JVNDB-2012-001078
|
Apache Tomcat におけるサービス運用妨害 (CPU 資源の消費) の脆弱性
|
|
Apache Tomcat は、パラメーターの処理に非能率なアプローチを使用するため、サービス運用妨害 (CPU 資源の消費) 状態となる脆弱性が存在します。
本脆弱性は、CVE-2011-4858 とは異なる脆弱性です。
|
|
CVSS v2 による深刻度
基本値: 5.0 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): なし
- 完全性への影響(I): なし
- 可用性への影響(A): 部分的
|
|
|
Apache Software Foundation
- Apache Tomcat 5.5.35 未満の 5.5.x
- Apache Tomcat 6.0.34 未満の 6.x
- Apache Tomcat 7.0.23 未満の 7.x
VMware
- VMware ESX 3.5
- VMware ESX 4.0
- VMware ESX 4.1
- VMware ESXi
- VMware vCenter 2.5 (Windows)
- VMware vCenter 4.0 (Windows)
- VMware vCenter 4.1 (Windows)
- VMware vCenter 5.0 (Windows)
オラクル
- Oracle Fusion Middleware の Management Pack for Oracle GoldenGat 11.1.1.1.0
- Oracle Fusion Middleware の Oracle GoldenGate Veridata 3.0.0.11.0
日本電気
- CSVIEW /FAQナビ V4 および V5
- InfoCage PCセキュリティ V1.44 以前
- InfoFrame DocumentSkipper V3.2
- InfoFrame DocumentSkipper V4.1
- InfoFrame DocumentSkipper V5.1
- WebOTX Standard-J Edition V4.1 から V6.5
- WebOTX Enterprise Edition V4.1 から V6.5
- WebOTX UDDI Registry V1.1 から V7.1
- WebOTX 開発環境 V6.1 から V6.5
- WebOTX Standard Edition V4.1 から V6.5
- WebOTX Web Edition V4.1 から V6.5
- WebOTX Application Server Web Edition V7.1 から V8.1
- WebOTX Application Server Standard-J Edition V7.1 から V8.1
- WebOTX Application Server Enterprise Edition V7.1 から V8.1
- WebOTX Application Server Express V8.2 から V8.4
- WebOTX Application Server Foundation V8.2 から V8.4
- WebOTX Application Server Standard V8.2 から V8.4
- WebOTX Application Server Enterprise V8.2 から V8.4
- WebOTX Application Server Standard Edition V7.1 から V8.1
- WebOTX Developer V7.1 から V8.1
- WebOTX Enterprise Service Bus V6.4 から V8.4
- WebOTX Portal V8.2 から V8.3
- WebOTX SIP Application Server Standard Edition V7.1 から V8.1
- WebSAM SECUREMASTER EnterpriseAccessManager Ver5.0 から Ver6.1
- WebSAM SECUREMASTER EnterpriseIdentityManager Ver4.1 までの全バージョン
|
日本電気 WebSAM SECUREMASTER EnterpriseAccessManager は、Apache Tomcat 6.0.35 未満を使用している場合に本脆弱性の影響を受けます。詳しくは、NEC製品セキュリティ情報 (NV12-003) をご確認ください。
日本電気 InfoFrame DocumentSkipper の上記のバージョンに同梱されている Apache Tomcat 6.0系が影響を受けます。詳しくは、NEC製品セキュリティ情報 (NV12-003) をご確認ください。
|
|
第三者により、多数のパラメータおよびパラメータ値を含むリクエストを介して、サービス運用妨害 (CPU 資源の消費) 状態にされる可能性があります。
|
|
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
|
|
Apache Software Foundation
VMware
オラクル
レッドハット
日本電気
|
|
- 数値処理の問題(CWE-189) [NVD評価]
|
|
- CVE-2012-0022
|
|
- National Vulnerability Database (NVD) : CVE-2012-0022
|
|
- [2012年01月20日]
掲載
[2012年03月28日]
影響を受けるシステム:日本電気 (NV12-003) の情報を追加
ベンダ情報:日本電気 (NV12-003) を追加
[2012年04月16日]
ベンダ情報:オラクル (Multiple Denial of Service (DoS) vulnerabilities in Apache Tomcat) を追加
[2012年04月18日]
影響を受けるシステム:日本電気 (NV12-003) の情報を更新
ベンダ情報:日本電気 (InfoCage PCセキュリティ - 重要なお知らせ) を追加
[2012年05月31日]
影響を受けるシステム:日本電気 (NV12-003) の情報を更新
[2012年09月28日]
ベンダ情報:オラクル (Multiple vulnerabilities in Oracle Java Web Console - oracle_java) を追加
ベンダ情報:オラクル (Multiple vulnerabilities in Oracle Java Web Console - oracle_java1) を追加
[2012年10月01日]
影響を受けるシステム:日本電気 (NV12-003) の情報を更新
[2012年11月13日]
ベンダ情報:レッドハット (RHSA-2012:0345) を追加
[2012年12月17日]
影響を受けるシステム:VMware (VMSA-2012-0005) の情報を追加
ベンダ情報:VMware (VMSA-2012-0005) を追加
[2013年01月25日]
影響を受けるシステム:オラクル (Oracle Critical Patch Update Advisory - January 2013) の情報を追加
ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - January 2013) を追加
ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - January 2013 Risk Matrices) を追加
ベンダ情報:オラクル (January 2013 Critical Patch Update Released) を追加
|
