タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
「これってもしかして・・・」 「私たちのレスポンス・・・」 「入れ替わってる〜!?」 Tomcat 7 の EOL は2021年3月31日までです。 2020年4月現在、あと1年を切りました。私のまわりでは Tomcat 7 つまり Servlet 3.0 向けに書かれたアプリケーションは未だ現役で、そろそろ本気を出してマイグレーションに取り組まなければいけません。 本気を出すためにも、Tomcat 7 でおきたセッション管理に関する怖い話を書いておきます。 レスポンスが混じる! 結論からいいますと、Tomcat 7 は最新の 7.0.103 であっても、大量のトラフィックを捌く環境において、AJP Connectorを使用してほぼ同時に処理している複数のリクエストのレスポンスが混ざってクライアントに送信されることがあります。 これが何を意味するかというと、あるユーザーに対して送信した S
Tomcat Javaアプリケーションのコンテナ移行自動化ツール群「Tomcat modernization flow」、Google Cloudがプレビューリリース
Google Cloudは、Apache Tomcatで実行されているJavaアプリケーションを自動的にコンテナ環境へ移行してくれるツール群「Tomcat modernization flow」のパブリックプレビュー版をリリースしました。 Apache TomcatはJavaでアプリケーションサーバを実装するプラットフォームとして人気の高いアプリケーションンサーバです。ただしApache Tomcatが登場し普及した時期はDockerコンテナなどの技術が登場する前であるため、多くのApache Tomcatは仮想マシンなどの上で稼働していると見られます。 Google Cloudが発表したTomcat modernizatio flowは、この仮想環境上のApach Tomcatの情報を自動的に収集し、移行計画を策定、Google Kubernetes Engine(GKE)などコンテナ環
困っていた内容 CloudWatchからtomcatプロセスを監視したいのですが、どうすればよいでしょうか? CloudWatch Agentの設定ファイルにおいて、httpdの様にexeでtomcatと指定しても、正しく監視できていません。 どう対応すればいいの? procstatプラグインの「pattern」を使用することで監視が可能です。 本記事では、実際の設定方法について解説します。 やってみた 前提 CloudWatch Agentをセットアップが完了していること (SSMのParameter storeに設定を保存していること) tomcatがインストールされていること 手順 ドキュメントでは、以下の様に記載されています。 procstat プラグインでプロセスメトリクスを収集する - Amazon CloudWatch ・pattern: プロセスの起動に使用するコマンドライ
JVNVU#98868043 Apache TomcatにHttp11Processorインスタンスにおける競合状態による情報漏えいの脆弱性 Apache Tomcatには、Http11Processorインスタンスにて競合状態が発生し、誤ったクライアントへのレスポンスを行うことで情報漏えいとなる脆弱性が存在します。 Apache Tomcat 10.1.0-M1から10.1.0-M12までのバージョン Apache Tomcat 10.0.0-M1から10.0.18までのバージョン Apache Tomcat 9.0.0-M1から9.0.60までのバージョン Apache Tomcat 8.5.0から8.5.77までのバージョン The Apache Software Foundationから、Apache Tomcatの脆弱性に対するアップデートが公開されました。 Http11Proc
はじめに こんにちは。小室@さっぽろです。2022/09/30 Tomcat で新しい脆弱性が JVN のサイトにて公開されました。 JVNVU#98868043 - Apache TomcatにHttp11Processorインスタンスにおける競合状態による情報漏えいの脆弱性 複数のクライアントから接続された場合、Http11Processorのインスタンスを共有していることに起因して、レスポンスのすべてまたはその一部を誤ったクライアントに送信するため、情報が漏えいする可能性があります。 という内容でなかなかな内容です。 気になる脆弱性であったため 趣味で コードを見てみました。Tomcat のコードを追うのは初めてなので理解が間違っているかもしれません。 理解が間違っているところや曖昧な箇所があれば指摘ください。 *1 「なぜそうなるのか」まではある程度調べたものの、再現方法に関しては
ログイン画面出ているのに404になった。 そこで、関連してくるApacheとTomcatについて書いていこうと思います! はじめに Apacheってなんだ?! Tomcatってなんだ?! お前達は一体どこにいるんだ?! 何をしてるんだ?! そんなApacheとTomcatの疑問に関してまとめていきます。 ※概念部分のみで、以降には技術的なコードを書いてませんのでご了承を... 環境 Apacheって何? Webサーバ用のソフトのこと 正式名称はApache HTTP Serverという 世界中で最も使用されているWebサーバソフト Webサーバって何? ブラウザからのHTTPリクエストに対して、HTMLファイルなどをレスポンスとして返してくれるサーバのこと 今回でいうとPCなどにApacheというWebサーバ用のソフトを入れることでWebサーバになる! Tomcatって何? APPサーバ(
