reikua
@reikua (Reikua)

Are you sure you want to delete the question?

If your question is resolved, you may close it.

Leaving a resolved question undeleted may help others!

We hope you find it useful!

sun.io.useCanonCachesとはどのようなプロパティでしょうか?

Apache Tomcatの脆弱性(CVE-2024-56337)について、

以下のサイトで内容を確認しました。
https://jvn.jp/vu/JVNVU98102314/

サイトの情報によると、
「Java 8、Java 11およびJava 17で当該製品を使用する場合は、システムプロパティsun.io.useCanonCachesをfalseに設定してください」
と記載がありますが、

そもそも、このsun.io.useCanonCachesとは
どのようなプロパティなんでしょうか?

ネットで調べてみたものの、
このプロパティの具体的な情報までは見つけられませんでした。

可能であれば、このプロパティの内容が記載された情報源も教えて頂きたいです。
よろしくお願いします。

0

1Answer

それは システムプロパティについてき 聞きたいのか sun.io.useCanonCaches の仕様について聞きたいのかどっち?みたいなところあります。

システムプロパティについてならここらへん?

sun.io.useCanonCaches だとここらへん?

No specification changes, the system properties (and the caching mechanism) were never documented in an implNote.

そもそも sun.io.useCanonCaches 自体は文書化されていなかった(=慣例的に使われていた)可能性ある……?

0Like

Comments

  1. その issue によれば、File::getCanonicalFile および File::File::getCanonicalPath が解決したパスをキャッシュするかどうかのフラグだったようですね。問題の脆弱性はパスのトラバーサルに関するものなので、すでに注入された悪意あるパスがキャッシュに残っている可能性を潰すためにオフにするのかもしれません。

Your answer might help someone💌