JVNDB-2007-000478

JVNDB-2007-000478
Apache HTTP Server の mod_status モジュールにおけるクロスサイトスクリプティングの脆弱性
概要
Apache HTTP Server の mod_status モジュールにはブラウザの文字コード処理に不備が存在するために ExtendedStatus を有効にしている場合、server-status ページ上でクロスサイトスクリプティングの脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 4.3 (警告) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 中攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): なし
影響を受けるシステム

Apache Software Foundation Apache HTTP Server 1.3.37 およびそれ以前 Apache HTTP Server 2.0.59 およびそれ以前 Apache HTTP Server 2.2.4 およびそれ以前 IBM IBM HTTP Server 6.0.2.23 未満のバージョン IBM HTTP Server 6.1.0.13 未満のバージョン IBM HTTP Server 2.0.47 IBM HTTP Server 1.3.28.1 オラクル Oracle HTTP Server 10.1.3.5.0 サン・マイクロシステムズ Sun Solaris 10 (sparc) Sun Solaris 10 (x86) Sun Solaris 8 (sparc) Sun Solaris 8 (x86) Sun Solaris 9 (sparc) Sun Solaris 9 (x86) ターボリナックス Turbolinux Appliance Server 2.0 Turbolinux FUJI Turbolinux Server 10 Turbolinux Server 10 (x64) ヒューレット・パッカード HP-UX 11.11 HP-UX 11.23 HP-UX 11.31 ミラクル・リナックス Asianux Server 2.0 Asianux Server 2.1 Asianux Server 4.0 Asianux Server 4.0 (x86-64) Asianux Server 3.0 Asianux Server 3.0 (x86-64) レッドハット Red Hat Enterprise Linux 5 (server) Red Hat Enterprise Linux 2.1 (as) Red Hat Enterprise Linux 2.1 (es) Red Hat Enterprise Linux 2.1 (ws) Red Hat Enterprise Linux 3 (as) Red Hat Enterprise Linux 4 (as) Red Hat Enterprise Linux 3 (es) Red Hat Enterprise Linux 4 (es) Red Hat Enterprise Linux 3 (ws) Red Hat Enterprise Linux 4 (ws) Red Hat Enterprise Linux Desktop 5.0 (client) Red Hat Enterprise Linux Desktop 3.0 Red Hat Enterprise Linux Desktop 4.0 Red Hat Linux Advanced Workstation 2.1 RHEL Desktop Workstation 5 (client) 日立 Cosminexus Application Server Enterprise Version 6 Cosminexus Application Server Standard Version 6 Cosminexus Application Server Version 5 Cosminexus Developer Light Version 6 Cosminexus Developer Professional Version 6 Cosminexus Developer Standard Version 6 Cosminexus Developer Version 5 Cosminexus Server - Enterprise Edition Cosminexus Server - Standard Edition Cosminexus Server - Standard Edition Version 4 Cosminexus Server - Web Edition Cosminexus Server - Web Edition Version 4 Hitachi Web Server uCosminexus Application Server Enterprise uCosminexus Application Server Standard uCosminexus Developer Professional uCosminexus Developer Light uCosminexus Developer Standard uCosminexus Service Architect uCosminexus Service Platform 富士通 Interstage Application Framework Suite Interstage Application Server Interstage Apworks Interstage Business Application Server Interstage Job Workload Server Interstage Studio Interstage Web Server Systemwalker Resource Coordinator
本脆弱性の影響を受ける日立製品の詳細については、ベンダ情報 HS07-035 をご確認ください。本脆弱性の影響を受ける富士通製品の詳細については、ベンダ情報 interstage_as_200802 をご確認ください。
想定される影響
ユーザのブラウザ上で任意のコードを実行される可能性があります。
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
Apache Software Foundation Apache httpd 1.3 vulnerabilities : Fixed in Apache httpd 1.3.39-dev Apache httpd 2.0 vulnerabilities : Fixed in Apache httpd 2.0.61-dev Apache httpd 2.2 vulnerabilities : Fixed in Apache httpd 2.2.6-dev Apache-SVN : Revision 549159 IBM IBM Support Document : PK49295 IBM Support Document : 4017141 IBM Support Document : PK55141 IBM Support Document : 4017303 IBM Support Document : Fix Pack 13 (6.1.0.13) オラクル Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - July 2013 Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - July 2013 Risk Matrices SECURITY BLOG : July 2013 Critical Patch Update Released サン・マイクロシステムズ Sun Alert Notification : 103179 ターボリナックス Turbolinux Security Advisory (英語) : TLSA-2007-41 製品セキュリティ情報 : TLSA-2007-41 ヒューレット・パッカード HP Security Bulletin : HPSBUX02262 HP セキュリティ報告 : HPSBUX02262 ミラクル・リナックス MIRACLE LINUX アップデート情報 : httpd (V4.0) MIRACLE LINUX アップデート情報 : httpd (V2.x) MIRACLE LINUX アップデート情報 : httpd (V3.0) レッドハット Red Hat Bugzilla : 245112 Red Hat Security Advisory : RHSA-2007:0532 Red Hat Security Advisory : RHSA-2007:0556 Red Hat Security Advisory : RHSA-2007:0533 Red Hat Security Advisory : RHSA-2007:0534 レッドハットセキュリティーアップデート : RHSA-2007:0532 レッドハットセキュリティーアップデート : RHSA-2007:0556 レッドハットセキュリティーアップデート : RHSA-2007:0533 レッドハットセキュリティーアップデート : RHSA-2007:0534 日立 Hitachi Software Vulnerability Information : HS07-035 ソフトウェア製品セキュリティ情報 : HS07-035 富士通富士通セキュリティ情報 : interstage_as_200802
CWEによる脆弱性タイプ一覧 CWEとは?