Tomcat サーバー上で実行する Java アプリを Amazon CloudWatch Application Signals (プレビュー) で監視 | Amazon Web Services
Amazon Web Services ブログ Tomcat サーバー上で実行する Java アプリを Amazon CloudWatch Application Signals (プレビュー) で監視 従来、Java Web アプリケーションは Web Application Resource (WAR) ファイルにパッケージ化され、Tomcat サーバーなどの Servlet/JSP コンテナに展開されています。これらのアプリケーションは、データベース、外部 API、キャッシングレイヤなど、様々な相互接続されたコンポーネントを含む分散環境で動作しており、それらの複雑な相互作用によりパフォーマンスと健全性の監視が難しく、平均復旧時間 (MTTR) が長くなる可能性があります。 このブログでは、WAR パッケージからデプロイされ、Tomcat サーバーで実行されている Java Web ア
Apache Tomcatには、WebSocket接続の実装に起因する、データが誤った用途に利用される問題が存在します。 WebアプリケーションにWebSocket接続のクローズと同時にWebSocketメッセージを送信した場合、アプリケーションは、ソケットが閉じられた後もソケットを使用し続ける可能性があります(CVE-2022-25762)。 これにより、後続のWebSocket接続が同一のWebSocketオブジェクトを同時に使用してしまい、データが誤って返答されたり他のエラーが発生する可能性があります。
JPCERT-AT-2021-0002 JPCERT/CC 2021-01-15 I. 概要2021年1月14日(米国時間)、Apache Software FoundationはApache Tomcatの脆弱性(CVE-2021-24122)に関する情報を公開しました。NTFSファイルシステムを利用しているシステム構成で、ネットワーク上にリソースを提供している場合、Java APIのFile.getCanonicalPath()の予期しない動作により、結果としてJSPのソースコードが漏えいするなどの可能性があります。 Apache Software Foundation CVE-2021-24122 Apache Tomcat Information Disclosure https://lists.apache.org/thread.html/r1595889b083e05986f4
手軽に学ぶ!初心者向けJavaアプリのAWSデプロイ方法。Eclipse、Tomcat、Apacheで始めるクラウド運用。 - Qiita
1. イントロダクション この記事は、JavaアプリのAWSデプロイにおける手順を分かりやすく解説しています。初心者にとってはハードルが高いかもしれませんが、心配しないでください。ステップバイステップで進めるように、具体的なコマンドを使いながらAWSデプロイの手順を詳しく説明しています。 記事は大きく2つに分かれています。まず、AWSを用いたVPC(Virtual Private Cloud)の作成方法を解説します。その次に、ApacheおよびTomcatを用いたWebサーバーの環境構築方法を解説します。この記事を読むことで、AWSデプロイの手順を理解し、実際にJavaアプリをAWS上でデプロイすることができるようになります。 2. AWSを用いたVPC(Virtual Private Cloud)の作成 この章ではでは、1つのアベイラビリティーゾーン(AZ)にVPC、インターネットゲート
United States Computer Emergency Readiness Team (US-CERT)は12月4日(米国時間)、「Apache Releases Security Advisory for Apache Tomcat|CISA」において、Apache Tomcatに脆弱性が発見され、開発元のThe Apache Software Foundationがセキュリティアドバイザリをリリースしたことを伝えた。この脆弱性を悪用されると、HTTP/2接続において情報漏洩が起こる危険性がある。 脆弱性に関する情報は、コミッターのMark Thomasによる次のアナウンスにまとめられている。 [SECURITY] CVE-2020-17527 Apache Tomcat HTTP/2 Request header mix-up この脆弱性はHTTP/2のリクエスト処理の不備に
Apache Tomcatのリモートコード実行の脆弱性 修正が不完全のため設定の見直しが必要:セキュリティニュースアラート 先日Apache Tomcatに見つかったリモートコード実行の脆弱性「CVE-2024-50379」の修正が不完全であることが判明した。影響を受けるバージョンの利用者には、速やかなアップデートと追加の設定見直しが必要になるため注意が必要だ。
Apache Tomcatの脆弱性「CVE-2025-24813」を利用した攻撃の試みが進行中だ。悪用には一定の条件を満たす必要があるが、日本を含めた複数の国のサーバも攻撃の対象になっているため注意してほしい。 サイバーセキュリティ事業を営むGreyNoiseの研究者たちは2025年3月20日(現地時間、以下同)、(注1)、OSS(オープンソースソフトウェア)のサーブレットコンテナおよびWebサーバである「Apache Tomcat」に存在する重大な脆弱(ぜいじゃく)性「CVE-2025-24813」が実際に悪用されていると報告した(注2)。 同脆弱性の悪用により、リモートコードの実行が可能になる恐れがある。パス等価性に関するこの脆弱性は、同年3月10日に初めて公表され、複数のバージョンに影響を与えている。影響を受けるバージョンには11.0.0-M1~11.0.2、10.1.0-M1~10
