JVNDB-2007-000217
|
Apache Tomcat の Apache HTTP Server との組合せによるディレクトリトラバーサルの脆弱性
|
Apache Tomcat には、URL に含まれる "\" (バックスラッシュ) やエンコードされたバックスラッシュ "%5C" の文字列を有効なディレクトリの境界 ("/") として解釈してしまうため、Apache Tomcat と Apache HTTP Server との組合せで特定の Apache 用プロキシモジュール (mod_proxy, mod_rewrite, mod_jk) を使用している場合、ディレクトリトラバーサルの脆弱性が存在します。
|
CVSS v2 による深刻度 基本値: 5.0 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): なし
- 可用性への影響(A): なし
|
|
Apache Software Foundation
- Apache Tomcat 4.0.6 およびそれ以前
- Apache Tomcat 4.1.34 およびそれ以前
- Apache Tomcat 5.0.30 およびそれ以前
- Apache Tomcat 5.5.21 およびそれ以前
- Apache Tomcat 6.0.9 およびそれ以前
サン・マイクロシステムズ
- Sun Solaris 10 (sparc)
- Sun Solaris 10 (x86)
- Sun Solaris 9 (sparc)
- Sun Solaris 9 (x86)
トレンドマイクロ
- InterScan Messaging Security Suite - 7.x
- TrendMicro InterScan Web Security Suite - 3.x
- TrendMicro InterScan Web Security Suite - 2.x
- TrendMicro InterScan Messaging Security Appliance - 7.x
- TrendMicro InterScan Web Security Appliance - 3.x
ヒューレット・パッカード
- HP-UX 11.11
- HP-UX 11.23
- HP-UX 11.31
ミラクル・リナックス
- Asianux Server 2.0
- Asianux Server 2.1
レッドハット
- Red Hat Enterprise Linux 5 (server)
- Red Hat Enterprise Linux Desktop 5.0 (client)
- RHEL Desktop Workstation 5 (client)
日本電気
- WebOTX Application Server Web Edition V4.x/V5.x
- WebOTX Application Server Standard-J Edition V4.x/V5.x
- WebOTX Application Server Standard Edition V4.x/V5.x
- WebOTX Application Server Enterprise Edition V4.x/V5.x
- WebOTX Application Server UDDI Registry V1.1〜V2.1
富士通
- Interstage Application Framework Suite
- Interstage Application Server
- Interstage Apworks
- Interstage Business Application Server
- Interstage Job Workload Server
- Interstage Studio
- Interstage Web Server
|
|
第三者が細工した HTTP リクエストを処理してしまうことで、任意のファイルやアプリケーションに不正にアクセスされる可能性があります。
|
ベンダより正式な対策が公開されています (Apache Tomcat 4.1.36, 5.5.22, 6.0.10 で修正済み)。ベンダ情報を参照して適切な対策を実施してください。
|
Apache Software Foundation
サン・マイクロシステムズ
- Sun Alert Notification : 239312
トレンドマイクロ
ヒューレット・パッカード
ミラクル・リナックス
レッドハット
日本電気
富士通
|
- パス・トラバーサル(CWE-22) [NVD評価]
|
- CVE-2007-0450
|
- National Vulnerability Database (NVD) : CVE-2007-0450
- Secunia Advisory : SA24732
- SecurityFocus : 22960
- ISS X-Force Database : 32988
- FrSIRT Advisories : FrSIRT/ADV-2007-0975
|
- [2007年04月25日]
掲載
[2007年05月31日]
影響を受けるシステムを更新しました。
ベンダ情報:レッドハットの情報を追加しました。
[2007年10月12日]
影響を受けるシステム:ヒューレット・パッカード (HPSBUX02262) の情報追加。
ベンダ情報: ヒューレット・パッカード (HPSBUX02262) 追加。
[2007年12月10日]
影響を受けるシステム:ミラクル・リナックス (tomcat4 (V2.x)) の情報追加。
ベンダ情報: ミラクル・リナックス (tomcat4 (V2.x)) 追加。
[2008年07月11日]
影響を受けるシステム:サン・マイクロシステムズ(239312) の情報を追加
ベンダ情報:サン・マイクロシステムズ(239312) を追加
[2008年12月18日]
影響を受けるシステム:トレンドマイクロ (2064149) の情報を追加
ベンダ情報:トレンドマイクロ (imss_70_win32_en_sp1_patch2_readme) を追加
ベンダ情報:トレンドマイクロ (2064149) を追加
ベンダ情報:トレンドマイクロ (2064436) を追加
[2009年02月17日]
ベンダ情報:トレンドマイクロ (iwss_31_lx32_en_patch2_readme) を追加
[2009年03月30日]
影響を受けるシステム:富士通 (interstage_as_200702) の情報を追加
ベンダ情報:富士通 (interstage_as_200702) を追加
[2009年04月10日]
影響を受けるシステム:日本電気 (NV09-001) の情報を追加
ベンダ情報:日本電気 (NV09-001) を追加
[2009年06月25日]
ベンダ情報:トレンドマイクロ (imss_70_lx32_en_sp1_patch2_readme) を追加
ベンダ情報:トレンドマイクロ (readme_imss70_lin_sp1_patch1_b3356) を追加
[2010年01月06日]
ベンダ情報:トレンドマイクロ (readme_imss70_sol_sp1_patch1_b81460) を追加
|