【活用ガイド】

[English]

JVNDB-2005-000804

Tomcat におけるリクエスト処理に関する脆弱性

概要

Java Servlet と JavaServer Pages のサーバ実装である Apache Tomcat には、特定のリクエストが適切に処理されない脆弱性が存在します。

Apache Tomcat を Web サーバと連携させる際に AJP 1.3 Connector 以外のコネクタを使用することで、本脆弱性の影響を回避できます。Apache Tomcat では、他のコネクタとして Coyote JK Connector や Coyote HTTP/1.1 Connector などが使用可能です。

本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCがベンダおよびCERT/CCとの調整を行いました。
報告者: HIRT (Hitachi Incident Response Team)

CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 2.6 (注意) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 高
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): なし
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): なし
影響を受けるシステム


Apache Software Foundation
  • Apache Tomcat 4.0.6 およびそれ以前
  • Apache Tomcat 4.1.36 およびそれ以前
アップル
  • Apple Mac OS X v10.4.11
  • Apple Mac OS X Server v10.4.11
サン・マイクロシステムズ
  • Sun Solaris 10 (sparc) 
  • Sun Solaris 10 (x86) 
  • Sun Solaris 9 (sparc) 
  • Sun Solaris 9 (x86) 
ミラクル・リナックス
  • Asianux Server 2.0 
  • Asianux Server 2.1 
日本電気
  • WebOTX Application Server Ver.4.2
  • WebOTX Application Server Ver.5.1 から 5.3
  • WebSAM SystemManager R2.x
  • Spectral Wave Manager シリーズ for MG シリーズ
  • Spectral Wave Manager シリーズ U-Node用 Network Element Manager
  • Spectral Wave Manager シリーズ HLS 2.4G用 NE-OpS
日立
  • Cosminexus Application Server Version5
  • Cosminexus Application Server Standard Version6
  • Cosminexus Application Server Enterprise Version6
  • Cosminexus Developer Version5
  • Cosminexus Developer Light Version6
  • Cosminexus Developer Standard Version6
  • Cosminexus Developer Professional Version6
  • Cosminexus Primary Server Base Version5
  • Cosminexus Primary Server Version6
  • Cosminexus Primary Server Base Version6
  • Embedded Cosminexus Server Version5
  • Embedded Cosminexus Server Base Version5
富士通
  • Campusmate/Portal
  • Internet Navigware Server
  • Interstage Application Framework Suite
  • Interstage Application Server
  • Interstage Business Application Server
  • Interstage Job Workload Server
  • Interstage List Manager
  • 行政文書管理システム for WEB
  • 総合文書管理システム for WEB

想定される影響

他のユーザの情報を利用した不正なリクエスト処理を実行されたり、他のユーザの情報を参照される可能性があります。
対策

The Apache Software Foundation は AJP 1.3 Connector を現状サポートしておらず、代わりに Coyote JK Connector を使用することを推奨しています。また、Tocamt 4.x から 5.x へのアップグレードについても推奨しています。

なお、独立行政法人情報処理推進機構(IPA) では、構成変更等の対処が早急にできない環境において本脆弱性を回避できるよう、「Tomcat」4.1.31 の AJP 1.3 Connector (org.apache.ajp.tomcat4.Ajp13Connector) の問題を修正した修正プログラムを作成しました。 下記の参考情報のリンクから入手が可能です。
ベンダ情報

Apache Software Foundation アップル サン・マイクロシステムズ
  • Sun Alert Notification : 239312
ミラクル・リナックス 日本電気
  • NEC製品セキュリティ情報 : NV05-028
日立
  • Hitachi Software Vulnerability Information : HS05-019
  • ソフトウェア製品セキュリティ情報 : HS05-019
富士通
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 情報漏えい(CWE-200) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2005-3164
参考情報

  1. JVN : JVN#79314822
  2. National Vulnerability Database (NVD) : CVE-2005-3164
  3. IPA セキュリティセンター : JVN_79314822
  4. IPA セキュリティセンター : IPA による AJP 1.3 Connector 修正プログラム
  5. Secunia Advisory : SA17019
  6. SecurityFocus : 15003
更新履歴

  • [2007年04月01日]
      掲載
    [2007年05月25日]
      影響を受けるシステムを更新しました。
      ベンダ情報: Apache Software Foundation の情報を追加しました。
    [2008年03月31日]
      影響を受けるシステム:ミラクル・リナックス (tomcat4 (V2.x)) の情報追加
      ベンダ情報: ミラクル・リナックス (tomcat4 (V2.x)) 追加
    [2008年07月04日]
      影響を受けるシステム:アップル(Security Update 2008-004) の情報を追加
      影響を受けるシステム:サン・マイクロシステムズ(239312) の情報を追加
      ベンダ情報:アップル(Security Update 2008-004) を追加
      ベンダ情報:サン・マイクロシステムズ(239312) を追加
    [2008年07月07日]
      影響を受けるシステム:富士通(JVN#79314822) の情報を追加
      ベンダ情報:富士通(JVN#79314822) を追加