JVNDB-2005-000727

[English]
JVNDB-2005-000727
mod_imap におけるクロスサイトスクリプティングの脆弱性
概要
Apache HTTP Server の「mod_imap」「mod_imagemap」は、サーバサイドイメージマップ処理を行うためのモジュールです。 mod_imap と mod_imagemap には、HTTP_REFERER の取り扱いが適切でないために、イメージマップ中の指定で referer を値として使用している場合、クロスサイトスクリプティングの脆弱性があります。本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCがベンダおよびCERT/CCとの調整を行いました。報告者: hoshikuzu star_dust 氏

CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 4.3 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 中攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): なし
影響を受けるシステム

Apache Software Foundation Apache HTTP Server 1.3.34 およびそれ以前 Apache HTTP Server 2.0.55 およびぞれ以前 Apache HTTP Server 2.2.0 IBM IBM HTTP Server 1.3.26.x IBM HTTP Server 1.3.28.x IBM HTTP Server 2.0.42.x IBM HTTP Server 2.0.47.x IBM HTTP Server 6.0.x アップル Apple Mac OS X v10.4.11 Apple Mac OS X Server v10.4.11 Apple Mac OS X Server v10.5.2 オラクル Oracle HTTP Server 10.1.3.5.0 サイバートラスト株式会社 Asianux Server 3.0 Asianux Server 3.0 (x86-64) Asianux Server 4.0 Asianux Server 4.0 (x86-64) サン・マイクロシステムズ Sun Solaris 8 (sparc) Sun Solaris 9 (sparc) Sun Solaris 10 (sparc) Sun Solaris 8 (x86) Sun Solaris 9 (x86) Sun Solaris 10 (x86) ターボリナックス Turbolinux 10_f Turbolinux Desktop 10 Turbolinux FUJI Turbolinux Multimedia Turbolinux Personal Turbolinux Server 10 Turbolinux Server 10 (x64) ターボリナックスホームヒューレット・パッカード HP-UX 11.00 HP-UX 11.04 HP-UX 11.11 HP-UX 11.23 レッドハット Red Hat Enterprise Linux 2.1 (as) Red Hat Enterprise Linux 3 (as) Red Hat Enterprise Linux 4 (as) Red Hat Enterprise Linux 2.1 (es) Red Hat Enterprise Linux 3 (es) Red Hat Enterprise Linux 4 (es) Red Hat Enterprise Linux 2.1 (ws) Red Hat Enterprise Linux 3 (ws) Red Hat Enterprise Linux 4 (ws) Red Hat Enterprise Linux Desktop 3.0 Red Hat Enterprise Linux Desktop 4.0 Red Hat Linux Advanced Workstation 2.1 日立 Cosminexus Application Server Enterprise Version 6 Cosminexus Application Server Standard Version 6 Cosminexus Application Server Version 5 Cosminexus Developer Light Version 6 Cosminexus Developer Professional Version 6 Cosminexus Developer Standard Version 6 Cosminexus Developer Version 5 Cosminexus Server - Enterprise Edition Cosminexus Server - Standard Edition Cosminexus Server - Standard Edition Version 4 Cosminexus Server - Web Edition Cosminexus Server - Web Edition Version 4 Hitachi Web Server Hitachi Web Server - Custom Edition Hitachi Web Server - Security Enhancement Hitachi Web Server for VOS3 uCosminexus Application Server Enterprise uCosminexus Application Server Smart Edition uCosminexus Application Server Standard uCosminexus Developer Professional uCosminexus Developer Light uCosminexus Developer Standard uCosminexus Service Architect uCosminexus Service Platform
本脆弱性の影響を受ける日立製品の詳細については、ベンダ情報 HS06-022 をご確認ください。
想定される影響
mod_imap または mod_imagemap が使用されているウェブページにアクセスしたユーザのブラウザ上で、悪意あるスクリプトを実行される可能性があります。
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
Apache Software Foundation Apache httpd 1.3 vulnerabilities : 1.3.35 Apache httpd 2.0 vulnerabilities : 2.0.58 Apache httpd 2.2 vulnerabilities : 2.2.2 Changes with Apache : 1.3.35 Changes with Apache : 2.0.58 Changes with Apache : 2.2.2 IBM IBM Support Document : PK16139 IBM Support Document : 4012511 IBM 重要セキュリティー情報 : IHS 1.3/2.0/6.0のmod_imapにおけるCross-Site Scriptingの脆弱性アップル Apple Security Updates : Security Update 2008-002 Apple Security Updates : Security Update 2008-003 Apple セキュリティアップデート : Security Update 2008-002 Apple セキュリティアップデート : Security Update 2008-003 オラクル Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - July 2013 Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - July 2013 Risk Matrices SECURITY BLOG : July 2013 Critical Patch Update Released サイバートラスト株式会社 MIRACLE LINUX アップデート情報 : httpd (V3.0/V4.0) サン・マイクロシステムズ Sun Alert Notification : 200627 Sun Alert Notification : 201079 ターボリナックス Turbolinux Security Advisory (英語) : TLSA-2006-1 製品セキュリティ情報 : TLSA-2006-1 ヒューレット・パッカード HP Security Bulletin : HPSBUX02145 HP Security Bulletin : HPSBUX02164 HP Security Bulletin : HPSBUX02172 HP セキュリティ報告 : HPSBUX02145 HP セキュリティ報告 : HPSBUX02164 HP セキュリティ報告 : HPSBUX02172 レッドハット Red Hat Security Advisory : RHSA-2006:0158 Red Hat Security Advisory : RHSA-2006:0159 レッドハットセキュリティーアップデート : RHSA-2006:0158 レッドハットセキュリティーアップデート : RHSA-2006:0159 日立 Hitachi Software Vulnerability Information : HS06-022 ソフトウェア製品セキュリティ情報 : HS06-022
CWEによる脆弱性タイプ一覧 CWEとは?

共通脆弱性識別子(CVE) CVEとは?
CVE-2005-3352
参考情報
JVN : JVN#06045169 JVN : JVNTA08-079A JVN : JVNTA08-150A JVN Status Tracking Notes : TRTA08-079A JVN Status Tracking Notes : TRTA08-150A National Vulnerability Database (NVD) : CVE-2005-3352 US-CERT Cyber Security Alerts : SA08-079A US-CERT Cyber Security Alerts : SA08-150A US-CERT Technical Cyber Security Alert : TA08-079A US-CERT Technical Cyber Security Alert : TA08-150A IPA セキュリティセンター : JVN_06045169 SecurityFocus : 15834
更新履歴
[2007年04月01日] 掲載 [2008年03月31日] 影響を受けるシステム：アップル (Security Update 2008-002) の情報追加。ベンダ情報：アップル (Security Update 2008-002) 追加。 [2008年06月17日] ベンダ情報：アップル (Security Update 2008-003) を追加 [2013年07月18日] 影響を受けるシステム：オラクル (Oracle Critical Patch Update Advisory - July 2013) の情報を追加ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - July 2013) を追加ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - July 2013 Risk Matrices) を追加ベンダ情報：オラクル (July 2013 Critical Patch Update Released) を追加 [2014年05月22日] 影響を受けるシステム：日立 (HS06-022) の情報を追加ベンダ情報：日立 (HS06-022) を追加


公表日	2005/12/12
登録日	2007/04/01
最終更新日	2014/05/22

mod_imap におけるクロスサイトスクリプティングの脆弱性