タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
概要 2020年2月24日にApache Software FoundationからApache Tomcatの脆弱性(CVE-2020-1938)情報が公開されました。これは、Apache JServ Protocol(AJP)に関する脆弱性です。AJPとは、Apache Tomcatと通信を行うためのプロトコルであり、例えば、HTTPサーバ(Apache HTTP Server)とアプリケーションサーバ(Apache Tomcat)を連携する際に用いられます。この場合、HTTPリクエストをApache HTTP Serverで受け取り、Javaで動的な処理が必要となるものをApache Tomcatで実行する構成になります。なお、Apache TomcatもHTTPサーバとしての機能を備えており、標準で8080/tcp(HTTP)及び8009/tcp(AJP)を使用する設定となっていま
「これってもしかして・・・」 「私たちのレスポンス・・・」 「入れ替わってる〜!?」 Tomcat 7 の EOL は2021年3月31日までです。 2020年4月現在、あと1年を切りました。私のまわりでは Tomcat 7 つまり Servlet 3.0 向けに書かれたアプリケーションは未だ現役で、そろそろ本気を出してマイグレーションに取り組まなければいけません。 本気を出すためにも、Tomcat 7 でおきたセッション管理に関する怖い話を書いておきます。 レスポンスが混じる! 結論からいいますと、Tomcat 7 は最新の 7.0.103 であっても、大量のトラフィックを捌く環境において、AJP Connectorを使用してほぼ同時に処理している複数のリクエストのレスポンスが混ざってクライアントに送信されることがあります。 これが何を意味するかというと、あるユーザーに対して送信した S
Google Cloudは、Apache Tomcatで実行されているJavaアプリケーションを自動的にコンテナ環境へ移行してくれるツール群「Tomcat modernization flow」のパブリックプレビュー版をリリースしました。 Apache TomcatはJavaでアプリケーションサーバを実装するプラットフォームとして人気の高いアプリケーションンサーバです。ただしApache Tomcatが登場し普及した時期はDockerコンテナなどの技術が登場する前であるため、多くのApache Tomcatは仮想マシンなどの上で稼働していると見られます。 Google Cloudが発表したTomcat modernizatio flowは、この仮想環境上のApach Tomcatの情報を自動的に収集し、移行計画を策定、Google Kubernetes Engine(GKE)などコンテナ環
困っていた内容 CloudWatchからtomcatプロセスを監視したいのですが、どうすればよいでしょうか? CloudWatch Agentの設定ファイルにおいて、httpdの様にexeでtomcatと指定しても、正しく監視できていません。 どう対応すればいいの? procstatプラグインの「pattern」を使用することで監視が可能です。 本記事では、実際の設定方法について解説します。 やってみた 前提 CloudWatch Agentをセットアップが完了していること (SSMのParameter storeに設定を保存していること) tomcatがインストールされていること 手順 ドキュメントでは、以下の様に記載されています。 procstat プラグインでプロセスメトリクスを収集する - Amazon CloudWatch ・pattern: プロセスの起動に使用するコマンドライ
Spring BootによるAPIバックエンド構築実践ガイド 第2版 何千人もの開発者が、InfoQのミニブック「Practical Guide to Building an API Back End with Spring Boot」から、Spring Bootを使ったREST API構築の基礎を学んだ。この本では、出版時に新しくリリースされたバージョンである Spring Boot 2 を使用している。しかし、Spring Boot3が最近リリースされ、重要な変...
オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。 詳しくはこちら
JVNVU#98868043 Apache TomcatにHttp11Processorインスタンスにおける競合状態による情報漏えいの脆弱性 Apache Tomcatには、Http11Processorインスタンスにて競合状態が発生し、誤ったクライアントへのレスポンスを行うことで情報漏えいとなる脆弱性が存在します。 Apache Tomcat 10.1.0-M1から10.1.0-M12までのバージョン Apache Tomcat 10.0.0-M1から10.0.18までのバージョン Apache Tomcat 9.0.0-M1から9.0.60までのバージョン Apache Tomcat 8.5.0から8.5.77までのバージョン The Apache Software Foundationから、Apache Tomcatの脆弱性に対するアップデートが公開されました。 Http11Proc
こんにちは、Visual Studio Codeを愛してやまないサイオステクノロジー技術部 武井(Twitter:@noriyukitakei)です。今回は、Tomcat上のWebアプリケーションをVisual Studio Codeを使ってデバッグしたいと思います。しかも従来の方法とは違い、ローカルPCの環境を全く汚さない方法でトライします。 Tomcat上で動くWebアプリのデバッグ Tomcat上で動作するWebアプリケーションのIDEといえばEclipseですよね。でもVisual Studio Codeでも、それ出来ます!! まずは「従来のやり方」をご紹介します。その後で、ローカルPCの環境を汚さない「すごいやり方」をご紹介します。 従来のやり方 Visual Studio Codeには「Tomcat for Java」という便利なプラグインがあり、これを使うことで、Tomcat
はじめに こんにちは。小室@さっぽろです。2022/09/30 Tomcat で新しい脆弱性が JVN のサイトにて公開されました。 JVNVU#98868043 - Apache TomcatにHttp11Processorインスタンスにおける競合状態による情報漏えいの脆弱性 複数のクライアントから接続された場合、Http11Processorのインスタンスを共有していることに起因して、レスポンスのすべてまたはその一部を誤ったクライアントに送信するため、情報が漏えいする可能性があります。 という内容でなかなかな内容です。 気になる脆弱性であったため 趣味で コードを見てみました。Tomcat のコードを追うのは初めてなので理解が間違っているかもしれません。 理解が間違っているところや曖昧な箇所があれば指摘ください。 *1 「なぜそうなるのか」まではある程度調べたものの、再現方法に関しては
中山です この記事はApp2Containerをとりあえず触ってみた、チュートリアル的な記事となります。 App2Containerとは App2Containerは、ASP.NETおよびJavaアプリケーションをコンテナ化するツールです。 AWS App2Container の発表 - アプリケーションをコンテナ化して AWS クラウドに移行する これによって、既存のアプリケーションをAWSのコンテナプラットフォームサービスであるECSもしくはEKSに簡単にデプロイできるようになります。 やってみた 公式のチュートリアルに沿って試していきたいと思います。今回は、tomcat上で動作するアプリケーションの移行をやってみます。 Containerizing a Java application on Linux 動作要件 動作要件は以下の通りです。 移行元の環境を用意する際にこれらが満たされ
[AWS CDK] 一撃でIPアドレスベースのApache HTTP ServerとApache TomcatのVirtual Hostが動作しているEC2インスタンスを作成してみた 一撃でIPアドレスベースのApache HTTP ServerとApache TomcatのVirtual Hostが動作しているEC2インスタンスを作成したい こんにちは、のんピ(@non____97)です。 皆さんは一撃でIPアドレスベースのApache HTTP ServerとApache TomcatのVirtual Hostが動作しているEC2インスタンスを作成したいなと思ったことはありますか? 私はちょっとあります。 以前、以下記事でApache HTTP ServerとApache TomcatのVirtual Hostが動作しているEC2インスタンスをAuto ScalingさせてALBで接続
![[AWS CDK] 一撃でIPアドレスベースのApache HTTP ServerとApache TomcatのVirtual Hostが動作しているEC2インスタンスを作成してみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/58352a94df47d0b99e7fafc14aff639f05f1518d/height=288;version=1;width=512/https%3A%2F%2Ffanyv88.com%3A443%2Fhttps%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2023%2F08%2Faws-cdk.png)
実現したこと Dockerの公式tomcatイメージをもとに、tomcatのサンプルアプリを含むイメージをビルドしてコンテナをデプロイする 環境 Windows 10 Home 1903 Docker Toolbox version 19.03.1 手順 ##1.Docker Toolboxをインストールして起動する 以下からダウンロードしてインストールする https://docs.docker.com/toolbox/toolbox_install_windows/ ##2.Dockerfileを作って、作業用フォルダに格納する ここではDocker Hubにある公式のtomcatイメージをpullしてくる。tomcatのサンプルアプリをダウンロードしてくるために、wgetを事前にインストールして、tomcatの公式サイトからダウンロード。curlでもダウンロードできると思われるが、練