Apache Software FoundationはOSS(オープンソースソフトウェア)のサーブレットコンテナおよびWebサーバである「Apache Tomcat」に関する新たな脆弱(ぜいじゃく)性「CVE-2024-56337」を公表した。この脆弱性は過去に報告されたCVE-2024-50379の緩和策が不完全であったことに起因するという。 未解決の緩和策により新たな脆弱性が発生 ユーザーが取るべき対策は? CVE-2024-56337は共通脆弱性評価システム(CVSS)3.1で9.8と評価され、「緊急」(Critical)に分類されており注意が必要だ。 この問題は、Apache Tomcatが大文字小文字の区別をしないファイルシステムで動作し、かつデフォルトサーブレットの書き込み機能が有効(readonly初期化パラメーターがfalse)に設定されている場合に発生する可能性がある。影
JVNVU#92183876 Apache TomcatのJsonErrorReportValveにおけるエスケープ処理不備の問題
※この記事12/23が空いていたので、代わりに投稿しました。ライトなものです。 Tomcatの最新バージョンは9.0 現在の Apache Tomcat の最新メジャーバージョンは9.0です。 https://tomcat.apache.org/ を見ると、2020/12/25 現在 Apache Tomcat 9.0.41 Apache Tomcat 8.5.61 Apache Tomcat 7.0.107 が更新されています。2011/1にリリースされたTomcat7.0もようやく2021/3/31にEOLを迎えると発表されています。 http://tomcat.apache.org/tomcat-70-eol.html いつかは、いま運用保守したり開発しているアプリケーションをTomcat10に乗り換える必要がありますが、ここに頭の痛い問題があります。Jakrta EE 9 のパッケ
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は1月27日、オープンソースのJavaアプリケーションサーバ「Apache Tomcat」に脆弱性が報告され、開発元のApache Software Foundationが修正版をリリースしたと伝えた。この脆弱性を悪用されると、ローカルの攻撃者によってTomcatのプロセスが使用しているユーザーの権限でアクションを実行される可能性がある。 JVNVU#93604797: Apache TomcatにTime-of-check Time-of-use(TOCTOU)競合状態による権限昇格の脆弱性 この脆弱性はCVE-2022-23181として追跡されており、2020年5月に報告されたCVE-2020-9484の脆弱
TomcatのDBコネクションが8個までしか増えない謎を追う ~ あるOSSサポートエンジニアの1日 - Qiita
<Resource name="jdbc/MyDB" auth="Container" type="javax.sql.DataSource" driverClassName="com.mysql.jdbc.Driver" factry="org.apache.tomcat.jdbc.pool.DataSourceFactory" url="jdbc:mysql://dbserver.example.com:3306/db4app" username="dbuser" password="xxxxxxxxxx" initialSize="20" maxActive="20" /> mysql> show processlist; +------+--------+---------------------------------+--------+---------+------+----
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は9月30日、「JVNVU#98868043: Apache TomcatにHttp11Processorインスタンスにおける競合状態による情報漏えいの脆弱性」において、Apache Tomcatに重要度の高いセキュリティ脆弱性が報告されていることを伝えた。このセキュリティ脆弱性を利用されると、悪意のある第三者に情報が漏えいする危険性があるという。 該当する脆弱性はCVE-2021-43980として追跡されており、開発元のThe Apache Software Foundationからは次のセキュリティアラートが発行されている。 [SECURITY] CVE-2021-43980 Apache Tomcat -
App Service における Tomcat アプリケーションへの war ファイルのデプロイについて - Qiita
App Service 上で稼働する、Tomcat アプリケーションへのデプロイ時に使用する Kudu API がよくわからない! App Service に war ファイルをデプロイする API として /api/wardeploy と /api/publish の2種類があり、/api/wardeploy のほうがおそらく歴史が古い。 2022年10月現在では、公式ドキュメントでは/api/publishを使うように紹介されており、AZ CLI も内部的には、/api/publish を使うようになっている。1 なお、/api/wardeploy については、Kudu のリポジトリに WiKiページ が存在するが、/api/publish については存在しない。 どちらを使うべきかわからない、違いがわからないといったことが多いので 本稿では実際に試して見えてきた内容を記載します。 T
