【活用ガイド】

JVNDB-2012-001003

Apache Tomcat におけるサービス運用妨害 (CPU 資源の消費) の脆弱性

概要

Apache Tomcat は、ハッシュ衝突を想定した制限を行わずにフォームパラメータのハッシュ値を算出するため、サービス運用妨害 (CPU 資源の消費) 状態となる脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)

基本値: 5.0 (警告) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): なし
  • 完全性への影響(I): なし
  • 可用性への影響(A): 部分的

影響を受けるシステム


Apache Software Foundation
  • Apache Tomcat 5.5.35 未満
  • Apache Tomcat 6.0.35 未満の 6.x
  • Apache Tomcat 7.0.23 未満の 7.x
IBM
  • IBM Cognos Business Intelligence 10.1 の IF2 未満
  • IBM Cognos Business Intelligence 10.1.1 の IF2 未満
  • IBM Cognos Business Intelligence 10.2 の IF1 未満
  • IBM Cognos Business Intelligence 8.4.1 の IF1 未満
サイボウズ
  • サイボウズ ガルーン 2.0.0 から 3.1
日本電気
  • CSVIEW /FAQナビ V4 および V5
  • InfoCage PCセキュリティ V1.44 以前
  • InfoFrame DocumentSkipper V3.2
  • InfoFrame DocumentSkipper V4.1
  • InfoFrame DocumentSkipper V5.1
  • WebOTX Web Edition V4.1 から V6.5
  • WebOTX Standard-J Edition V4.1 から V6.5
  • WebOTX Standard Edition V4.1 から V6.5
  • WebOTX Enterprise Edition V4.1 から V6.5
  • WebOTX UDDI Registry V1.1 から V7.1
  • WebOTX 開発環境 V6.1 から V6.5
  • WebOTX Developer V7.1 から V8.1
  • WebOTX Enterprise Service Bus V6.4 から V8.4
  • WebOTX SIP Application Server Standard Edition V7.1 から V8.1
  • WebOTX Portal V8.2 から V8.3
  • WebOTX Application Server Web Edition V7.1 から V8.1
  • WebOTX Application Server Standard-J Edition V7.1 から V8.1
  • WebOTX Application Server Standard Edition V7.1 から V8.1
  • WebOTX Application Server Enterprise Edition V7.1 から V8.1
  • WebOTX Application Server Express V8.2 から V8.4
  • WebOTX Application Server Foundation V8.2 から V8.4
  • WebOTX Application Server Standard V8.2 から V8.4
  • WebOTX Application Server Enterprise V8.2 から V8.4
  • WebSAM SECUREMASTER EnterpriseAccessManager Ver5.0 から Ver6.1
  • WebSAM SECUREMASTER EnterpriseIdentityManager Ver4.1 までの全バージョン
  • WebSAM Storage VMware vCenter Plug-in V1.1
日立
  • Cosminexus Application Server Enterprise Version 6
  • Cosminexus Application Server Standard Version 6
  • Cosminexus Application Server Version 5
  • Cosminexus Component Container
  • Cosminexus Developer Light Version 6
  • Cosminexus Developer Professional Version 6
  • Cosminexus Developer Standard Version 6
  • Cosminexus Developer Version 5
  • Cosminexus Primary Server Base
  • Cosminexus Studio Version 5
  • Hitachi IT Operations Analyzer
  • uCosminexus Application Server Enterprise
  • uCosminexus Application Server Express
  • uCosminexus Application Server Light
  • uCosminexus Application Server Smart Edition
  • uCosminexus Application Server Standard
  • uCosminexus Application Server Standard-R
  • uCosminexus Developer 01
  • uCosminexus Developer Light
  • uCosminexus Developer Professional
  • uCosminexus Developer Professional for Plug-in
  • uCosminexus Developer Standard
  • uCosminexus Primary Server Base
  • uCosminexus Service Architect
  • uCosminexus Service Platform
  • uCosminexus Service Platform - Messaging
富士通
  • Internet Navigware Server
  • Interstage Application Development Cycle Manager
  • Interstage Application Framework Suite
  • Interstage Application Server
  • Interstage Application Server Plus Developer / Apworks / Studio
  • Interstage Business Application Server
  • Interstage Form Coordinator Workflow
  • Interstage Job Workload Server
  • Interstage List Manager
  • Interstage List Works
  • Interstage Service Integrator
  • Interstage Shunsaku Data Manager
  • Interstage Web Server
  • Interstage XML Business Activity Recorder
  • ServerView Resource Orchestrator Cloud Edition
  • SUCCESS SERVER
  • Systemwalker Availability View
  • Systemwalker Desktop Inspection
  • Systemwalker IT Change Manager
  • Systemwalker IT Process Master
  • Systemwalker Operation Manager
  • Systemwalker Runbook Automation
  • Systemwalker Service Catalog Manager
  • Systemwalker Service Quality Coordinator
  • Systemwalker Software Configuration Manager