はじめに はじめまして。ykusaです。 今日はTomcatとGlassFishの使い分けについて説明します。 JavaでWebアプリの開発をしたことがある方ならTomcatは使ったことがあるかと思います。一方で、美味しそうなお魚マークのGlassFishは使ったことがありますか? どちらもWebアプリを運用できるという点では同じことができますが、それぞれに向き不向きがあります。 機能の○×を付けるだけであれば、その辺に落ちている表を見ればいいのですが、運用やサポートも含めた比較内容はなかなかまとまっていません。 実際にどちらを使うの?となった際に、機能の実現性の有無だけでなく、運用やサポート、それに加えて将来的な展望なども知っておくと、選定の際に役立ちます。 どっちを使うのがいい?となった際に、説明できるとかっこいいですよ! 基本情報 まずは、Tomcat、GlassFishについて、基
ログイン画面出ているのに404になった。 そこで、関連してくるApacheとTomcatについて書いていこうと思います! はじめに Apacheってなんだ?! Tomcatってなんだ?! お前達は一体どこにいるんだ?! 何をしてるんだ?! そんなApacheとTomcatの疑問に関してまとめていきます。 ※概念部分のみで、以降には技術的なコードを書いてませんのでご了承を... 環境 Apacheって何? Webサーバ用のソフトのこと 正式名称はApache HTTP Serverという 世界中で最も使用されているWebサーバソフト Webサーバって何? ブラウザからのHTTPリクエストに対して、HTMLファイルなどをレスポンスとして返してくれるサーバのこと 今回でいうとPCなどにApacheというWebサーバ用のソフトを入れることでWebサーバになる! Tomcatって何? APPサーバ(
Apache Tomcatには、WebSocket接続の実装に起因する、データが誤った用途に利用される問題が存在します。 WebアプリケーションにWebSocket接続のクローズと同時にWebSocketメッセージを送信した場合、アプリケーションは、ソケットが閉じられた後もソケットを使用し続ける可能性があります(CVE-2022-25762)。 これにより、後続のWebSocket接続が同一のWebSocketオブジェクトを同時に使用してしまい、データが誤って返答されたり他のエラーが発生する可能性があります。
JPCERT-AT-2021-0002 JPCERT/CC 2021-01-15 I. 概要2021年1月14日(米国時間)、Apache Software FoundationはApache Tomcatの脆弱性(CVE-2021-24122)に関する情報を公開しました。NTFSファイルシステムを利用しているシステム構成で、ネットワーク上にリソースを提供している場合、Java APIのFile.getCanonicalPath()の予期しない動作により、結果としてJSPのソースコードが漏えいするなどの可能性があります。 Apache Software Foundation CVE-2021-24122 Apache Tomcat Information Disclosure https://lists.apache.org/thread.html/r1595889b083e05986f4
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? 1. イントロダクション この記事は、JavaアプリのAWSデプロイにおける手順を分かりやすく解説しています。初心者にとってはハードルが高いかもしれませんが、心配しないでください。ステップバイステップで進めるように、具体的なコマンドを使いながらAWSデプロイの手順を詳しく説明しています。 記事は大きく2つに分かれています。まず、AWSを用いたVPC(Virtual Private Cloud)の作成方法を解説します。その次に、ApacheおよびTomcatを用いたWebサーバーの環境構築方法を解説します。この記事を読むことで、AWSデプ
United States Computer Emergency Readiness Team (US-CERT)は12月4日(米国時間)、「Apache Releases Security Advisory for Apache Tomcat|CISA」において、Apache Tomcatに脆弱性が発見され、開発元のThe Apache Software Foundationがセキュリティアドバイザリをリリースしたことを伝えた。この脆弱性を悪用されると、HTTP/2接続において情報漏洩が起こる危険性がある。 脆弱性に関する情報は、コミッターのMark Thomasによる次のアナウンスにまとめられている。 [SECURITY] CVE-2020-17527 Apache Tomcat HTTP/2 Request header mix-up この脆弱性はHTTP/2のリクエスト処理の不備に
先日Apache Tomcatに見つかったリモートコード実行の脆弱性「CVE-2024-50379」の修正が不完全であることが判明した。影響を受けるバージョンの利用者には、速やかなアップデートと追加の設定見直しが必要になるため注意が必要だ。
JPCERT-AT-2020-0024 JPCERT/CC 2020-05-21(新規) 2021-03-02(更新) I. 概要Apache Software Foundation は、2020年5月20日 (現地時間) に、Apache Tomcat の脆弱性 (CVE-2020-9484) に関する情報を公開しました。脆弱性を悪用されると、デシリアライズ対象データの検証が適切に行われていないことに起因して、遠隔の第三者が、サーバ上に管理可能なファイルを配置することができる場合に、任意のコードを実行する可能性があります。 脆弱性の詳細については、Apache Software Foundation からの情報を参照してください。 Apache Software Foundation CVE-2020-9484 Apache Tomcat Remote Code Execution vi
