JVNDB-2009-001737

Apache Tomcat における Web アプリケーションに関連するファイルを読まれる脆弱性

Apache Tomcat には、Web アプリケーションが他の Web アプリケーションに対する XML パーサを置き換えることを許可するため、任意の Web アプリケーションの web.xml、context.xml、tld ファイルを読まれる、または改ざんされる脆弱性が存在します。

Apache Software Foundation

• Apache Tomcat 4.1.0 から 4.1.39
• Apache Tomcat 5.5.0 から 5.5.27
• Apache Tomcat 6.0.0 から 6.0.18

VMware

• VMware ESX 4.0
• VMware ESX 3.5
• VMware ESX 3.0.3
• VMware Server 2.x
• VMware vCenter 4.0
• VMware VirtualCenter 2.5
• VMware VirtualCenter 2.0.2

アップル

• Apple Mac OS X Server v10.5.8
• Apple Mac OS X Server v10.6 から v10.6.2

サイバートラスト株式会社

• Asianux Server 3 (x86) 
• Asianux Server 3 (x86-64) 
• Asianux Server 2.0 
• Asianux Server 2.1 

サン・マイクロシステムズ

• OpenSolaris (sparc) 
• OpenSolaris (x86) 
• Sun Solaris 10 (sparc) 
• Sun Solaris 10 (x86) 
• Sun Solaris 9 (sparc) 
• Sun Solaris 9 (x86) 

ヒューレット・パッカード

• HP-UX Tomcat-based Servlet Engine
• HP-UX 11.11 
• HP-UX 11.23 
• HP-UX 11.31 

レッドハット

• Red Hat Enterprise Linux 5 (server) 
• Red Hat Enterprise Linux Desktop 5.0 (client) 
• Red Hat Enterprise Linux EUS 5.3.z (server) 
• RHEL Desktop Workstation 5 (client) 

ローカルユーザによる目的のアプリケーションよりも先にロードされるよう巧妙に細工されたアプリケーションにより、ファイルを読まれる、または改ざんされる可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Apache Software Foundation

• Apache Tomcat : Fixed in Apache Tomcat 4.1.40
• Apache Tomcat : Fixed in Apache Tomcat 5.5.SVN
• Apache Tomcat : Fixed in Apache Tomcat 6.0.20

VMware

• VMware Security Advisories : VMSA-2009-0016

アップル

• Apple Security Updates : HT4077
• Apple セキュリティアップデート : HT4077

オラクル

• SECURITY BLOG : Multiple vulnerabilities in Oracle Java Web Console

サイバートラスト株式会社

• Asianux Technical Support Network : tomcat5-5.5.23-0jpp.7.2.1AXS3
• MIRACLE LINUX アップデート情報 : 1794

サン・マイクロシステムズ

• Sun Alert Notification : 263529

ヒューレット・パッカード

• Hewlett Packard : HPUXWSATW313
• HP Security Bulletin : HPSBUX02466
• HP Security Bulletin : HPSBUX02579

レッドハット

• Red Hat Security Advisory : RHSA-2009:1164
• レッドハット セキュリティーアップデート : RHSA-2009:1164

1. 情報漏えい(CWE-200) [NVD評価]

1. CVE-2009-0783

1. National Vulnerability Database (NVD) : CVE-2009-0783
2. Secunia Advisory : SA35344
3. Secunia Advisory : SA35326
4. SecurityFocus : 35416
5. ISS X-Force Database : 51195
6. SecurityTracker : 1022336

• [2009年07月10日]
    掲載
  [2009年08月11日]
    影響を受けるシステム：サン・マイクロシステムズ (263529) の情報を追加
    影響を受けるシステム：レッドハット (RHSA-2009:1164) の情報を追加
    ベンダ情報：サン・マイクロシステムズ (263529) を追加
    ベンダ情報：レッドハット (RHSA-2009:1164) を追加
  [2009年10月08日]
    影響を受けるシステム：ミラクル・リナックス (tomcat5-5.5.23-0jpp.7.2.1AXS3) の情報を追加
    影響を受けるシステム：ミラクル・リナックス (1794) の情報を追加
    ベンダ情報：ミラクル・リナックス (tomcat5-5.5.23-0jpp.7.2.1AXS3) を追加
    ベンダ情報：ミラクル・リナックス (1794) を追加
  [2009年11月13日]
    影響を受けるシステム：ヒューレット・パッカード (HPSBUX02466) の情報を追加
    ベンダ情報：ヒューレット・パッカード (HPSBUX02466) を追加
  [2010年01月05日]
    影響を受けるシステム：VMware (VMSA-2009-0016) の情報を追加
    ベンダ情報：VMware (VMSA-2009-0016) を追加
  [2010年04月23日]
    影響を受けるシステム：アップル (HT4077) の情報を追加
    ベンダ情報：アップル (HT4077) を追加
  [2010年12月13日]
    影響を受けるシステム：ヒューレット・パッカード (HPUXWSATW313) の情報を追加
    影響を受けるシステム：ヒューレット・パッカード (HPSBUX02579) の情報を追加
    ベンダ情報：ヒューレット・パッカード (HPUXWSATW313) を追加
    ベンダ情報：ヒューレット・パッカード (HPSBUX02579) を追加
  [2012年09月28日]
    ベンダ情報：オラクル (Multiple vulnerabilities in Oracle Java Web Console) を追加