JVNDB-2013-004655
|
JavaServer Faces に複数の脆弱性
|
|
Oracle が提供する JavaServer Faces には、複数の脆弱性が存在します。
Oracle が提供する JavaServer Faces は、Oracle Fusion Middleware に含まれる Oracle GlassFish Server コンポーネント、Oracle JDeveloper コンポーネント、Oracle WebLogic Server コンポーネントなどで使用されています。
JavaServer Faces には、Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') (CWE-22) や Incorrect Control Flow Scoping (CWE-705) などの脆弱性が存在します。
CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')
http://cwe.mitre.org/data/definitions/22.html
CWE-705: Incorrect Control Flow Scoping
http://cwe.mitre.org/data/definitions/705.html
|
|
CVSS v2 による深刻度
基本値: 5.0 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): なし
- 可用性への影響(A): なし
|
|
|
オラクル
- Oracle Fusion Middleware の Oracle JDeveloper 11.1.2.3.0
- Oracle Fusion Middleware の Oracle JDeveloper 11.1.2.4.0
- Oracle Fusion Middleware の Oracle JDeveloper 12.1.2.0.0
- Oracle GlassFish Server 2.1.1
- Oracle GlassFish Server 3.0.1
- Oracle GlassFish Server 3.1.2
- Oracle WebLogic Server 10.3.6.0
- Oracle WebLogic Server 12.1.1.0
|
|
|
第三者により、情報を取得される可能性があります。
|
|
[アップデートする]
Oracle は、本脆弱性を Oracle Critical Patch Update Advisory - October 2013 で修正しています。
本脆弱性の影響を受けるアプリケーションを使用している場合、各開発者が提供する情報をもとに、対策版へアップデートしてください。
[ワークアラウンドを実施する]
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
* アクセスを制限する
|
|
オラクル
レッドハット
日立
|
|
- 情報不足(CWE-noinfo) [NVD評価]
|
|
- CVE-2013-3827
|
|
- JVN : JVNVU#95955023
- National Vulnerability Database (NVD) : CVE-2013-3827
- US-CERT Vulnerability Note : VU#526012
|
|
- [2013年10月17日]
掲載
[2013年10月23日]
タイトル:内容を更新
概要:内容を更新
対策:内容を更新
ベンダ情報:オラクル (JavaServer Faces Technology) を追加
参考情報:JVN (JVNVU#95955023) を追加
参考情報:US-CERT Vulnerability Note (VU#526012) を追加
[2015年08月06日]
ベンダ情報:レッドハット (RHSA-2014:0029) を追加
- [2019年07月16日]
ベンダ情報:日立 (hitachi-sec-2019-114) を追加
|
