概要

Tomcat4.1.27を含みこれ以前のTomcat 4.1にはクロスサイトスクリプティング脆弱性が存在します。 この脆弱性は1年以上前の4.1.xリリースから確認されていましたが、手違いにより対応がなされていません。 この脆弱性はTomcat5.0には存在しません。

対策

Tomcat4.1.28にバージョンアップをしてください。(2003年10月8日現在ではリリース予定状態) ただし、別の方法を使って同じ問題が再現されないとも限らないため、Tomcatの運用にあたっては、ユーザ側でカスタマイズしたエラーページを必ず用意するようにしてください。 用意したエラーページのマッピングは、Webアプリケーションに含まれる配備記述子(web.xml)の中で設定可能です。詳しいことはサーブレット仕様書を参照してください。