Tomcatのディレクトリトラバーサル問題の調査ドキュメント「Apache-Tomcatと冗長なUTF-8表現」 | gihyo.jp濃縮還元オレンジニュース Tomcatのディレクトリトラバーサル問題の調査ドキュメント「Apache-Tomcatと冗長なUTF-8表現」 Tomcat 6.0.16/5.5.26/4.1.37以下のバージョンにて発生するディレクトリトラバーサルの脆弱性について検証を行ったPDFドキュメントです。 この問題はserver.xmlまたはcontext.xmlに「URIEncoding=”UTF-8”」「allowLinking=”true”」という設定をしていた場合に起こります。Tomcat 4系以外は問題を修正した最新バージョンが公開されていますので、なるべく早めにバージョンアップを行ったほうがよいでしょう。 このドキュメントではまず「冗長なUTF-8表現」について説明しています。冗長なUTF-8表現とは、本来1バイトや2バイトで表現できる文字を2バイト、3バイトで表すこと
