JVNDB-2007-000298

Apache Tomcat のデフォルト設定における SSL 通信により安全でない暗号スイートが適用される問題

Apache Tomcat には、デフォルト設定における SSL 通信において、anonymous 暗号スイートを含む安全でない暗号スイートの適用が意図せず許可されている問題が存在します。

Apache Software Foundation

• Apache Tomcat 4.1.28 から 4.1.31 までのバージョン
• Apache Tomcat 5.0.30 およびそれ以前
• Apache Tomcat 5.5.16 およびそれ以前

オラクル

• Oracle Fusion Middleware の Oracle Forms and Reports 11.1.2.1
• Oracle HTTP Server 11.1.1.6.0
• Oracle HTTP Server 11.1.1.7.0

ミラクル・リナックス

• Asianux Server 2.0 
• Asianux Server 2.1 

第三者が弱い暗号スイートによる SSL 通信を Apache Tomcat にリクエストすることで、安全でない暗号スイートにより通信が行われてしまい、重要な情報が漏えいするなどの影響を受ける可能性があります。

ベンダより正式な対策が公開されています (Apache Tomcat 4.1.32 および 5.5.17 で修正済み)。ベンダ情報を参照して適切な対策を実施してください。

Apache Software Foundation

• Apache Tomcat : Fixed in Apache Tomcat 4.1.32
• Apache Tomcat : Fixed in Apache Tomcat 5.5.17, 5.0.SVN

オラクル

• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2014
• Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2014 Risk Matrices
• SECURITY BLOG : January 2014 Critical Patch Update Released

ミラクル・リナックス

• MIRACLE LINUX アップデート情報 : tomcat4 (V2.x)

1. 設計上の問題(CWE-DesignError) [NVD評価]

1. CVE-2007-1858

1. National Vulnerability Database (NVD) : CVE-2007-1858
2. SecurityFocus : 28482
3. ISS X-Force Database : 34212
4. FrSIRT Advisories : FrSIRT/ADV-2007-1729

• [2007年05月17日]
    掲載
  [2007年12月10日]
    影響を受けるシステム：ミラクル・リナックス (tomcat4 (V2.x)) の情報追加。
    ベンダ情報: ミラクル・リナックス (tomcat4 (V2.x)) 追加。
  [2014年01月22日]
    影響を受けるシステム：オラクル (Oracle Critical Patch Update Advisory - January 2014) の情報を追加
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - January 2014) を追加
    ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - January 2014 Risk Matrices) を追加
    ベンダ情報：オラクル (January 2014 Critical Patch Update Released) を追加