JVNDB-2008-001611

Apache Tomcat におけるディレクトリトラバーサルの脆弱性

Apache Tomcat には、allowLinking および UTF-8 を有効にしている場合に、ディレクトリトラバーサルの脆弱性が存在します。

基本値: 4.3 (警告) [NVD値]

• 攻撃元区分: ネットワーク
• 攻撃条件の複雑さ: 中
• 攻撃前の認証要否: 不要
• 機密性への影響(C): 部分的
• 完全性への影響(I): なし
• 可用性への影響(A): なし

Apache Software Foundation

• Apache Tomcat 4.1.0 から 4.1.37
• Apache Tomcat 5.5.0 から 5.5.26
• Apache Tomcat 6.0.0 から 6.0.16

アップル

• Apple Mac OS X Server v10.5.5

ヒューレット・パッカード

• HP-UX 11.11
• HP-UX 11.23
• HP-UX 11.31

ミラクル・リナックス

• Asianux Server 3 for x86
• Asianux Server 3 for x86-64

レッドハット

• Red Hat Enterprise Linux (v.5 server)
• Red Hat Enterprise Linux Desktop (v.5 client)
• RHEL Desktop Workstation (v.5 client)

日本電気 

• WebOTX Application Server

第三者により URI 中にエンコードされたディレクトリトラバーサル文字列により、任意のファイルを閲覧される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Apache Software Foundation

• Apache Tomcat : Fixed in Apache Tomcat 4.1.SVN
• Apache Tomcat : Fixed in Apache Tomcat 5.5.SVN
• Apache Tomcat : Fixed in Apache Tomcat 6.0.18

アップル

• Apple security updates : HT3216
• Apple セキュリティアップデート : HT3216

ヒューレット・パッカード

• HP Security Bulletin : HPSBUX02401

ミラクル・リナックス

• Asianux Technical Support Network : tomcat5-5.5.23-0jpp.7.1.1AXS3

レッドハット

• Red Hat Security Advisory : RHSA-2008:0648

日本電気 

• NEC製品セキュリティ情報 : NV09-013

1. National Vulnerability Database (NVD) : CVE-2008-2938
2. Common Vulnerabilities and Exposures (CVE) : CVE-2008-2938
3. SecurityFocus : 30633
4. ISS X-Force Database : 44411
5. SecurityTracker : 1020665
6. FrSIRT Advisories : FrSIRT/ADV-2008-2343
7. 共通脆弱性タイプ一覧 (CWE) : パス・トラバーサル (CWE-22) [NVD評価]

[2008年09月04日]
  掲載
[2008年10月27日]
  影響を受けるシステム：ミラクル・リナックス（tomcat5-5.5.23-0jpp.7.1.1AXS3）の情報を追加
  ベンダ情報：ミラクル・リナックス（tomcat5-5.5.23-0jpp.7.1.1AXS3）を追加
[2008年11月04日]
  影響を受けるシステム：アップル（HT3216）の情報を追加
  ベンダ情報：アップル（HT3216）を追加
[2009年02月25日]
  影響を受けるシステム：ヒューレット・パッカード (HPSBUX02401) の情報を追加
  ベンダ情報：ヒューレット・パッカード (HPSBUX02401) を追加
[2009年10月20日]
  影響を受けるシステム：日本電気 (NV09-013) の情報を追加
  ベンダ情報：日本電気 (NV09-013) を追加