JVNDB-2011-003620

Apache Tomcat におけるアクセス制限を回避される脆弱性

Apache Tomcat の HTTP Digest Access Authentication 実装は、リプレイ攻撃への対応策を持たないため、アクセス制限を回避される脆弱性が存在します。

Apache Software Foundation

• Apache Tomcat 5.5.34 未満の 5.5.x
• Apache Tomcat 6.0.33 未満の 6.x
• Apache Tomcat 7.0.12 未満の 7.x

ヒューレット・パッカード

• HP XP P9000 Performance Advisor ソフトウェア 5.4.1 およびそれ以前

第三者により、有効なリクエストへのネットワークを傍受されることで、アクセス制限を回避される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Apache Software Foundation

• Apache Tomcat : security-5
• Apache Tomcat : security-6
• Apache Tomcat : security-7
• Apache-SVN : 1159309
• Apache-SVN : 1158180
• Apache-SVN : 1087655

オラクル

• SECURITY BLOG : Multiple vulnerabilities in Oracle Java Web Console - oracle_java
• SECURITY BLOG : Multiple vulnerabilities in Oracle Java Web Console - oracle_java1

ヒューレット・パッカード

• HP Security Bulletin : HPSBST02955 SSRT101157
• HP Security Bulletin : HPSBUX02860 SSRT101146

レッドハット

• Red Hat Security Advisory : RHSA-2011:1845
• Red Hat Security Advisory : RHSA-2012:0074
• Red Hat Security Advisory : RHSA-2012:0075
• Red Hat Security Advisory : RHSA-2012:0076
• Red Hat Security Advisory : RHSA-2012:0077
• Red Hat Security Advisory : RHSA-2012:0078
• Red Hat Security Advisory : RHSA-2012:0325

1. 認可・権限・アクセス制御(CWE-264) [NVD評価]

1. CVE-2011-1184

1. National Vulnerability Database (NVD) : CVE-2011-1184

• [2012年01月17日]
    掲載
  [2012年09月28日]
    ベンダ情報：オラクル (Multiple vulnerabilities in Oracle Java Web Console - oracle_java) を追加
    ベンダ情報：オラクル (Multiple vulnerabilities in Oracle Java Web Console - oracle_java1) を追加
  [2015年03月26日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：ヒューレット・パッカード (HPSBUX02860 SSRT101146) を追加
    ベンダ情報：ヒューレット・パッカード (HPSBST02955 SSRT101157) を追加
    ベンダ情報：レッドハット (RHSA-2012:0074) を追加
    ベンダ情報：レッドハット (RHSA-2012:0075) を追加
    ベンダ情報：レッドハット (RHSA-2012:0076) を追加
    ベンダ情報：レッドハット (RHSA-2012:0077) を追加
    ベンダ情報：レッドハット (RHSA-2012:0078) を追加
    ベンダ情報：レッドハット (RHSA-2012:0325) を追加
    ベンダ情報：レッドハット (RHSA-2011:1845) を追加