JVNDB-2012-001258

Apache HTTP Server の protocol.c における HTTPOnly Cookie の値を取得される脆弱性

Apache HTTP Server の protocol.c は、Bad Request (400) エラー中のヘッダ情報を適切に制限しないため、HTTPOnly Cookie の値を取得される脆弱性が存在します。

Apache Software Foundation

• Apache HTTP Server 2.2.x から 2.2.21

アップル

• Apple Mac OS X v10.6.8
• Apple Mac OS X v10.7 から v10.7.4
• Apple Mac OS X Server v10.6.8
• Apple Mac OS X Server v10.7 から v10.7.4

オラクル

• XCP 1118 未満
• SPARC Enterprise M3000 サーバ
• SPARC Enterprise M4000 サーバ
• SPARC Enterprise M5000 サーバ
• SPARC Enterprise M8000 サーバ
• SPARC Enterprise M9000 サーバ

ヒューレット・パッカード

• HP System Management Homepage v7.1.1 未満 (Linux、Windows および VMware ESX)
• HP XP P9000 Command View Advanced Edition Suite

日立

• Cosminexus Application Server Enterprise Version 6
• Cosminexus Application Server Standard Version 6
• Cosminexus Application Server Version 5
• Cosminexus Developer Light Version 6
• Cosminexus Developer Professional Version 6
• Cosminexus Developer Standard Version 6
• Cosminexus Developer Version 5
• Cosminexus HTTP Server
• Cosminexus Primary Server Base Version 6
• Cosminexus Primary Server Version 6
• Hitachi Device Manager Software
• Hitachi Global Link Manager Software
• Hitachi Provisioning Manager Software
• Hitachi Replication Manager Software
• Hitachi Tiered Storage Manager Software
• Hitachi Tuning Manager Software
• Hitachi Web Server
• Hitachi Web Server - Security Enhancement
• uCosminexus Application Server
• uCosminexus Application Server (64)
• uCosminexus Application Server -R
• uCosminexus Application Server Express
• uCosminexus Application Server Standard-R
• uCosminexus Application Server Enterprise
• uCosminexus Application Server Smart Edition
• uCosminexus Application Server Standard
• uCosminexus Developer
• uCosminexus Developer 01
• uCosminexus Developer Professional
• uCosminexus Developer Professional for Plug-in
• uCosminexus Developer Light
• uCosminexus Developer Standard
• uCosminexus Primary Server Base
• uCosminexus Primary Server Base(64)
• uCosminexus Service Architect
• uCosminexus Service Platform
• uCosminexus Service Platform (64)
• uCosminexus Service Platform - Messaging

富士通

• Interstage Application Framework Suite
• Interstage Application Server
• Interstage Apworks
• Interstage Business Application Server
• Interstage Job Workload Server
• Interstage Studio
• Interstage Web Server
• Interstage Web Server Express
• Systemwalker Resource Coordinator

本脆弱性の影響を受ける日立製品の詳細については、ベンダ情報 HS12-033、HS13-001 をご確認ください。

また、富士通製品の詳細につきましては、ベンダ情報 Interstage HTTP Server: セキュリティ脆弱性 をご確認ください。

第三者により、HTTPOnly Cookie の値を取得される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Apache Software Foundation

• Apache httpd 2.2 vulnerabilities : Fixed in Apache httpd 2.2.22-dev
• Apache-SVN : 1235454

openSUSE project

• opensuse-security-announce : openSUSE-SU-2012:0314

アップル

• Apple Mailing Lists : APPLE-SA-2012-09-19-2
• Apple Security Updates : HT5501
• Apple セキュリティアップデート : HT5501

オラクル

• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - July 2012
• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2015
• Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices
• SECURITY BLOG : CVE-2012-0053 Information Disclosure vulnerability in Apache HTTP Server  
• SECURITY BLOG : Multiple vulnerabilities in Apache HTTP Server 1.3
• SECURITY BLOG : January 2015 Critical Patch Update Released

ジュニパーネットワークス

• Security Bulletin : JSA10585

ヒューレット・パッカード

• HP Support document : HPSBMU02786 SSRT100877
• HP Support document : HPSBST02848 SSRT101112

レッドハット

• Red Hat Bugzilla : Bug 785069
• Red Hat Security Advisory : RHSA-2012:0128

日立

• Hitachi Software Vulnerability Information : HS12-033
• Hitachi Software Vulnerability Information : HS13-001
• ソフトウェア製品セキュリティ情報 : HS12-033
• ソフトウェア製品セキュリティ情報 : HS13-001

富士通

• 富士通 セキュリティ情報 : Interstage HTTP Server: セキュリティ脆弱性(CVE-2012-0053)

1. 情報不足(CWE-noinfo) [NVD評価]

1. CVE-2012-0053

1. JVN : JVNVU#381963
2. National Vulnerability Database (NVD) : CVE-2012-0053

• [2012年02月01日]
    掲載
  [2012年02月27日]
    ベンダ情報：レッドハット (RHSA-2012:0128) を追加
  [2012年04月20日]
    ベンダ情報：オラクル (CVE-2012-0053 Information Disclosure vulnerability in Apache HTTP Server) を追加
  [2012年04月27日]
    ベンダ情報：オラクル (Multiple vulnerabilities in Apache HTTP Server 1.3) を追加
  [2012年07月25日]
    ベンダ情報：ヒューレット・パッカード (HPSBMU02786 SSRT100877) を追加
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - July 2012) を追加
    ベンダ情報：openSUSE (openSUSE-SU-2012:0314) を追加
  [2012年10月04日]
    ベンダ情報：アップル (HT5501) を追加
  [2012年10月11日]
    影響を受けるシステム：富士通 (Interstage HTTP Server: セキュリティ脆弱性(CVE-2012-0053)) の情報を追加
    ベンダ情報：富士通 (Interstage HTTP Server: セキュリティ脆弱性(CVE-2012-0053)) を追加
  [2012年12月28日]
    影響を受けるシステム：日立 (HS12-033) の情報を追加
    ベンダ情報：日立 (HS12-033) を追加
  [2013年01月30日]
    影響を受けるシステム：日立 (HS13-001) の情報を追加
    ベンダ情報：日立 (HS13-001) を追加
  [2013年05月21日]
    影響を受けるシステム：日立 (HS13-001) の情報を追加
  [2014年02月04日]
    影響を受けるシステム：アップル (HT5501) の情報を追加
    影響を受けるシステム：ヒューレット・パッカード (HPSBMU02786 SSRT100877) の情報を追加
    影響を受けるシステム：ヒューレット・パッカード (HPSBST02848 SSRT101112) の情報を追加
    ベンダ情報：アップル (APPLE-SA-2012-09-19-2) を追加
    ベンダ情報：レッドハット (Bug 785069) を追加
    ベンダ情報：ジュニパーネットワークス (JSA10585) を追加
    ベンダ情報：ヒューレット・パッカード (HPSBST02848 SSRT101112) を追加
  [2015年01月30日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - January 2015) を追加
    ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices) を追加
    ベンダ情報：オラクル (January 2015 Critical Patch Update Released) を追加