はじめに Tomcatに新たな脆弱性CVE-2020-9484が発見されました。既にアップデートは提供されています。影響を受けるバージョンなどの情報についてはオフィシャルのページを参照ください。今回はこの脆弱性の技術的な側面について解説します。 攻撃成功率は高くない CVE-2020-9484は一応リモートからの任意のコード実行(RCE)であるとされていますが、現実的には攻撃を成功させるためのハードルは高く、実際に被害が発生する可能性はそれほどは高くありません。攻撃が成功するために必要となる条件は下記になります。 攻撃者がTomcatが稼働しているサーバ上のどこかに任意の名前・中身のファイルを配置できること Tomcatがセッションの永続化のためにPersistenceManagerをFileStoreで使っており、かつsessionAttributeValueClassNameFilte
こんにちは。おおたにです。 先日Tomcat9を最新バージョン(その時点では9.0.33)にアップデートしたところ、WebサーバとのAJP接続がうまくいかなくなったので、今回はその対処法を紹介します。 原因 こちらの脆弱性への対応のため、Tomcat 9.0.31でAJP1.3コネクタ設定が変更されたことが原因でした。具体的な変更点はTomcat 9.0.31のchangelogにありますが、主なものは以下の3点です。 AJPコネクタ(8009番ポートのやつ)がデフォルトでdisabledになった バインドアドレスのデフォルトがIPv6ループバックアドレス(::1)になった 新しい属性secretRequiredが追加され、デフォルトでtrueとなっている(trueの場合、secret属性でシークレットキーを指定する必要がある) 以下、上記変更に対応するための設定方法です。今回はApach
Apache Tomcat の脆弱性(CVE-2020-1938)を標的としたアクセスの観測について 宛先ポート 9530/TCP に対する Mirai ボットの特徴を有するアクセスの増加 ※本資料における「送信元国・地域」については、判明した送信元IP アドレスが当該国・地域に割り当てられていることを指しており、踏み台となっているなどにより、送信者の所在と一致していない場合があります。 詳細 Apache Tomcat の脆弱性(CVE-2020-1938)を標的としたアクセスの観測等について(PDF形式:813KB)
Tomcat サーバー上で実行する Java アプリを Amazon CloudWatch Application Signals (プレビュー) で監視 | Amazon Web Services
Amazon Web Services ブログ Tomcat サーバー上で実行する Java アプリを Amazon CloudWatch Application Signals (プレビュー) で監視 従来、Java Web アプリケーションは Web Application Resource (WAR) ファイルにパッケージ化され、Tomcat サーバーなどの Servlet/JSP コンテナに展開されています。これらのアプリケーションは、データベース、外部 API、キャッシングレイヤなど、様々な相互接続されたコンポーネントを含む分散環境で動作しており、それらの複雑な相互作用によりパフォーマンスと健全性の監視が難しく、平均復旧時間 (MTTR) が長くなる可能性があります。 このブログでは、WAR パッケージからデプロイされ、Tomcat サーバーで実行されている Java Web ア
※この記事12/23が空いていたので、代わりに投稿しました。ライトなものです。 Tomcatの最新バージョンは9.0 現在の Apache Tomcat の最新メジャーバージョンは9.0です。 https://tomcat.apache.org/ を見ると、2020/12/25 現在 Apache Tomcat 9.0.41 Apache Tomcat 8.5.61 Apache Tomcat 7.0.107 が更新されています。2011/1にリリースされたTomcat7.0もようやく2021/3/31にEOLを迎えると発表されています。 http://tomcat.apache.org/tomcat-70-eol.html いつかは、いま運用保守したり開発しているアプリケーションをTomcat10に乗り換える必要がありますが、ここに頭の痛い問題があります。Jakrta EE 9 のパッケ
JVNVU#92183876 Apache TomcatのJsonErrorReportValveにおけるエスケープ処理不備の問題
「TomcatのDBコネクションが8個しかできないんだけど、なんで??」 そんな質問があり、原因を調査しました。意外なオチだったので、そのときの記録をここに残します。 この質問とともに受け取ったcontext.xmlには以下のような定義がありました。 <Resource name="jdbc/MyDB" auth="Container" type="javax.sql.DataSource" driverClassName="com.mysql.jdbc.Driver" factry="org.apache.tomcat.jdbc.pool.DataSourceFactory" url="jdbc:mysql://dbserver.example.com:3306/db4app" username="dbuser" password="xxxxxxxxxx" initialSize="20
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は1月27日、オープンソースのJavaアプリケーションサーバ「Apache Tomcat」に脆弱性が報告され、開発元のApache Software Foundationが修正版をリリースしたと伝えた。この脆弱性を悪用されると、ローカルの攻撃者によってTomcatのプロセスが使用しているユーザーの権限でアクションを実行される可能性がある。 JVNVU#93604797: Apache TomcatにTime-of-check Time-of-use(TOCTOU)競合状態による権限昇格の脆弱性 この脆弱性はCVE-2022-23181として追跡されており、2020年5月に報告されたCVE-2020-9484の脆弱
