JVNDB-2011-001930
|
Apache Tomcat におけるアクセス制限を回避される脆弱性
|
|
Apache Tomcat は、HTTP APR または HTTP NIO コネクタに対して sendfile が有効である時、リクエスト属性の検証を行わないため、アクセス制限を回避される、またはサービス運用妨害 (無限ループまたは JVM クラッシュ) 状態となる脆弱性が存在します。
|
|
CVSS v2 による深刻度
基本値: 4.4 (警告) [NVD値]
- 攻撃元区分: ローカル
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
|
Apache Software Foundation
- Apache Tomcat 5.5.34 未満
- Apache Tomcat 6.0.33 未満
- Apache Tomcat 7.0.19 未満
ヒューレット・パッカード
- HP XP P9000 Performance Advisor ソフトウェア 5.4.1 およびそれ以前
|
|
|
ローカルユーザにより、信頼されない Web アプリケーションの利用を介して、アクセス制限を回避される、またはサービス運用妨害 (無限ループまたは JVM クラッシュ) 状態にされる可能性があります。
|
|
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
|
|
Apache Software Foundation
オラクル
ヒューレット・パッカード
レッドハット
|
|
- 不適切な入力確認(CWE-20) [NVD評価]
|
|
- CVE-2011-2526
|
|
- National Vulnerability Database (NVD) : CVE-2011-2526
- SecurityFocus : 48667
- SecurityTracker : 1025788
|
|
- [2011年07月26日]
掲載
[2011年07月29日]
ベンダ情報:Apache Software Foundation (Fixed_in_Apache_Tomcat_7.0.19) を追加
[2011年08月29日]
ベンダ情報:Apache Software Foundation (1158244) を追加
ベンダ情報:Apache Software Foundation (Fixed in Apache Tomcat 6.0.33) を追加
[2011年11月17日]
ベンダ情報:Apache Software Foundation (Fixed_in_Apache_Tomcat_5.5.34) を追加
[2012年09月28日]
ベンダ情報:オラクル (Multiple vulnerabilities in Oracle Java Web Console - oracle_java) を追加
ベンダ情報:オラクル (Multiple vulnerabilities in Oracle Java Web Console - oracle_java1) を追加
[2015年03月05日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:ヒューレット・パッカード (HPSBUX02725 SSRT100627) を追加
ベンダ情報:ヒューレット・パッカード (HPSBUX02860 SSRT101146) を追加
ベンダ情報:ヒューレット・パッカード (HPSBST02955 SSRT101157) を追加
ベンダ情報:レッドハット (RHSA-2012:0074) を追加
ベンダ情報:レッドハット (RHSA-2012:0075) を追加
ベンダ情報:レッドハット (RHSA-2012:0076) を追加
ベンダ情報:レッドハット (RHSA-2012:0077) を追加
ベンダ情報:レッドハット (RHSA-2012:0078) を追加
ベンダ情報:レッドハット (RHSA-2012:0325) を追加
ベンダ情報:レッドハット (Bug 720948) を追加
|