日本電気 WebSAM SECUREMASTER EnterpriseAccessManager は、Apache Tomcat 6.0.35 未満を使用している場合に本脆弱性の影響を受けます。詳しくは、NEC製品セキュリティ情報 (NV12-003) をご確認ください。
日本電気 InfoFrame DocumentSkipper の上記のバージョンに同梱されている Apache Tomcat 6.0系が影響を受けます。詳しくは、NEC製品セキュリティ情報 (NV12-003) をご確認ください。
想定される影響

第三者により、巧妙に細工されたパラメータを大量に送信されることで、サービス運用妨害 (CPU 資源の消費) 状態にされる可能性があります。
対策

ベンダ情報および参考情報を参照して適切な対策を実施してください。
ベンダ情報

Apache Software Foundation IBM オラクル サイボウズ レッドハット 日本電気 日立
  • Hitachi Software Vulnerability Information : HS12-003
  • Hitachi Software Vulnerability Information : HS12-019
  • ソフトウェア製品セキュリティ情報 : HS12-003
  • ソフトウェア製品セキュリティ情報 : HS12-019
富士通
CWEによる脆弱性タイプ一覧  CWEとは?

  1. リソース管理の問題(CWE-399) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2011-4858
参考情報

  1. JVN : JVNVU#903934
  2. National Vulnerability Database (NVD) : CVE-2011-4858
  3. US-CERT Vulnerability Note : VU#903934
  4. IPA 緊急対策情報 : 20120106-web
更新履歴

[2012年01月06日]
  掲載
[2012年01月17日]
  影響を受けるシステム:富士通 (interstage_as_201201) の情報を追加
  ベンダ情報:富士通 (interstage_as_201201) を追加
[2012年01月27日]
  影響を受けるシステム:日立 (HS12-003) の情報を追加
  ベンダ情報:日立 (HS12-003) を追加
[2012年02月17日]
  影響を受けるシステム:日本電気 (NV12-003) の情報を追加
  ベンダ情報:日本電気 (NV12-003) を追加
[2012年03月01日]
  影響を受けるシステム:サイボウズ (CY12-02-006) の情報を追加
  ベンダ情報:サイボウズ (CY12-02-006) を追加
[2012年03月27日]
  影響を受けるシステム:富士通 (interstage_as_201201) の情報を更新 
[2012年03月30日]
  影響を受けるシステム:日本電気 (NV12-003) の情報を追加
[2012年04月16日]
  ベンダ情報:オラクル (Multiple Denial of Service (DoS) vulnerabilities in Apache Tomcat) を追加
[2012年04月18日]
  影響を受けるシステム:日本電気 (NV12-003) の情報を更新
  ベンダ情報:日本電気 (WebOTX Webコンテナ のハッシュに関する脆弱性(CVE-2011-4858)について) を追加
  ベンダ情報:日本電気 (InfoCage PCセキュリティ - 重要なお知らせ) を追加
[2012年05月31日]
  影響を受けるシステム:日本電気 (NV12-003) の情報を更新
[2012年07月10日]
  影響を受けるシステム:日立 (HS12-019) の情報を更新
  ベンダ情報:日立 (HS12-019) を追加
[2012年09月28日]
  ベンダ情報:オラクル (Multiple vulnerabilities in Oracle Java Web Console - oracle_java) を追加
  ベンダ情報:オラクル (Multiple vulnerabilities in Oracle Java Web Console - oracle_java1) を追加
[2012年10月01日]
  影響を受けるシステム:日本電気 (NV12-003) の情報を更新
[2013年02月04日]
  影響を受けるシステム:日本電気 (NV12-003) の情報を更新
  ベンダ情報:日本電気 (【iStorage Mシリーズ】WebSAM Storage VMware vCenter Plug-inV1.1が使用しているApache Tomcat脆弱性問題の対処について) の情報を追加
[2013年03月08日]
  影響を受けるシステム:IBM (1626697) の情報を追加
  ベンダ情報:IBM (4034373) を追加