|
[English]
|
JVNDB-2009-000010
|
Apache Tomcat における情報漏えいの脆弱性
|
|
The Apache Software Foundation が提供する Apache Tomcat には、情報漏えいの脆弱性が存在します。
The Apache Software Foundation が提供する Apache Tomcat は、Java Servlet と JavaServer Pages のサーバ実装です。
Apache Tomcat には、POST リクエストされたデータの内容が漏えいする脆弱性が存在します。
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC がベンダとの調整を行いました。
報告者:富士通株式会社 ソフトウェア事業本部 アプリケーションマネジメント・ミドルウェア事業部 第二開発部 鈴木 雄一郎 氏、飯田 峰彦 氏
|
|
|
CVSS v2 による深刻度
基本値: 2.6 (注意) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 高
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): なし
- 可用性への影響(A): なし
|
|
|
Apache Software Foundation
- Apache Tomcat 4.1.32 から 4.1.34 まで
- Apache Tomcat 5.5.10 から 5.5.20 まで
富士通
- Interstage Application Server
- Interstage Business Application Server
- Interstage Studio
- Interstage Web Server
|
|
|
遠隔の第三者によって、別のユーザのリクエストデータに含まれるパスワード、セッション ID、ユーザ ID 等の情報が漏えいする可能性があります。
開発者によると、現在サポート対象外となっている Apache Tomcat 3.x、4.0.x、および5.0.x も、本脆弱性の影響を受ける可能性があることが報告されています。
一方、Apache Tomcat 6.0.x は影響を受けないことが確認されています。
詳しくは開発者が提供する情報をご確認ください。
|
|
[アップデートする]
開発者が提供する情報をもとに最新版へアップデートしてください。
対策済みバージョンは以下の通りです:
* Apache Tomcat 4.1.35 およびそれ以降
* Apache Tomcat 5.5.21 およびそれ以降
* Apache Tomcat 6.0.0 およびそれ以降
詳しくは開発者が提供する情報をご確認ください。
|
|
Apache Software Foundation
富士通
|
|
- 情報漏えい(CWE-200) [IPA評価]
|
|
- CVE-2008-4308
|
|
- JVN : JVN#66905322
- National Vulnerability Database (NVD) : CVE-2008-4308
- Secunia Advisory : SA34057
- SecurityFocus : 33913
- VUPEN Security : VUPEN/ADV-2009-0541
- JVN iPedia (English) : JVNDB-2009-000010
|
|
|
