JVNDB-2010-001453

Apache Tomcat における BASIC または DIGEST 認証の処理に関する脆弱性

Apache Tomcat には、BASIC または DIGEST 認証の処理に関して不備があるため、サーバのホスト名、または IP アドレスを取得される脆弱性が存在します。

Apache Software Foundation

• Apache Tomcat 5.5.0 から 5.5.29
• Apache Tomcat 6.0.0 から 6.0.26

VMware

• VMware ESX 4.1
• VMware ESX 4.0
• VMware ESX 3.5
• VMware ESX 3.0.3
• VMware vCenter 4.1
• VMware vCenter 4.0
• VMware VirtualCenter 2.5

アップル

• Apple Mac OS X 10.6.8
• Apple Mac OS X Server 10.6.8

オラクル

• OpenSolaris
• Oracle Solaris 10 
• Oracle Solaris 9 

ヒューレット・パッカード

• HP XP P9000 Performance Advisor ソフトウェア 5.4.1 およびそれ以前
• HP-UX Tomcat-based Servlet Engine 5.5.30.01 未満

日本電気

• WebOTX Application Server V8.31

第三者により、サーバのホスト名、または IP アドレスを取得される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Apache Software Foundation

• Apache Software Foundation : security-5
• Apache Software Foundation : security-6
• Apache-SVN : 936540
• Apache-SVN : 936541

VMware

• VMware : VMware vCenter Server 4.1 Update 1 Release Notes
• VMware Security Advisories : VMSA-2011-0003

アップル

• Apple Mailing Lists : APPLE-SA-2011-10-12-3 OS X Lion v10.7.2 and Security Update 2011-006
• Apple Security Updates : HT202348
• Apple セキュリティアップデート : HT202348

オラクル

• SECURITY BLOG : Multiple Vulnerabilities in Apache Tomcat
• SECURITY BLOG : Multiple vulnerabilities in Oracle Java Web Console

ヒューレット・パッカード

• Hewlett Packard : HPUXWSATW313
• HP Security Bulletin : HPSBST02955 SSRT101157
• HP Security Bulletin : HPSBUX02579 SSRT100203
• HP Security Bulletin : HPSBUX02860 SSRT101146

レッドハット

• Red Hat Security Advisory : RHSA-2011:0896
• Red Hat Security Advisory : RHSA-2011:0897

日本電気

• NEC製品セキュリティ情報 : NV12-001

1. 情報漏えい(CWE-200) [NVD評価]

1. CVE-2010-1157

1. National Vulnerability Database (NVD) : CVE-2010-1157
2. Secunia Advisory : SA39574
3. SecurityFocus : 39635
4. VUPEN Security : VUPEN/ADV-2010-0980

• [2010年05月24日]
    掲載
  [2010年10月29日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：オラクル (Multiple Vulnerabilities in Apache Tomcat) を追加
  [2010年12月13日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：ヒューレット・パッカード (HPUXWSATW313) を追加
    ベンダ情報：ヒューレット・パッカード (HPSBUX02579 SSRT100203) を追加
  [2011年02月28日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：VMware (VMSA-2011-0003) を追加
  [2012年02月13日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：日本電気 (NV12-001) を追加
  [2012年09月28日]
    ベンダ情報：オラクル (Multiple vulnerabilities in Oracle Java Web Console) を追加
  [2015年03月25日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：VMware (VMware vCenter Server 4.1 Update 1 Release Notes) を追加
    ベンダ情報：アップル (HT202348) を追加
    ベンダ情報：アップル (APPLE-SA-2011-10-12-3 OS X Lion v10.7.2 and Security Update 2011-006) を追加
    ベンダ情報：ヒューレット・パッカード (HPSBST02955 SSRT101157) を追加
    ベンダ情報：ヒューレット・パッカード (HPSBUX02579 SSRT100203) を追加
    ベンダ情報：ヒューレット・パッカード (HPSBUX02860 SSRT101146) を追加
    ベンダ情報：レッドハット (RHSA-2011:0896) を追加
    ベンダ情報：レッドハット (RHSA-2011:0897) を追加