIdGeneratorBase : Creation of SecureRandom instance for session ID generation using [SHA1PRNG] took [140,998] milliseconds. というようなエラーが起きるときがある(VPS などで /dev/random の entropy が十分ではない場合)。 https://newbedev.com/what-exactly-does-djava-security-egd-file-dev-urandom-do-when-containerizing-a-spring-b
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は5月16日(米国時間)、「Apache Releases Security Advisory for Tomcat|CISA」において、複数のバージョンのApache Tomcatに脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によって機密情報が窃取される危険性がある。 脆弱性に関する情報は次のページにまとまっている。 [SECURITY] CVE-2022-25762 Apache Tomcat - Request Mix-up-Apache Mail Archives [SECURITY] CVE-2022-25762 Apache Tomcat - Request Mix-up-Apach
仕事でSOAPを使うことになって、本番環境は相手先のSOAPサーバがすでにあるから問題ないけど、ローカルで開発するとき用のSOAPサーバがないので、まずはEclipseを使って立てられるかを試してみました。 開発環境 Windows 10 Pro Eclipse Version: 2019-03 (4.11.0) Axis 1.7.9 Java8 Tomcat8 参考 macOSにてAxis2+TomcatのWebサービスを作る Axis2でRESTでアクセスしようとしたときにorg.apache.axis2.AxisFault: The ServiceClass object does not implement the required method in the following form: OMElement …と出てくるとき 準備:色々ダウンロード ファイル名 URL 説明
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く