共通脆弱性識別子(CVE) CVEとは?
CVE-2006-5752
参考情報
National Vulnerability Database (NVD) : CVE-2006-5752 Secunia Advisory : SA26458 SecurityFocus : 24645
更新履歴
[2007年07月02日] 掲載 [2007年07月06日] 影響を受けるシステムを更新しました。ベンダ情報：ミラクル・リナックスの情報を追加しました。 [2007年07月25日] 影響を受けるシステムを更新ベンダ情報：ミラクル・リナックス (httpd (V3.0)) の情報を追加 [2007年08月08日] 影響を受けるシステム:Apache Software Foundation を更新ベンダ情報：Apache Software Foundation の情報を追加・Fixed in Apache httpd 1.3.38-dev ・Fixed in Apache httpd 2.0.60-dev ・Fixed in Apache httpd 2.2.5-dev [2007年08月10日] 影響を受けるシステム：ターボリナックス (TLSA-2007-41) の情報を追加ベンダ情報：ターボリナックス (TLSA-2007-41) を追加 [2007年08月23日] 影響を受けるシステム：IBM (PK49295) の情報を追加ベンダ情報：IBM (PK49295) を追加 [2007年09月03日] ベンダ情報：Apache Software Foundation の情報を追加・Fixed in Apache httpd 1.3.39-dev 　・Fixed in Apache httpd 2.0.61-dev 　・Fixed in Apache httpd 2.2.6-dev [2007年10月11日] 影響を受けるシステム：IBM (4017141) の情報を追加ベンダ情報：IBM (4017141) を追加 [2007年10月12日] 影響を受けるシステム：ヒューレット・パッカード (HPSBUX02262) の情報を追加ベンダ情報：ヒューレット・パッカード (HPSBUX02262) を追加 [2007年12月05日] 影響を受けるシステム：IBM (PK55141) の情報を追加ベンダ情報：IBM (PK55141) を追加 [2008年01月15日] 影響を受けるシステム：サン・マイクロシステムズ (103179) の情報を追加ベンダ情報：サン・マイクロシステムズ (103179) を追加 [2009年02月09日] 影響を受けるシステム：富士通 (interstage_as_200802) の情報を追加ベンダ情報：富士通 (interstage_as_200802) を追加 [2013年07月18日] 影響を受けるシステム：オラクル (Oracle Critical Patch Update Advisory - July 2013) の情報を追加ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - July 2013) を追加ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - July 2013 Risk Matrices ) を追加ベンダ情報：オラクル (July 2013 Critical Patch Update Released) を追加 [2014年05月21日] 影響を受けるシステム：日立 (HS07-035) の情報を追加ベンダ情報：日立 (HS07-035) を追加


公表日	2007/06/26
登録日	2007/07/02
最終更新日	2014/05/21

Apache HTTP Server の mod_status モジュールにおけるクロスサイトスクリプティングの脆弱性