[RSJ24] Task Success Prediction for Open-Vocabulary Manipulation Based on Multi-Level Aligned Representations
Tomcat の session id の生成がめちゃくちゃ遅いとき Sep 27 23:41:00 dev3 docker[56810]: 2021-09-27 23:41:00.043 WARN 1 --- [nio-8080-exec-1] o.a.c.util.SessionIdGeneratorBase : Creation of SecureRandom instance for session ID generation using [SHA1PRNG] took [140,998] milliseconds. というようなエラーが起きるときがある(VPS などで /dev/random の entropy が十分ではない場合)。 https://newbedev.com/what-exactly-does-djava-security-egd-file-dev-urando
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は5月16日(米国時間)、「Apache Releases Security Advisory for Tomcat|CISA」において、複数のバージョンのApache Tomcatに脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によって機密情報が窃取される危険性がある。 脆弱性に関する情報は次のページにまとまっている。 [SECURITY] CVE-2022-25762 Apache Tomcat - Request Mix-up-Apache Mail Archives [SECURITY] CVE-2022-25762 Apache Tomcat - Request Mix-up-Apach
The Apache Software Foundationが提供するApache Tomcatには、複数の脆弱性が存在します。 CVE-2024-52316 Apache Tomcat 11.0.0-M1から11.0.0-M26まで Apache Tomcat 10.1.0-M1から10.1.30まで Apache Tomcat 9.0.0-M1から9.0.95まで CVE-2024-52317 Apache Tomcat 11.0.0-M23から11.0.0-M26まで Apache Tomcat 10.1.27から10.1.30まで Apache Tomcat 9.0.92から9.0.95まで CVE-2024-52318 Apache Tomcat 11.0.0 Apache Tomcat 10.1.31 Apache Tomcat 9.0.96 The Apache Softwa
The Apache Software Foundation から、Apache Tomcat の脆弱性に対するアップデートが公開されました。 CVE-2021-25329 および CVE-2021-25122 Apache Tomcat 10.0.0-M1 から 10.0.0 まで Apache Tomcat 9.0.0.M1 から 9.0.41 まで Apache Tomcat 8.5.0 から 8.5.61 まで CVE-2021-25329 のみ Apache Tomcat 7.0.0 から 7.0.107 まで The Apache Software Foundation から、Apache Tomcat の脆弱性に対するアップデートが公開されました。 信頼できないデータのデシリアライズ (CWE-502) - CVE-2021-25329 本脆弱性は CVE-2020-9484
◆概要 STSで作成された、「Hello World!」と表示する 「Springスターター・プロジェクト(Spring Initializer)」を STS上で作成した,組み込みではないTomcatで起動すること ◆本記事のゴール STS上で作成した,組み込みではないTomcatで起動しています。 そのサーバーに「Springスターター・プロジェクト(Spring Initializer)」が追加されている。 ブラウザ上で「Hello World!」と表示される ◆前提条件 STSで、「Springスターター・プロジェクト(Spring Initializer)」を作成し、 組み込みのTomcatで起動。「Hello World!」が表示される状態。 そこまでの方法は、 下記の記事を参考にして下さい。 下記、記事の所要時間は、 STS4がインストールされていれば、15分程度が目安。 [S
