tomcatに関するt-tanakaのブックマーク (7)
-
★CVE-2017-12617 tomcat: Remote Code Execution bypass for CVE-2017-12615 Bugzillaに投げられていますし、SNSにもPoCが出回ってきてますので、本件に関して少し取りまとめます。お決まりのお断りをしておきますが、所属する組織の公式の見解ではないということ、しっかり検証したわけではないので、私個人の見解が誤った見方を示していて、それを鵜呑みにして業務上影響が出ても刺さないでください><✘ 結論から先に書きます。 ・怪しいCVE-2017-12615に対するパッチをBypassするPoCはホンモノ ・Windows以外のOSにも影響する(少なくともmacOS 10.12.6とUbuntu16.04で再現) ・現行のバージョンのTomcatに影響する(最新の7系8系9系は検証しました) ・インストール直後の設定では影響を
-
-
The Apache Software Foundation から、Apache Tomcat に関する複数の脆弱性に対するアップデートが公開されました。 Apache Tomcat 9.0.0.M1 から 9.0.0.M9 まで Apache Tomcat 8.5.0 から 8.5.4 まで Apache Tomcat 8.0.0.RC1 から 8.0.36 まで Apache Tomcat 7.0.0 から 7.0.70 まで Apache Tomcat 6.0.0 から 6.0.45 まで これら以前の、サポート対象外の Apache Tomcat も本脆弱性の影響を受ける可能性があります。 The Apache Software Foundation から、Apache Tomcat に関する次の複数の脆弱性に対するアップデートが公開されました。 セキュリティマネージャの制限回避
-
Threatpostに掲載された記事﹁Apache Warns of Tomcat Remote Code Execution Vulnerability﹂が、Apache Tomcatの古いバージョンに遠隔からコードが実行できるセキュリティ脆弱性が存在することを伝えた。その脆弱性が発動する条件はごく限られたものだとされているが、該当するバージョンを使っている場合には注意が必要。 このセキュリティ脆弱性を抱えていると考えられているバージョンはApache Tomcatのバージョン7.0.0から7.0.39まで。これは悪意のあるJSP (JavaServer Pages)をサーバにアップロードできてしまうというもので、アップロードしたスクリプトを後から実行することができてしまう問題だと説明がある。 この問題に対するアクションとしてApacheではApache Tomcat 7.0.40へアッ
-
CommonsDBCPを超えるTomcat JDBC Poolとは‥Tomcat 7の新機能で何ができるようになるのか?︵番外編︶︵1/2 ページ︶ TomcatのDBコネクション・プールは2つある @IT読者の皆さんは﹁Tomcat JDBC Connection Pool﹂をご存じですか? 通常、TomcatのDBコネクション・プールといえばApache Commonsプロジェクトの﹁CommonsDBCP﹂を想像するかと思います。しかし、Tomcatには﹁CommonsDBCP﹂以外にもDBコネクション・プールの実装が存在します。それが、﹁Tomcat JDBC Connection Pool﹂︵以下、Tomcat JDBC Pool︶です。 Tomcat JDBC Poolとは、Apache Tomcatプロジェクトが独自に作成したDBコネクション・プールの実装のことです。
-
Tomcatのウェブサーバは、Apache httpdよりも高速に動作する。 これは、オライリーから発売されているTomcatハンドブック 第2版︵Tomcat 6.0対応︶に明記されているので、詳しく知りたい人はぜひ購入するとよいです。この本では、Tomcatの性能を著者自身が計測した実データをもとに執筆されているため、非常に説得力のある1冊となっており、Tomcatを使っている人にとっては必読の一冊だと思います。ベンチマークの手順や対象としたハード︵複数︶、転送したファイルのサイズ︵複数︶などがグラフ付きで詳細に記載されており、Apacheは実機上でコンパイルオプションを変更してworker MPM︵おそらくLinux Apacheで最速︶やprefork MPMなどでデータ取りをしています。 著者が計測したデータによると、Linuxにおける静的コンテンツの処理でTomcatの方がAp
-
-
1