JVNDB-2007-000880

Apache Tomcat の WebDAV servlet における情報漏えいの脆弱性

Apache Tomcat の WebDAV servlet には、書き込みが有効にされている場合、WebDAV リクエストの処理に不備があり、任意のファイルの情報が漏えいする脆弱性が存在します。

Apache Software Foundation

• Apache Tomcat 4.0.0 から 4.0.6 のバージョン
• Apache Tomcat 4.1.0 から 4.1.SVN のバージョン
• Apache Tomcat 5.0.0 から 5.0.SVN のバージョン
• Apache Tomcat 5.5.0 から 5.5.25 のバージョン
• Apache Tomcat 6.0.0 から 6.0.14 のバージョン

VMware

• VMware ESX 4.0
• VMware ESX 3.5
• VMware ESX 3.0.3
• VMware Server 2.x
• VMware vCenter 4.0
• VMware VirtualCenter 2.5
• VMware VirtualCenter 2.0.2

アップル

• Apple Mac OS X v10.4.11
• Apple Mac OS X Server v10.4.11
• Apple Mac OS X Server v10.5.5

サン・マイクロシステムズ

• Sun Solaris 10 (sparc) 
• Sun Solaris 10 (x86) 
• Sun Solaris 9 (sparc) 
• Sun Solaris 9 (x86) 

ヒューレット・パッカード

• HP XP P9000 Performance Advisor ソフトウェア 5.4.1 未満

ミラクル・リナックス

• Asianux Server 2.0 
• Asianux Server 2.1 
• Asianux Server 3 (x86) 
• Asianux Server 3 (x86-64) 

レッドハット

• Red Hat Enterprise Linux 5 (server) 
• Red Hat Enterprise Linux Desktop 5.0 (client) 
• RHEL Desktop Workstation 5 (client) 

システム上のファイルの重要な情報を奪取される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Apache Software Foundation

• Apache Geronimo : Potential vulnerability in Apache Tomcat Webdav servlet
• Apache Tomcat : Fixed in Apache Tomcat 4.1.37
• Apache Tomcat : Fixed in Apache Tomcat 5.5.SVN
• Apache Tomcat : Fixed in Apache Tomcat 6.0.SVN

VMware

• VMware Security Advisories : VMSA-2009-0016
• VMware Security Advisories : VMSA-2008-0010.3

アップル

• Apple Security Updates : HT2163
• Apple Security Updates : HT3216
• Apple セキュリティアップデート : HT2163
• Apple セキュリティアップデート : HT3216

サン・マイクロシステムズ

• Sun Alert Notification : 239312

ヒューレット・パッカード

• HP セキュリティ報告 : HPSBST02955 SSRT101157

ミラクル・リナックス

• Asianux Technical Support Network : tomcat5-5.5.23-0jpp.3.0.3.1AX
• MIRACLE LINUX アップデート情報 : tomcat4 (V2.x)

レッドハット

• Red Hat Security Advisory : RHSA-2008:0042
• Red Hat Security Advisory : RHSA-2008:0862

1. パス・トラバーサル(CWE-22) [NVD評価]

1. CVE-2007-5461

1. National Vulnerability Database (NVD) : CVE-2007-5461
2. 関連文書 : ASA-2008-401 (RHSA-2008-0862)
3. Secunia Advisory : SA27398
4. SecurityFocus : 26070
5. ISS X-Force Database : 37243
6. FrSIRT Advisories : FrSIRT/ADV-2007-3622

• [2007年10月31日]
    掲載
  [2008年03月24日]
    影響を受けるシステム：ミラクル・リナックス (tomcat4 (V2.x)) の情報追加。
    影響を受けるシステム：レッドハット (RHSA-2008:0042) の情報追加。
    ベンダ情報：ミラクル・リナックス (tomcat4 (V2.x)) 追加。
    ベンダ情報：レッドハット (RHSA-2008:0042) を追加。
  [2008年04月21日]
    影響を受けるシステム：ミラクル・リナックス (tomcat5-5.5.23-0jpp.3.0.3.1AX) の情報追加。
    ベンダ情報: ミラクル・リナックス (tomcat5-5.5.23-0jpp.3.0.3.1AX) 追加。
  [2008年07月11日]
    影響を受けるシステム：サン・マイクロシステムズ(239312) の情報を追加
    影響を受けるシステム：アップル (HT2163) の情報を追加
    ベンダ情報：サン・マイクロシステムズ(239312) を追加
    ベンダ情報：アップル (HT2163) を追加
  [2008年11月04日]
    影響を受けるシステム：アップル（HT3216）の情報を追加
    ベンダ情報：アップル（HT3216）を追加
  [2010年01月05日]
    影響を受けるシステム：VMware (VMSA-2009-0016) の情報を追加
    ベンダ情報：VMware (VMSA-2009-0016) を追加
  [2015年03月05日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：ヒューレット・パッカード (HPSBST02955 SSRT101157) を追加
    ベンダ情報：Apache Software Foundation (Potential vulnerability in Apache Tomcat Webdav servlet) を追加
    ベンダ情報：VMware (VMSA-2008-0010.3) を追加
    ベンダ情報：VMware (RHSA-2008:0862) を追加
    参考情報：関連文書 (ASA-2008-401 (RHSA-2008-0862)) を追加