特定の状況で発生するTomcatエラーのサーバー情報を隠す方法

ColdFusion運用中に特定の状況で発生する内部エラーには、デフォルトでTomcatのバージョンなどが表示されます。

例えば「送信するPOST リクエストパラメーターの最大数」のデフォルトは100で、それを超えるForm変数が送信されるとHTTP 400エラーがTomcatの標準エラーメッセージとともに返されます。

IISやApache側でエラーハンドラを指定せず、ColdFusionからのエラーをそのまま表示している場合は、Tomcatのバージョンを含んだ上記のような応答が返されます。このエラーからTomcatのバージョンなどを表示させなくする方法が、下記の開発元のテックノートで紹介されています。

ホスト応答からの情報漏えい (adobe.com)
https://helpx.adobe.com/jp/coldfusion/kb/invalid-host-information-disclosure.html

上記の記事の通り、[cf_root]/{インスタンス(cfusion等)/runtime/conf/のserver.xmlのファイルの下部にHostセクションがありますので、Hostセクション内の最初に

<Valve className="org.apache.catalina.valves.ErrorReportValve" showReport="false" showServerInfo="false" />

を追加することで、バージョンを非表示にすることが可能です。

※設定後は、ColdFusionを再起動する必要があります


 


記事公開日:2022年05月24日
最終更新日:2022年05月25日


x

Sample Modal Window

This is just a sample…

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Praesent suscipit iaculis libero sed tristique. Quisque mollis dolor non tellus placerat vitae sodales lectus porta. Curabitur ut suscipit tellus. Maecenas rhoncus, ante vitae vehicula vestibulum, metus sapien dapibus tellus, et mattis dolor neque vitae nisl. Nullam eleifend ultrices ipsum eget pretium. Curabitur semper metus ut ante adipiscing nec volutpat sem rutrum. Nullam a nisi lacus, non interdum ante. Vivamus ante augue, commodo vel egestas sed, pharetra nec dui. Quisque sed tellus felis. Donec ipsum mauris, sagittis eu accumsan in, aliquam non ipsum.

Vestibulum tempor nunc nec felis scelerisque eget elementum erat dignissim. Ut vel ipsum mollis orci venenatis luctus. Aenean vehicula quam vel quam porttitor ac iaculis elit pulvinar. Proin consequat, ipsum eu venenatis semper, justo turpis posuere tortor, ac placerat metus nisl et lectus. Nulla cursus dui id nunc ullamcorper sed semper nisl lobortis. Aliquam erat volutpat. Phasellus arcu ante, imperdiet in ornare sed, laoreet eu massa.