JVNDB-2007-001017
|
Apache HTTP Server の 413 エラーメッセージにおける HTTP メソッドを適切に検査しない問題
|
|
Apache HTTP Server は、413 エラーページを返す際、HTTP リクエストからの HTTP メソッドを適切に検査しない問題があります。
|
|
CVSS v2 による深刻度
基本値: 4.3 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): なし
- 完全性への影響(I): 部分的
- 可用性への影響(A): なし
|
|
|
Apache Software Foundation
- Apache HTTP Server 2.0.62 およびそれ以前
- Apache HTTP Server 2.2.7 およびそれ以前
IBM
- IBM HTTP Server 6.0.2.27 未満
- IBM HTTP Server 6.1.0.15 未満
- IBM HTTP Server 2.0.47.1 未満
アップル
- Apple Mac OS X v10.5.2
- Apple Mac OS X Server v10.5.2
ターボリナックス
- Turbolinux Appliance Server 2.0
- Turbolinux FUJI
- Turbolinux Multimedia
- Turbolinux Personal
- Turbolinux Server 10
- Turbolinux Server 10 (x64)
- Turbolinux Server 11
- Turbolinux Server 11 (x64)
ヒューレット・パッカード
- HP-UX 11.11
- HP-UX 11.23
- HP-UX 11.31
ミラクル・リナックス
- Asianux Server 3.0
- Asianux Server 3.0 (x86-64)
日立
- Cosminexus Application Server Enterprise Version 6
- Cosminexus Application Server Standard Version 6
- Cosminexus Application Server Version 5
- Cosminexus Developer Professional Version 6
- Cosminexus Developer Standard Version 6
- Cosminexus Developer Light Version 6
- Cosminexus Developer Version 5
- Cosminexus Server Standard Edition Version 4
- Cosminexus Server Web Edition Version 4
- Cosminexus Server Enterprise Edition
- Cosminexus Server Standard Edition
- Cosminexus Server Web Edition
- Hitachi Web Server
- uCosminexus Application Server Enterprise
- uCosminexus Application Server Standard
- uCosminexus Developer Professional
- uCosminexus Developer Standard
- uCosminexus Developer Light
- uCosminexus Service Platform
- uCosminexus Service Architect
富士通
- Interstage Application Framework Suite
- Interstage Application Server
- Interstage Apworks
- Interstage Business Application Server
- Interstage Job Workload Server
- Interstage Studio
- Interstage Web Server
- Systemwalker Resource Coordinator
|
|
|
ウェブクライアントコンポーネントを使用して、リクエスト中に任意のヘッダを送信され、クロスサイトスクリプティングの攻撃に利用される可能性があります。
なお、本問題を利用してクロスサイトスクリプティングの攻撃をするには、攻撃者がユーザに悪意ある HTTP メソッドを送信させることが前提条件と報告されています。
|
|
ベンダより対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
|
|
Apache Software Foundation
IBM
アップル
ターボリナックス
ヒューレット・パッカード
ミラクル・リナックス
- MIRACLE LINUX アップデート情報 : 1266
日立
- Hitachi Software Vulnerability Information : HS08-004
- ソフトウェア製品セキュリティ情報 : HS08-004
富士通
|
|
- クロスサイトスクリプティング(CWE-79) [NVD評価]
|
|
- CVE-2007-6203
|
|
- JVN : JVNTA08-079A
- National Vulnerability Database (NVD) : CVE-2007-6203
- US-CERT Cyber Security Alerts : SA08-079A
- US-CERT Technical Cyber Security Alert : TA08-079A
- Secunia Advisory : SA27906
- SecurityFocus : 26663
- ISS X-Force Database : 38800
- SecurityTracker : 1019030
- FrSIRT Advisories : FrSIRT/ADV-2007-4060
|
|
- [2007年12月20日]
掲載
[2008年01月15日]
影響を受けるシステム:IBM (PK57952) の情報追加。
ベンダ情報:IBM (PK57952) 追加。
[2008年01月22日]
タイトル、概要、想定される影響を修正しました。
[2008年02月04日]
影響を受けるシステム:影響を受けるシステムのバージョンを更新しました。
ベンダ情報: Apache Software Foundation の情報を追加。
・Changes with Apache 2.0.62
・Changes with Apache 2.2.7
[2008年03月11日]
影響を受けるシステム:日立 (HS08-004) の情報追加。
ベンダ情報: 日立 (HS08-004) 追加。
[2008年03月24日]
影響を受けるシステム:アップル (Security Update 2008-002) の情報追加。
ベンダ情報:アップル (Security Update 2008-002) 追加。
ベンダ情報:IBM (7008517) 追加。
[2008年04月23日]
影響を受けるシステム:ミラクル・リナックス (1266) の情報追加。
ベンダ情報: ミラクル・リナックス (1266) 追加。
[2008年06月09日]
影響を受けるシステム:IBM(4019245)の情報を追加
ベンダ情報:IBM(4019245)を追加
ベンダ情報:IBM(PK65782)を追加
[2008年07月09日]
影響を受けるシステム:ターボリナックス(TLSA-2008-24) の情報を追加
ベンダ情報:ターボリナックス(TLSA-2008-24) を追加
[2009年01月26日]
影響を受けるシステム:富士通 (interstage_as_200807) の情報を追加
ベンダ情報:富士通 (interstage_as_200807) を追加
[2009年11月13日]
影響を受けるシステム:ヒューレット・パッカード (HPSBUX02465) の情報を追加
ベンダ情報:ヒューレット・パッカード (HPSBUX02465) を追加
[2010年12月20日]
ベンダ情報:ヒューレット・パッカード (HPSBUX02612) を追加
|
