JVNDB-2007-000457

Apache Tomcat におけるクロスサイトスクリプティングの脆弱性

The Apache Software Foundation が提供する Apache Tomcat には、クロスサイトスクリプティングの脆弱性が存在します。

The Apache Software Foundation が提供する Apache Tomcat は、Java Servlet と JavaServer Pages のサーバ実装です。 Apache Tomcat の Web Application Manager には、クロスサイトスクリプティングの脆弱性が存在します。

Apache Software Foundation

• Apache Tomcat 4.0.1 から 4.0.6
• Apache Tomcat 4.1.0 から 4.1.36
• Apache Tomcat 5.0.0 から 5.0.30
• Apache Tomcat 5.5.0 から 5.5.24
• Apache Tomcat 6.0.0 から 6.0.13

サン・マイクロシステムズ

• Sun Solaris 10 (sparc) 
• Sun Solaris 10 (x86) 
• Sun Solaris 9 (sparc) 
• Sun Solaris 9 (x86) 

ヒューレット・パッカード

• HP-UX 11.11 
• HP-UX 11.23 
• HP-UX 11.31 

ミラクル・リナックス

• Asianux Server 2.0 
• Asianux Server 2.1 

レッドハット

• Red Hat Enterprise Linux 5 (server) 
• Red Hat Enterprise Linux Desktop 5.0 (client) 
• RHEL Desktop Workstation 5 (client) 

Apache Tomcat の Web Application Manager にログインしているユーザのブラウザ上で、任意のスクリプトを実行される可能性があります。

2007年8月9日、開発者より Apache Tomcat 6.0.14 が公開されました。
Apache Tomcat 6.0.x をお使いの場合は、開発者が提供している情報を元に Apache Tomcat 6.0.14 へアップデートしてください。

この問題は、Web Application Manager での作業終了の度にログアウトする（ブラウザを閉じる）ことで緩和されます。
Apache Tomcat 5.x および Apache Tomcat 4.x をお使いの場合は、現在開発者による最新版が提供されていないため、ワークアラウンドを実施してください。

Apache Software Foundation

• Apache Tomcat : Fixed in Apache Tomcat 5.5.25, 5.0.SVN
• Apache Tomcat : Fixed in Apache Tomcat 6.0.14
• Apache Tomcat : Security Updates
• Apache Tomcat : Apache Tomcat 6.0.14
• Apache Tomcat : Fixed in Apache Tomcat 4.1.37

サン・マイクロシステムズ

• Sun Alert Notification : 239312

ヒューレット・パッカード

• HP Security Bulletin : HPSBUX02262
• HP セキュリティ報告 : HPSBUX02262

ミラクル・リナックス

• MIRACLE LINUX アップデート情報 : tomcat4 (V2.x)

レッドハット

• Red Hat Security Advisory : RHSA-2007:0569
• レッドハット セキュリティーアップデート : RHSA-2007:0569

1. クロスサイトスクリプティング(CWE-79) [NVD評価]

1. CVE-2007-2450

1. JVN : JVN#07100457
2. National Vulnerability Database (NVD) : CVE-2007-2450
3. IPA セキュリティセンター : JVN_07100457
4. Secunia Advisory : SA25678
5. SecurityFocus : 24475
6. ISS X-Force Database : 34868
7. SecurityTracker : 1018245
8. FrSIRT Advisories : FrSIRT/ADV-2007-2213

• [2007年06月25日]
    掲載
  [2007年07月25日]
    影響を受けるシステムを更新しました。
    ベンダ情報：レッドハットの情報を追加しました。
  [2007年08月27日]
    対策：対策方法の記述を更新しました。
  [2007年10月12日]
    影響を受けるシステム：ヒューレット・パッカード (HPSBUX02262) の情報追加。
    ベンダ情報：ヒューレット・パッカード (HPSBUX02262) 追加。
  [2008年03月31日]
    影響を受けるシステム：ミラクル・リナックス (tomcat4 (V2.x)) の情報追加。
    ベンダ情報：ミラクル・リナックス (tomcat4 (V2.x)) 追加。
  [2008年07月11日]
    影響を受けるシステム：サン・マイクロシステムズ(239312) の情報を追加
    ベンダ情報：サン・マイクロシステムズ(239312) を追加