【活用ガイド】

[English]

JVNDB-2009-000027

Sun GlassFish Enterprise Server および Sun Java System Application Server におけるクロスサイトスクリプティングの脆弱性

概要

Sun Microsystems が提供する Sun GlassFish Enterprise Server および Sun Java System Application Server には、クロスサイトスクリプティングの脆弱性が存在します。

Sun GlassFish Enterprise Server および Sun Java System Application Server は
Sun Microsystems が提供するアプリケーションサーバです。Sun GlassFish Enterprise Server および Sun Java System Application Server には、クロスサイトスクリプティングの脆弱性が存在します。

ベンダからの情報によると、Sun Java System Application Server は現在 Sun GlassFish Enterprise Server としてオープンソースで提供されています。旧製品である Sun Java System Application Server のユーザは、保守契約をしている場合にのみ、サポートを受けることができます。詳しくはベンダが提供する情報をご確認ください。

なお、Sun Java System Application Server 8.x および 9.0 は本脆弱性の影響を受けません。詳しくはベンダが提供する情報をご確認ください。

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC がベンダとの調整を行いました。
報告者: 株式会社ユービーセキュア プロジェクトVEX

CVSS による深刻度 (CVSS とは?)

基本値: 2.6 (注意) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 高
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): なし
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): なし

影響を受けるシステム


サン・マイクロシステムズ
  • Sun GlassFish Enterprise Server v2.1 patch 1 およびそれ以前
  • Sun Java System Application Server 9.1U2 およびそれ以前

想定される影響

ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。
対策

[アップデートする]
ベンダが提供する情報をもとに最新版へアップデートしてください。
詳しくはベンダが提供する情報をご確認ください。
ベンダ情報

サン・マイクロシステムズ
  • Sun Alert Notification : 258528
CWEによる脆弱性タイプ一覧  CWEとは?

  1. クロスサイトスクリプティング(CWE-79) [IPA評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2009-1553
参考情報

  1. JVN : JVN#73653977
  2. National Vulnerability Database (NVD) : CVE-2009-1553
  3. SecurityFocus : 34824
  4. VUPEN Security : VUPEN/ADV-2009-1255
  5. OPEN SOURCE VULNERABILITY DATABASE (OSVDB) : 54257
更新履歴

[2009年05月13日]
  掲載