JVNDB-2015-003798
|
Apache HTTP Server のチャンク形式転送コーディングの実装における HTTP リクエストスマグリング攻撃を実行される脆弱性
|
|
Apache HTTP Server のチャンク形式転送コーディング (chunked transfer coding) の実装は、チャンクヘッダを適切に解析しないため、HTTP リクエストスマグリング攻撃を実行される脆弱性が存在します。
補足情報 : CWE による脆弱性タイプは、CWE-17: Code (コード) と識別されています。
http://cwe.mitre.org/data/definitions/17.html
|
|
CVSS v2 による深刻度
基本値: 5.0 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): なし
- 完全性への影響(I): 部分的
- 可用性への影響(A): なし
|
|
|
Apache Software Foundation
- Apache HTTP Server 2.4.14 未満
アップル
- Apple Mac OS X 10.10 から 10.10.4
- Apple Mac OS X 10.9.5
- macOS Server (旧 OS X Server) 5.0.3 未満 (OS X Yosemite v10.10.5 以降)
オラクル
- Oracle HTTP Server 10.1.3.5
- Oracle HTTP Server 11.1.1.7
- Oracle HTTP Server 11.1.1.9
- Oracle HTTP Server 12.1.2.0
- Oracle HTTP Server 12.1.3.0
- Oracle Virtualization の Oracle Secure Global Desktop 4.63
- Oracle Virtualization の Oracle Secure Global Desktop 4.71
- Oracle Virtualization の Oracle Secure Global Desktop 5.2
- XCP 1121 未満 (SPARC Enterprise M3000/M4000/M5000/M8000/M9000 サーバ)
- SPARC Enterprise M3000 サーバ
- SPARC Enterprise M4000 サーバ
- SPARC Enterprise M5000 サーバ
- SPARC Enterprise M8000 サーバ
- SPARC Enterprise M9000 サーバ
日立
- Cosminexus HTTP Server
- Hitachi Application Server
- Hitachi Application Server for Developers
- Hitachi Web Server
- uCosminexus Application Server
- uCosminexus Application Server (64)
- uCosminexus Application Server -R
- uCosminexus Application Server Express
- uCosminexus Application Server Standard-R
- uCosminexus Application Server Enterprise
- uCosminexus Application Server Smart Edition
- uCosminexus Application Server Standard
- uCosminexus Developer
- uCosminexus Developer 01
- uCosminexus Developer Professional
- uCosminexus Developer Professional for Plug-in
- uCosminexus Developer Standard
- uCosminexus Primary Server Base
- uCosminexus Primary Server Base(64)
- uCosminexus Service Architect
- uCosminexus Service Platform
- uCosminexus Service Platform (64)
- uCosminexus Service Platform - Messaging
|
本脆弱性の影響を受ける日立製品の詳細については、ベンダ情報 HS15-029 をご確認ください。
|
|
第三者により、巧妙に細工されたリクエストを介して、HTTP リクエストスマグリング攻撃を実行される可能性があります。
|
|
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
|
|
Apache Software Foundation
アップル
オラクル
日立
- Hitachi Software Vulnerability Information : HS15-029
- ソフトウェア製品セキュリティ情報 : HS15-029
|
|
- 不適切な入力確認(CWE-20) [NVD評価]
- その他(CWE-Other) [NVD評価]
|
|
- CVE-2015-3183
|
|
- JVN : JVNVU#99970459
- National Vulnerability Database (NVD) : CVE-2015-3183
|
|
- [2015年07月22日]
掲載
[2015年08月31日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:アップル (APPLE-SA-2015-08-13-2 OS X Yosemite v10.10.5 and Security Update 2015-006) を追加
ベンダ情報:アップル (HT205031) を追加
[2015年10月05日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:アップル (APPLE-SA-2015-09-16-4 OS X Server 5.0.3) を追加
ベンダ情報:アップル (HT205219) を追加
参考情報:JVN (JVNVU#99970459) を追加
[2015年11月06日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - October 2015) を追加
ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - October 2015 Risk Matrices) を追加
ベンダ情報:オラクル (October 2015 Critical Patch Update Released) を追加
ベンダ情報:オラクル (Oracle Solaris Third Party Bulletin - October 2015) を追加
[2015年12月01日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:日立 (HS15-029) を追加
[2016年01月28日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - January 2016 Risk Matrices) を追加
ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - January 2016) を追加
ベンダ情報:オラクル (January 2016 Critical Patch Update Released) を追加
[2016年07月27日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2016) を追加
ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - July 2016 Risk Matrices) を追加
ベンダ情報:オラクル (July 2016 Critical Patch Update Released) を追加
|
