JVNDB-2007-000456

[English]
JVNDB-2007-000456
Apache Tomcat 付属のサンプルプログラムにおけるクロスサイトスクリプティングの脆弱性
概要
The Apache Software Foundation が提供する Apache Tomcat 付属のサンプルプログラムには、クロスサイトスクリプティングの脆弱性が存在します。 The Apache Software Foundation が提供する Apache Tomcat は、Java Servlet と JavaServer Pages のサーバ実装です。 Apache Tomcat 付属のサンプルプログラムである jsp-examples にはクロスサイトスクリプティングの脆弱性が存在します。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC がベンダとの調整を行いました。報告者：株式会社ユービーセキュア　杉山俊春氏

CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 4.3 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 中攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): なし
影響を受けるシステム

Apache Software Foundation Apache Tomcat 4.0.0 から 4.0.6 Apache Tomcat 4.1.0 から 4.1.36 Apache Tomcat 5.0.0 から 5.0.30 Apache Tomcat 5.5.0 から 5.5.24 Apache Tomcat 6.0.0 から 6.0.13 アップル Apple Mac OS X v10.4.11 Apple Mac OS X Server v10.4.11 ヒューレット・パッカード HP-UX 11.11 HP-UX 11.23 HP-UX 11.31 ミラクル・リナックス Asianux Server 2.0 Asianux Server 2.1 レッドハット Red Hat Enterprise Linux 5 (server) Red Hat Enterprise Linux Desktop 5.0 (client) RHEL Desktop Workstation 5 (client)

想定される影響
ユーザのブラウザ上で任意のスクリプトを実行される可能性があります。
対策
2007年8月9日、開発者より Apache Tomcat 6.0.14 が公開されました。 Apache Tomcat 6.0.x をお使いの場合は、開発者が提供している情報を元に Apache Tomcat 6.0.14 へアップデートしてください。付属のサンプルプログラムをインストールしない。 Apache Tomcat 5.x および Apache Tomcat 4.x をお使いの場合は、現在開発者による最新版が提供されていないため、ワークアラウンドを実施してください。
ベンダ情報
Apache Software Foundation Apache Tomcat : Fixed in Apache Tomcat 5.5.25, 5.0.SVN Apache Tomcat : Fixed in Apache Tomcat 6.0.14 Apache Tomcat : Security Updates Apache Tomcat : Apache Tomcat 6.0.14 Apache Tomcat : Fixed in Apache Tomcat 4.1.37 アップル Apple Security Updates : Security Update 2008-004 Apple セキュリティアップデート : Security Update 2008-004 ヒューレット・パッカード HP Security Bulletin : HPSBUX02262 HP セキュリティ報告 : HPSBUX02262 ミラクル・リナックス MIRACLE LINUX アップデート情報 : tomcat4 (V2.x) レッドハット Red Hat Security Advisory : RHSA-2007:0569 レッドハットセキュリティーアップデート : RHSA-2007:0569
CWEによる脆弱性タイプ一覧 CWEとは?

共通脆弱性識別子(CVE) CVEとは?
CVE-2007-2449
参考情報
JVN : JVN#64851600 National Vulnerability Database (NVD) : CVE-2007-2449 IPA セキュリティセンター : JVN_64851600 SecurityFocus : 24476 SecurityTracker : 1018245 FrSIRT Advisories : FrSIRT/ADV-2007-2213
更新履歴
[2007年06月25日] 掲載 [2007年07月25日] 影響を受けるシステムを更新しました。ベンダ情報: レッドハットの情報を追加しました。 [2007年08月27日] 対策：対策方法の記述を更新しました。 [2007年10月12日] 影響を受けるシステム：ヒューレット・パッカード (HPSBUX02262) の情報追加。ベンダ情報: ヒューレット・パッカード (HPSBUX02262) 追加。 [2007年10月18日] 概要に謝辞を掲載しました。 [2008年03月31日] 影響を受けるシステム：ミラクル・リナックス (tomcat4 (V2.x)) の情報追加。ベンダ情報：ミラクル・リナックス (tomcat4 (V2.x)) 追加。 [2008年07月11日] 影響を受けるシステム：アップル (Security Update 2008-004) の情報を追加ベンダ情報：アップル (Security Update 2008-004) を追加


公表日	2007/06/15
登録日	2007/06/25
最終更新日	2008/07/11

Apache Tomcat 付属のサンプルプログラムにおけるクロスサイトスクリプティングの脆弱性