【活用ガイド】

[English]

JVNDB-2007-000456

Apache Tomcat 付属のサンプルプログラムにおけるクロスサイトスクリプティングの脆弱性

概要

The Apache Software Foundation が提供する Apache Tomcat 付属のサンプルプログラムには、クロスサイトスクリプティングの脆弱性が存在します。

The Apache Software Foundation が提供する Apache Tomcat は、Java Servlet と JavaServer Pages のサーバ実装です。
Apache Tomcat 付属のサンプルプログラムである jsp-examples にはクロスサイトスクリプティングの脆弱性が存在します。

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC がベンダとの調整を行いました。
報告者:株式会社ユービーセキュア 杉山 俊春 氏

CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 4.3 (警告) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): なし
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): なし
影響を受けるシステム


Apache Software Foundation
  • Apache Tomcat 4.0.0 から 4.0.6
  • Apache Tomcat 4.1.0 から 4.1.36
  • Apache Tomcat 5.0.0 から 5.0.30
  • Apache Tomcat 5.5.0 から 5.5.24
  • Apache Tomcat 6.0.0 から 6.0.13
アップル
  • Apple Mac OS X v10.4.11
  • Apple Mac OS X Server v10.4.11
ヒューレット・パッカード
  • HP-UX 11.11 
  • HP-UX 11.23 
  • HP-UX 11.31 
ミラクル・リナックス
  • Asianux Server 2.0 
  • Asianux Server 2.1 
レッドハット
  • Red Hat Enterprise Linux 5 (server) 
  • Red Hat Enterprise Linux Desktop 5.0 (client) 
  • RHEL Desktop Workstation 5 (client) 

想定される影響

ユーザのブラウザ上で任意のスクリプトを実行される可能性があります。
対策

2007年8月9日、開発者より Apache Tomcat 6.0.14 が公開されました。
Apache Tomcat 6.0.x をお使いの場合は、開発者が提供している情報を元に Apache Tomcat 6.0.14 へアップデートしてください。

付属のサンプルプログラムをインストールしない。
Apache Tomcat 5.x および Apache Tomcat 4.x をお使いの場合は、現在開発者による最新版が提供されていないため、ワークアラウンドを実施してください。
ベンダ情報

Apache Software Foundation アップル ヒューレット・パッカード ミラクル・リナックス レッドハット
CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2007-2449
参考情報

  1. JVN : JVN#64851600
  2. National Vulnerability Database (NVD) : CVE-2007-2449
  3. IPA セキュリティセンター : JVN_64851600
  4. SecurityFocus : 24476
  5. SecurityTracker : 1018245
  6. FrSIRT Advisories : FrSIRT/ADV-2007-2213
更新履歴

  • [2007年06月25日]
      掲載
    [2007年07月25日]
      影響を受けるシステムを更新しました。
      ベンダ情報: レッドハットの情報を追加しました。
    [2007年08月27日]
      対策:対策方法の記述を更新しました。
    [2007年10月12日]
      影響を受けるシステム:ヒューレット・パッカード (HPSBUX02262) の情報追加。
      ベンダ情報: ヒューレット・パッカード (HPSBUX02262) 追加。
    [2007年10月18日]
      概要に謝辞を掲載しました。
    [2008年03月31日]
      影響を受けるシステム:ミラクル・リナックス (tomcat4 (V2.x)) の情報追加。
      ベンダ情報:ミラクル・リナックス (tomcat4 (V2.x)) 追加。
    [2008年07月11日]
      影響を受けるシステム:アップル (Security Update 2008-004) の情報を追加
      ベンダ情報:アップル (Security Update 2008-004) を追加