Tomcatのサンプルコードに脆弱性
Tomcatのサンプル「jsp-examples」に含まれているものにXSS脆弱性があるとのことです。
インターネット上にTomcatをさらす場合はサンプルとか余計なものは外す、もしくはJkMountしないと思うんですがどうなんでしょうかね。まあ、「疎通確認でJkMountして、外すのを忘れた」とかいうのはありそうです。
JPCERT/CCは6月15日、The Apache Software Foundationが提供するApache Tomcatの付属のサンプルプログラムの一部に、クロスサイトスクリプティングの脆弱性が存在すると発表した。影響を受けるシステムは、Apache Tomcatの「4.0.0 〜4.0.6」「4.1.0〜4.1.36」「5.0.0〜5.0.30」「6.0.0〜6.0.13」の各バージョン。
いずれにしても、サンプルをインストールしないのが一番みたいです。
