|
[English]
|
JVNDB-2009-000036
|
Apache Tomcat における情報漏えいの脆弱性
|
|
The Apache Software Foundation が提供する Apache Tomcat には、情報漏えいの脆弱性が存在します。
The Apache Software Foundation が提供する Apache Tomcat は、Java Servlet と JavaServer Pages のサーバ実装です。
Apache Tomcat には、特定のメソッドを利用したアプリケーションにおいて、WEB-INF ディレクトリ配下の情報が漏えいする脆弱性が存在します。
開発者によると、現在サポート対象外となっている Apache Tomcat 3.x、4.0.x、および 5.0.x も、本脆弱性の影響を受ける可能性があるとのことです。
詳しくは開発者が提供する情報をご確認ください。
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC がベンダとの調整を行いました。
報告者:富士通株式会社 ミドルウェア事業本部 アプリケーションマネジメント・ミドルウェア事業部 第二開発部 飯田 峰彦 氏、鈴木 雄一郎 氏
|
|
|
CVSS v2 による深刻度
基本値: 4.3 (警告) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): なし
- 可用性への影響(A): なし
|
|
|
Apache Software Foundation
- Apache Tomcat 4.1.0 から 4.1.39 まで
- Apache Tomcat 5.5.0 から 5.5.27 まで
- Apache Tomcat 6.0.0 から 6.0.18 まで
VMware
- VMware ESX 4.0
- VMware ESX 3.5
- VMware ESX 3.0.3
- VMware Server 2.x
- VMware vCenter 4.0
- VMware VirtualCenter 2.5
- VMware VirtualCenter 2.0.2
アップル
- Apple Mac OS X Server v10.5.8
- Apple Mac OS X Server v10.6 から v10.6.2
サン・マイクロシステムズ
- OpenSolaris (sparc)
- OpenSolaris (x86)
- Sun Solaris 10 (sparc)
- Sun Solaris 10 (x86)
- Sun Solaris 9 (sparc)
- Sun Solaris 9 (x86)
ヒューレット・パッカード
- HP-UX Tomcat-based Servlet Engine 5.5.30.01 未満
- HP-UX 11.11
- HP-UX 11.23
- HP-UX 11.31
ミラクル・リナックス
- Asianux Server 3 (x86)
- Asianux Server 3 (x86-64)
- Asianux Server 2.0
- Asianux Server 2.1
レッドハット
- Red Hat Enterprise Linux 5 (server)
- Red Hat Enterprise Linux Desktop 5.0 (client)
- Red Hat Enterprise Linux EUS 5.3.z (server)
- RHEL Desktop Workstation 5 (client)
日本電気
- InfoFrame DocumentSkipper
- MCOne
- WebSAM SECUREMASTER
富士通
- Interstage Application Framework Suite
- Interstage Application Server
- Interstage Apworks
- Interstage Business Application Server
- Interstage Job Workload Server
- Interstage Studio
- Interstage Web Server
- 行政文書管理システム for WEB
- 総合文書管理システム for WEB
|
|
|
遠隔の第三者により不正なリクエストを送られた場合、WEB-INF ディレクトリ配下に設置したアプリケーション内部に含まれるパスワードや設定情報などが漏えいする可能性があります。
|
|
[アップデートする]
Apache Tomcat 6.0.x をお使いの場合:
開発者が提供している情報をもとに Apache Tomcat 6.0.20 へアップデートしてください。
Apache Tomcat 5.5.x および Apache Tomcat 4.1.x をお使いの場合:
2009年06月09日現在、Apache Tomcat 5.5.x および Apache Tomcat 4.1.x の最新版は公開されていませんが、開発者が提供している情報をもとに、最新版のソースを svn から入手してください。
それぞれの最新版が公開された際には、最新版へアップデートしてください。
詳しくは、開発者が提供する情報をご確認ください。
|
|
Apache Software Foundation
VMware
アップル
オラクル
サン・マイクロシステムズ
- Sun Alert Notification : 263529
ヒューレット・パッカード
ミラクル・リナックス
レッドハット
日本電気
富士通
|
|
- 情報漏えい(CWE-200) [IPA評価]
|
|
- CVE-2008-5515
|
|
- JVN : JVN#63832775
- National Vulnerability Database (NVD) : CVE-2008-5515
- SecurityFocus : 35263
- VUPEN Security : VUPEN/ADV-2009-1520
|
|
- [2009年06月18日]
掲載
[2009年08月10日]
影響を受けるシステム:サン・マイクロシステムズ (263529) の情報を追加
影響を受けるシステム:レッドハット (RHSA-2009:1164) の情報を追加
影響を受けるシステム:日本電気 (NV09-008) の情報を追加
ベンダ情報:サン・マイクロシステムズ (263529) を追加
ベンダ情報:レッドハット (RHSA-2009:1164) を追加
ベンダ情報:日本電気 (NV09-008) を追加
[2009年10月08日]
影響を受けるシステム:ミラクル・リナックス (tomcat5-5.5.23-0jpp.7.2.1AXS3) の情報を追加
影響を受けるシステム:ミラクル・リナックス (1794) の情報を追加
ベンダ情報:ミラクル・リナックス (tomcat5-5.5.23-0jpp.7.2.1AXS3) を追加
ベンダ情報:ミラクル・リナックス (1794) を追加
[2009年11月13日]
影響を受けるシステム:ヒューレット・パッカード (HPSBUX02466) の情報を追加
ベンダ情報:ヒューレット・パッカード (HPSBUX02466) を追加
[2010年01月04日]
影響を受けるシステム:VMware (VMSA-2009-0016) の情報を追加
ベンダ情報:VMware (VMSA-2009-0016) を追加
[2010年02月18日]
影響を受けるシステム:日本電気 (NV09-008) の情報を更新
[2010年04月23日]
影響を受けるシステム:アップル (HT4077) の情報を追加
影響を受けるシステム:日本電気 (NV09-008) の情報を更新
ベンダ情報:アップル (HT4077) を追加
[2010年12月13日]
影響を受けるシステム:ヒューレット・パッカード (HPUXWSATW313) の情報を追加
影響を受けるシステム:ヒューレット・パッカード (HPSBUX02579) の情報を追加
ベンダ情報:ヒューレット・パッカード (HPUXWSATW313) を追加
ベンダ情報:ヒューレット・パッカード (HPSBUX02579) を追加
[2012年09月28日]
ベンダ情報:オラクル (Multiple vulnerabilities in Oracle Java Web Console) を追加
|