「Apache Tomcat」にリモートよりコードの実行が可能となる脆弱性が含まれていることがわかった。5月11日以降に公開されたアップデートで修正されており、アップデートが呼びかけられている。 サーバ上のファイルを編集できるなど特定条件下においてリモートよりコードの実行が可能となる脆弱性「CVE-2020-9484」が存在することを、同ソフトウェアの開発関係者が明らかにしたもの。重要度は4段階中2番目にあたる「高(High)」とされている。 同ソフトウェアの開発チームでは、5月11日に最新版となる「Apache Tomcat 10.0.0-M5」「同9.0.35」「同8.5.55」、同月16日に「同7.0.104」をリリースしており、これらアップデートで同脆弱性を修正済みだという。 開発者は利用者に対し、あらためてアップデートを呼びかけるとともに、脆弱性の公表を受けて、JPCERTコーデ
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は9月30日、「JVNVU#98868043: Apache TomcatにHttp11Processorインスタンスにおける競合状態による情報漏えいの脆弱性」において、Apache Tomcatに重要度の高いセキュリティ脆弱性が報告されていることを伝えた。このセキュリティ脆弱性を利用されると、悪意のある第三者に情報が漏えいする危険性があるという。 該当する脆弱性はCVE-2021-43980として追跡されており、開発元のThe Apache Software Foundationからは次のセキュリティアラートが発行されている。 [SECURITY] CVE-2021-43980 Apache Tomcat -
TL;DR CentOS上で、mod_jkを使ってApache、Tomcatを連携させる mod_jkのビルドにはapxsが必要 CentOSの場合、apxsはhttpd-develでインストールできる mod_jkは共有メモリを使うので、SELinuxに阻まれることがあるので注意 というわけで、この記事ではCentOS上にインストールしたApache、Tomcatをmod_jkを使って連携させてみます。 mod_jk mod_jkとは、Tomcatプロジェクトが開発している、Webサーバーとの接続プラグインのひとつです。 The Apache Tomcat Connectors: mod_jk, ISAPI redirector, NSAPI redirector Configuring mod_jk for the Apache HTTP Server mod_jkはApacheをター
REST with Spring Boot The canonical reference for building a production grade API with Spring Learn Spring Security ▼▲ THE unique Spring Security education if you’re working with Java today
Windowsのローカル環境に無料のGitサーバ「Gitbucket」をインストールする手順について説明します。Apacheと連携させたTomcat上で動作させ、PostgreSQLと連携させる方法で説明します。 目次 本ページで利用するチートシート 動作確認環境 GitBucketとは? GitBucketをダウンロードする GitBucket単体で起動する 動作確認 停止方法 GitBucketをTomcat上で起動する 動作確認 Apache経由でGitBucketにアクセスする Apache側の対応 Tomcat側の対応 動作確認 利用するDBを「H2」→「PostgreSQL」に変更する PostgreSQL側の対応 GitBucket側の対応 動作確認 本ページで利用するチートシート # GitBucket起動コマンド java -jar gitbucket.war # Git
Tomcat の session id の生成がめちゃくちゃ遅いとき Sep 27 23:41:00 dev3 docker[56810]: 2021-09-27 23:41:00.043 WARN 1 --- [nio-8080-exec-1] o.a.c.util.SessionIdGeneratorBase : Creation of SecureRandom instance for session ID generation using [SHA1PRNG] took [140,998] milliseconds. というようなエラーが起きるときがある(VPS などで /dev/random の entropy が十分ではない場合)。 https://newbedev.com/what-exactly-does-djava-security-egd-file-dev-urando
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は5月16日(米国時間)、「Apache Releases Security Advisory for Tomcat|CISA」において、複数のバージョンのApache Tomcatに脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によって機密情報が窃取される危険性がある。 脆弱性に関する情報は次のページにまとまっている。 [SECURITY] CVE-2022-25762 Apache Tomcat - Request Mix-up-Apache Mail Archives [SECURITY] CVE-2022-25762 Apache Tomcat - Request Mix-up-Apach
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は1月27日、オープンソースのJavaアプリケーションサーバ「Apache Tomcat」に脆弱性が報告され、開発元のApache Software Foundationが修正版をリリースしたと伝えた。この脆弱性を悪用されると、ローカルの攻撃者によってTomcatのプロセスが使用しているユーザーの権限でアクションを実行される可能性がある。 JVNVU#93604797: Apache TomcatにTime-of-check Time-of-use(TOCTOU)競合状態による権限昇格の脆弱性 この脆弱性はCVE-2022-23181として追跡されており、2020年5月に報告されたCVE-2020-9484の脆弱
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
