Apache Tomcatの脆弱性(CVE-2024-56337)について、
以下のサイトで内容を確認しました。
https://jvn.jp/vu/JVNVU98102314/
サイトの情報によると、
「Java 8、Java 11およびJava 17で当該製品を使用する場合は、システムプロパティsun.io.useCanonCachesをfalseに設定してください」
と記載がありますが、
そもそも、このsun.io.useCanonCachesとは
どのようなプロパティなんでしょうか?
ネットで調べてみたものの、
このプロパティの具体的な情報までは見つけられませんでした。
可能であれば、このプロパティの内容が記載された情報源も教えて頂きたいです。
よろしくお願いします。
それは システムプロパティについてき 聞きたいのか sun.io.useCanonCaches の仕様について聞きたいのかどっち?みたいなところあります。
sun.io.useCanonCaches だとここらへん?No specification changes, the system properties (and the caching mechanism) were never documented in an implNote.
そもそも sun.io.useCanonCaches 自体は文書化されていなかった(=慣例的に使われていた)可能性ある……?
その issue によれば、File::getCanonicalFile および File::File::getCanonicalPath が解決したパスをキャッシュするかどうかのフラグだったようですね。問題の脆弱性はパスのトラバーサルに関するものなので、すでに注入された悪意あるパスがキャッシュに残っている可能性を潰すためにオフにするのかもしれません。
