概要
Apache Tomcat の JsonAccessLogValve コンポーネント に 出力 エンコーディング / エスケープ の 不備 が 存在 します。アクセス ログ を JSON 形式 で 出力 する 際、ユーザー 入力 が 適切 に エスケープ されない ため、ログ インジェクション や ログ 解析 ツール で の 意図 しない 動作 に つながる 可能性 が あります。
攻撃者 は HTTP リクエスト の ヘッダー や パラメータ に 特殊 な 文字列 を 含める こと で、JSON 形式 の アクセス ログ に 不正 な データ を 挿入 できます。これ に より、ログ 管理 システム(ELK Stack、Splunk 等)での パース エラー、ログ の 改ざん、さらに は ログ ベース の セキュリティ 監視 の 回避 に つながる 可能性 が あります。
JsonAccessLogValve は Tomcat の アクセス ログ を 構造化 された JSON 形式 で 出力 する ため の バルブ コンポーネント で、ログ 集約 基盤 と の 連携 に 広く 利用 されて います。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 7.5(High) |
| 攻撃 元区分 | ネットワーク |
| 攻撃 条件 の 複雑さ | 低 |
| 必要 な 特権 | 不要 |
| ユーザー 関与 | 不要 |
| CWE | CWE-116(不適切 な 出力 エンコーディング) |
影響 を 受ける ソフトウェア
| 製品 | ベンダー | 影響 バージョン |
|---|---|---|
| Apache Tomcat | Apache Software Foundation | 11.0.0-M1 〜 11.0.20 |
| Apache Tomcat | Apache Software Foundation | 10.1.0-M1 〜 10.1.53 |
| Apache Tomcat | Apache Software Foundation | 9.0.40 〜 9.0.116 |
影響 の 範囲
Apache Tomcat は Java Web アプリケーション サーバー と して 世界中 で 広く 利用 されて います。JsonAccessLogValve は JSON 形式 の 構造化 ログ を 出力 する コンポーネント で、監視 ・ ログ 解析 基盤 と の 連携 に 使用 されます。この コンポーネント を 使用 して いない 場合 は 直接 の 影響 は ありません。
修正 バージョン と 回避策
- 修正: Tomcat 11.0.21 / 10.1.54 / 9.0.117
- 回避策: JsonAccessLogValve を 使用 して いない 場合 は 影響 なし。使用 して いる 場合 は 速やか に アップデート を 推奨
関連 リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。