【活用ガイド】

JVNDB-2010-001740

Apache Tomcat における重要な情報を取得される脆弱性

概要

Apache Tomcat には、不正な Transfer-Encoding ヘッダを適切に処理しないため、サービス運用妨害 (DoS) 状態となる、または重要な情報を取得される脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 6.4 (警告) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): なし
  • 可用性への影響(A): 部分的
影響を受けるシステム


Apache Software Foundation
  • Apache Tomcat 5.5.0 から 5.5.29
  • Apache Tomcat 6.0.0 から 6.0.27
  • Apache Tomcat 7.0.0
VMware
  • VMware ESX 4.1
  • VMware ESX 4.0
  • VMware ESX 3.5
  • VMware ESX 3.0.3
  • VMware vCenter 4.1
  • VMware vCenter 4.0
  • VMware VirtualCenter 2.5
アップル
  • Apple Mac OS X 10.6.8
  • Apple Mac OS X Server 10.6.8
オラクル
  • OpenSolaris
  • Oracle Solaris 10 
  • Oracle Solaris 9 
トレンドマイクロ
  • TrendMicro InterScan Web Security Suite 3.1 Solaris版
ヒューレット・パッカード
  • HP Systems Insight Manager 7.0 未満
  • HP XP P9000 Performance Advisor ソフトウェア 5.4.1 およびそれ以前
  • HP-UX Tomcat-based Servlet Engine 5.5.30.01 未満
ミラクル・リナックス
  • Asianux Server 3 (x86) 
  • Asianux Server 3 (x86-64) 
レッドハット
  • Red Hat Enterprise Linux 5 (server) 
  • Red Hat Enterprise Linux Desktop 5.0 (client) 
  • RHEL Desktop Workstation 5 (client) 
日本電気
  • WebOTX Application Server V8.31 

想定される影響

第三者により、バッファのリサイクルに干渉する巧妙に細工されたヘッダを介して、サービス運用妨害 (DoS) 状態にされる、または重要な情報を取得される可能性があります。
対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報

Apache Software Foundation Novell VMware アップル オラクル トレンドマイクロ ヒューレット・パッカード ミラクル・リナックス レッドハット 日本電気
  • NEC製品セキュリティ情報 : NV12-002
CWEによる脆弱性タイプ一覧  CWEとは?

  1. バッファエラー(CWE-119) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2010-2227
参考情報

  1. National Vulnerability Database (NVD) : CVE-2010-2227
  2. Secunia Advisory : SA39574
  3. SecurityFocus : 41544
  4. ISS X-Force Database : 60264
  5. SecurityTracker : 1024180
  6. VUPEN Security : VUPEN/ADV-2010-1788
更新履歴

  • [2010年07月29日]
      掲載
    [2010年08月18日]
      影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
      影響を受けるシステム:レッドハット (RHSA-2010:0580) の情報を追加
      ベンダ情報:ミラクル・リナックス (tomcat5-5.5.23-0jpp.9.0.1.AXS3) を追加
      ベンダ情報:レッドハット (RHSA-2010:0580) を追加
    [2010年09月01日]
      ベンダ情報:Apache Software Foundation (security-7) を追加
    [2010年10月29日]
      影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
      ベンダ情報:オラクル (Multiple Vulnerabilities in Apache Tomcat) を追加
    [2010年12月13日]
      影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
      ベンダ情報:ヒューレット・パッカード (HPUXWSATW313) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBUX02579 SSRT100203) を追加
    [2011年02月28日]
      影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
      ベンダ情報:VMware (VMSA-2011-0003) を追加
    [2011年06月10日]
      影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
      ベンダ情報:トレンドマイクロ (iwss_31_sol_en_patch2_readme) を追加
      ベンダ情報:トレンドマイクロ (fragment-144) を追加
      ベンダ情報:トレンドマイクロ (Readme_IWSS_31_JP_Patch2) を追加
      ベンダ情報:トレンドマイクロ (fragment-3406) を追加
      ベンダ情報:トレンドマイクロ (JP-2079264) を追加
    [2012年02月13日]
      影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
      ベンダ情報:日本電気 (NV12-002) を追加
    [2012年09月28日]
      ベンダ情報:オラクル (Multiple vulnerabilities in Oracle Java Web Console) を追加
    [2013年03月14日]
      影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
      ベンダ情報:ヒューレット・パッカード (HPSBMU02769 SSRT100846) を追加
    [2015年03月25日]
      影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
      ベンダ情報:Apache Software Foundation (Fixed in Geronimo 2.2.1: CVE-2010-2227: Apache Tomcat Remote Denial Of Service and Information Disclosure Vulnerability) を追加
      ベンダ情報:Apache Software Foundation (Fixed in Geronimo 2.1.7: CVE-2010-2227: Apache Tomcat Remote Denial Of Service and Information Disclosure Vulnerability) を追加
      ベンダ情報:Novell (7007274) を追加
      ベンダ情報:Novell (7007275) を追加
      ベンダ情報:VMware (VMware vCenter Server 4.1 Update 1 Release Notes) を追加
      ベンダ情報:アップル (APPLE-SA-2011-10-12-3 OS X Lion v10.7.2 and Security Update 2011-006) を追加
      ベンダ情報:アップル (HT202348) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBUX02860 SSRT101146) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBST02955 SSRT101157) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBUX02579 SSRT100203) を追加
      ベンダ情報:レッドハット (RHSA-2010:0581) を追加
      ベンダ情報:レッドハット (RHSA-2010:0582) を追加
      ベンダ情報:レッドハット (RHSA-2010:0583) を追加

公表日2010/07/13
登録日2010/07/29
最終更新日2015/03/25