JVNDB-2009-001115

Apache Tomcat のサンプル用 calendar アプリケーションにおけるクロスサイトスクリプティングの脆弱性

Apache Tomcat のサンプル用 calendar アプリケーションには、time パラメータの処理に不備があるため、クロスサイトスクリプティングの脆弱性が存在します。

Apache Software Foundation

• Apache Tomcat 4.1.0 から 4.1.39
• Apache Tomcat 5.5.0 から 5.5.27
• Apache Tomcat 6.0.0 から 6.0.18

VMware

• VMware ESX 4.0
• VMware ESX 3.5
• VMware ESX 3.0.3
• VMware Server 2.x
• VMware vCenter 4.0
• VMware VirtualCenter 2.5
• VMware VirtualCenter 2.0.2

アップル

• Apple Mac OS X Server v10.5.8
• Apple Mac OS X Server v10.6 から v10.6.2

サン・マイクロシステムズ

• OpenSolaris (sparc) 
• OpenSolaris (x86) 
• Sun Solaris 10 (sparc) 
• Sun Solaris 10 (x86) 
• Sun Solaris 9 (sparc) 
• Sun Solaris 9 (x86) 

ヒューレット・パッカード

• HP-UX Tomcat-based Servlet Engine 5.5.30.01 未満
• HP-UX 11.11 
• HP-UX 11.23 
• HP-UX 11.31 

ミラクル・リナックス

• Asianux Server 3 (x86) 
• Asianux Server 3 (x86-64) 
• Asianux Server 2.0 
• Asianux Server 2.1 

レッドハット

• Red Hat Enterprise Linux 5 (server) 
• Red Hat Enterprise Linux Desktop 5.0 (client) 
• Red Hat Enterprise Linux EUS 5.3.z (server) 
• RHEL Desktop Workstation 5 (client) 

リモートの攻撃者により、任意の Web スクリプト、または HTML を注入される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Apache Software Foundation

• Apache Tomcat : Fixed in Apache Tomcat 4.1.SVN
• Apache Tomcat : Fixed in Apache Tomcat 5.5.SVN
• Apache Tomcat : Fixed in Apache Tomcat 6.0.SVN

VMware

• VMware Security Advisories : VMSA-2009-0016

アップル

• Apple Security Updates : HT4077
• Apple セキュリティアップデート : HT4077

オラクル

• SECURITY BLOG : Multiple vulnerabilities in Oracle Java Web Console

サン・マイクロシステムズ

• Sun Alert Notification : 263529

ヒューレット・パッカード

• Hewlett Packard : HPUXWSATW313
• HP Security Bulletin : HPSBUX02466
• HP Security Bulletin : HPSBUX02579

ミラクル・リナックス

• Asianux Technical Support Network : tomcat5-5.5.23-0jpp.7.2.1AXS3
• MIRACLE LINUX アップデート情報 : 1794

レッドハット

• Red Hat Security Advisory : RHSA-2009:1164
• レッドハット セキュリティーアップデート : RHSA-2009:1164

1. クロスサイトスクリプティング(CWE-79) [NVD評価]

1. CVE-2009-0781

1. National Vulnerability Database (NVD) : CVE-2009-0781
2. ISS X-Force Database : 49213

• [2009年04月03日]
    掲載
  [2009年08月11日]
    影響を受けるシステム：サン・マイクロシステムズ (263529) の情報を追加
    影響を受けるシステム：レッドハット (RHSA-2009:1164) の情報を追加
    ベンダ情報：サン・マイクロシステムズ (263529) を追加
    ベンダ情報：レッドハット (RHSA-2009:1164) を追加
  [2009年10月08日]
    影響を受けるシステム：ミラクル・リナックス (tomcat5-5.5.23-0jpp.7.2.1AXS3) の情報を追加
    影響を受けるシステム：ミラクル・リナックス (1794) の情報を追加
    ベンダ情報：ミラクル・リナックス (tomcat5-5.5.23-0jpp.7.2.1AXS3) を追加
    ベンダ情報：ミラクル・リナックス (1794) を追加
  [2009年11月13日]
    影響を受けるシステム：ヒューレット・パッカード (HPSBUX02466) の情報を追加
    ベンダ情報：ヒューレット・パッカード (HPSBUX02466) を追加
  [2010年01月05日]
    影響を受けるシステム：VMware (VMSA-2009-0016) の情報を追加
    ベンダ情報：VMware (VMSA-2009-0016) を追加
  [2010年04月26日]
    影響を受けるシステム：アップル (HT4077) の情報を追加
    ベンダ情報：アップル (HT4077) を追加
  [2010年12月13日]
    影響を受けるシステム：ヒューレット・パッカード (HPUXWSATW313) の情報を追加
    影響を受けるシステム：ヒューレット・パッカード (HPSBUX02579) の情報を追加
    ベンダ情報：ヒューレット・パッカード (HPUXWSATW313) を追加
    ベンダ情報：ヒューレット・パッカード (HPSBUX02579) を追加
  [2012年09月28日]
    ベンダ情報：オラクル (Multiple vulnerabilities in Oracle Java Web Console) を追加