![[Spring Boot]組込みじゃないTomcatでSpring BootのWebAppを起動](https://cdn-ak-scissors.b.st-hatena.com/image/square/608386e8f498cfcb856de06242d0a00cb5c0637b/height=288;version=1;width=512/https%3A%2F%2Fres.cloudinary.com%2Fzenn%2Fimage%2Fupload%2Fs--hj4RIbSD--%2Fc_fit%252Cg_north_west%252Cl_text%3Anotosansjp-medium.otf_55%3A%25255BSpring%252520Boot%25255D%2525E7%2525B5%252584%2525E8%2525BE%2525BC%2525E3%252581%2525BF%2525E3%252581%252598%2525E3%252582%252583%2525E3%252581%2525AA%2525E3%252581%252584Tomcat%2525E3%252581%2525A7Spring%252520Boot%2525E3%252581%2525AEWebApp%2525E3%252582%252592%2525E8%2525B5%2525B7%2525E5%25258B%252595%252Cw_1010%252Cx_90%252Cy_100%2Fg_south_west%252Cl_text%3Anotosansjp-medium.otf_37%3ANeoTech%252Cx_203%252Cy_121%2Fg_south_west%252Ch_90%252Cl_fetch%3AaHR0cHM6Ly9zdG9yYWdlLmdvb2dsZWFwaXMuY29tL3plbm4tdXNlci11cGxvYWQvYXZhdGFyLzFhNGVkNTkzMmIuanBlZw%3D%3D%252Cr_max%252Cw_90%252Cx_87%252Cy_95%2Fv1627283836%2Fdefault%2Fog-base-w1200-v2.png)
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Tomcat7は壊れていて、複数のレスポンスが混じる - Qiita
EC2インスタンスのTomcatプロセスを監視する方法 | DevelopersIO
JVNVU#98868043: Apache TomcatにHttp11Processorインスタンスにおける競合状態による情報漏えいの脆弱性
Tomcat の修正 Commit を読んで理解する CVE-2021-43980 | DevelopersIO
[AWS CDK] 一撃でIPアドレスベースのApache HTTP ServerとApache TomcatのVirtual Hostが動作しているEC2インスタンスを作成してみた | DevelopersIO
![[AWS CDK] 一撃でIPアドレスベースのApache HTTP ServerとApache TomcatのVirtual Hostが動作しているEC2インスタンスを作成してみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/58352a94df47d0b99e7fafc14aff639f05f1518d/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2023%2F08%2Faws-cdk.png)
図解で解説!! Apache、Tomcatってなんなの? - Qiita
JVNVU#94243578: Apache TomcatにおけるWebSocket接続の実装に関する問題
Apache Tomcatの脆弱性(CVE-2021-24122)に関する注意喚起
Apache Tomcatに情報漏洩につながる脆弱性、最新版にアップデートを
Apache Tomcatのリモートコード実行の脆弱性 修正が不完全のため設定の見直しが必要
「Apache Tomcat」に特定条件下で誤ったクライアントへレスポンスを返す脆弱性/深刻度は「High」
「Apache Tomcat」に2件の脆弱性 ~サービス拒否(DoS)などの恐れ/最大深刻度はHigh、最新版で修正済み
Apache Tomcatの重大な脆弱性を攻撃者たちが悪用中 日本も標的対象
Apache Tomcatに「緊急」の新たな脆弱性 過去の不完全な対策に起因か
「Apache Tomcat」に深刻度Importantの脆弱性 ~v9.0.44/8.5.64以降に更新を/POSTリクエストのエラー応答に別のユーザーのリクエストデータが含まれてしまう可能性
JVNVU#92183876: Apache TomcatのJsonErrorReportValveにおけるエスケープ処理不備の問題
いつかTomcat10を使用する……気になれないパッケージ名変更の闇 - Qiita
Apache Tomcatにローカル権限昇格の脆弱性、アップデートが必要
Apache Tomcatに情報漏えいにつながる脆弱性、最新版へのアップデートを
Tomcatコミッタがお送りするちょっとマニアックなTomcatのコンフィグレーション10選
Tomcat の session id の生成がめちゃくちゃ遅いとき - tokuhirom's blog
Apache Tomcatに機密情報窃取の脆弱性、アップデートを
Apache Tomcatに保護されていない認証情報の送信の脆弱性 | ScanNetSecurity
JVNVU#90271471: Apache Tomcatにおける複数の脆弱性
JVNVU#97014415: Apache Tomcat に対するアップデート
[Spring Boot]組込みじゃないTomcatでSpring BootのWebAppを起動
sapporo-sokuho.com
www.nikkansports.com
support.google.com
ayano8.vp.bex.jp
www.watch.impress.co.jp
support.google.com