JVNDB-2007-000185

Apache Tomcat JK Web Server Connector におけるスタックオーバーフローの脆弱性

Apache Tomcat JK Web Server Connector (JK) には、map_uri_to_worker() 関数において過度に長い URL の処理によりスタックオーバーフローが発生する脆弱性が存在します。なお、影響を受ける JK コネクタは Tomcat ソース版のバージョン 4.1.34 および 5.5.20 に含まれています。

Apache Software Foundation

• Apache Tomcat JK Web Server Connector 1.2.19
• Apache Tomcat JK Web Server Connector 1.2.20

トレンドマイクロ

• InterScan Messaging Security Suite - 7.x
• TrendMicro InterScan Web Security Suite - 3.x
• TrendMicro InterScan Web Security Suite - 2.x
• TrendMicro InterScan Messaging Security Appliance - 7.x
• TrendMicro InterScan Web Security Appliance - 3.x

ヒューレット・パッカード

• HP-UX 11.11 
• HP-UX 11.23 
• HP-UX 11.31 

レッドハット

• Red Hat Application Stack v1 for Enterprise Linux AS (v.4)
• Red Hat Application Stack v1 for Enterprise Linux ES (v.4)

第三者によって任意のコードを実行される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Apache Software Foundation

• Apache Tomcat : Fixed in Apache Tomcat JK Connector 1.2.21

トレンドマイクロ

• Trend Micro ReadMe Documentation : imss_70_win32_en_sp1_patch2_readme
• Trend Micro ReadMe Documentation : imss_70_lx32_en_sp1_patch2_readme
• トレンドマイクロ サポート情報 : 2064149
• トレンドマイクロ サポート情報 : 2064436

ヒューレット・パッカード

• HP Security Bulletin : HPSBUX02262
• HP セキュリティ報告 : HPSBUX02262

レッドハット

• Red Hat Security Advisory : RHSA-2007:0096

1. CVE-2007-0774

1. National Vulnerability Database (NVD) : CVE-2007-0774
2. Secunia Advisory : SA24398
3. SecurityFocus : 22791
4. ISS X-Force Database : 32794
5. SecurityTracker : 1017719
6. FrSIRT Advisories : FrSIRT/ADV-2007-0809

• [2007年04月01日]
    掲載
  [2007年10月12日]
    影響を受けるシステム：ヒューレット・パッカード (HPSBUX02262) の情報を追加
    ベンダ情報: ヒューレット・パッカード (HPSBUX02262) 追加
  [2008年12月18日]
    影響を受けるシステム：トレンドマイクロ (2064149) の情報を追加
    ベンダ情報：トレンドマイクロ (imss_70_win32_en_sp1_patch2_readme) を追加
    ベンダ情報：トレンドマイクロ (2064149) を追加
    ベンダ情報：トレンドマイクロ (2064436) を追加
  [2009年06月25日]
    ベンダ情報：トレンドマイクロ (imss_70_lx32_en_sp1_patch2_readme) を追加