JVNDB-2010-002767

Apache Tomcat の HTML Manager Interface におけるクロスサイトスクリプティングの脆弱性

Apache Tomcat の HTML Manager Interface には、クロスサイトスクリプティングの脆弱性が存在します。

Apache Software Foundation

• Apache Tomcat 7.0.6 未満
• Apache Tomcat 6.0.30 未満
• Apache Tomcat 5.5.32 未満

Novell

• Novell Sentinel Log Manager 1.2.0.1 未満

アップル

• Apple Mac OS X v10.6.8
• Apple Mac OS X Server v10.6.8

オラクル

• Oracle Solaris 10 
• Oracle Solaris 9 

ヒューレット・パッカード

• HP XP P9000 Performance Advisor ソフトウェア 5.4.1 およびそれ以前
• HP-UX Tomcat-based Servlet Engine 5.5.35.01 およびそれ以前

レッドハット

• Red Hat Enterprise Linux Desktop 6 
• Red Hat Enterprise Linux HPC Node 6 
• Red Hat Enterprise Linux Server 6 
• Red Hat Enterprise Linux Workstation 6 

第三者により、display-name のタグを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Apache Software Foundation

• Apache Software Foundation : Fixed_in_Apache_Tomcat_5.5.32
• Apache Software Foundation : Fixed_in_Apache_Tomcat_6.0.30
• Apache Software Foundation : Fixed_in_Apache_Tomcat_7.0.6
• Apache-SVN : 1057270
• Apache-SVN : 1057518

Debian

• Debian セキュリティ勧告 : DSA-2160

Mandriva, Inc.

• Security Advisories : MDVSA-2011:030

Novell

• Novell : 5098550

アップル

• Apple Mailing Lists : APPLE-SA-2011-10-12-3 OS X Lion v10.7.2 and Security Update 2011-006
• Apple Security Updates : HT202348
• Apple セキュリティアップデート : HT202348

オラクル

• SECURITY BLOG : Multiple vulnerabilities in Apache Tomcat
• SECURITY BLOG : Multiple vulnerabilities in Oracle Java Web Console

ヒューレット・パッカード

• Hewlett Packard : HPUXWSATW233
• Hewlett Packard : HPUXWSATW315
• HP Security Bulletin : HPSBUX02725 SSRT100627
• HP Security Bulletin : HPSBUX02645 SSRT100387
• HP Security Bulletin : HPSBUX02860 SSRT101146
• HP Security Bulletin : HPSBST02955 SSRT101157

レッドハット

• Red Hat Bugzilla : Bug 675786
• Red Hat Security Advisory : RHSA-2011:0791
• Red Hat Security Advisory : RHSA-2011:0896
• Red Hat Security Advisory : RHSA-2011:0897
• Red Hat Security Advisory : RHSA-2011:1845

1. クロスサイトスクリプティング(CWE-79) [NVD評価]

1. CVE-2011-0013

1. National Vulnerability Database (NVD) : CVE-2011-0013
2. Secunia Advisory : SA43194
3. Secunia Advisory : SA43198
4. SecurityFocus : 46174
5. SecurityTracker : 1025026
6. VUPEN Security : VUPEN/ADV-2011-0292

• [2011年03月03日]
    掲載
  [2011年04月06日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：ヒューレット・パッカード (HPUXWSATW233) を追加
    ベンダ情報：ヒューレット・パッカード (HPUXWSATW315) を追加
    ベンダ情報：ヒューレット・パッカード (HPSBUX02645 SSRT100387) を追加
  [2011年05月27日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：レッドハット (RHSA-2011:0791) を更新
  [2012年01月30日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：オラクル (Multiple vulnerabilities in Apache Tomcat) を追加
    ベンダ情報：アップル (HT202348) を追加
    ベンダ情報：Novell (5098550) を追加
    ベンダ情報：ヒューレット・パッカード (HPSBUX02725 SSRT100627) を追加
    ベンダ情報：Debian (DSA-2160) を追加
    ベンダ情報：レッドハット (RHSA-2011:0896) を追加
    ベンダ情報：レッドハット (RHSA-2011:0897) を追加
    ベンダ情報：レッドハット (RHSA-2011:1845) を追加
    ベンダ情報：Mandriva, Inc. (MDVSA-2011:030) を追加
  [2012年09月28日]
    ベンダ情報：オラクル (Multiple vulnerabilities in Oracle Java Web Console) を追加
  [2015年03月26日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：アップル (APPLE-SA-2011-10-12-3 OS X Lion v10.7.2 and Security Update 2011-006) を追加
    ベンダ情報：ヒューレット・パッカード (HPSBUX02645 SSRT100387) を追加
    ベンダ情報：ヒューレット・パッカード (HPSBUX02860 SSRT101146) を追加
    ベンダ情報：ヒューレット・パッカード (HPSBST02955 SSRT101157) を追加
    ベンダ情報：レッドハット (Bug 675786) を追加