Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

Apache Tomcat における情報漏えいの脆弱性

掲載番号:NV09-008
脆弱性情報識別番号:IPA#63832775

概要

Apache Tomcatには、特定のメソッドを利用したアプリケーションにおいて、WEB-INFディレクトリ配下の情報が漏えいする脆弱性が存在します。

対象製品

InfoFrame DocumentSkipper

影響の有無

影響あり

対象となる製品のバージョン


対象製品 同封コンポーネント
DocumentSkipper Ver3.0~Ver3.2 Tomcat 5.0.28
DocumentSkipper/PC Ver4.0 Tomcat 5.0.28
DocumentSkipper/Mobile Ver4.0 Tomcat 5.0.28
InfoFrame DocumentSkipper/PC V4.1 Tomcat 5.0.28
InfoFrame DocumentSkipper/Mobile V4.1 Tomcat 5.0.28
InfoFrame DocumentSkipper V5.1 Tomcat 6.0.16
InfoFrame DocumentSkipper Mobile V5.1 Tomcat 6.0.16

対処方法

[対策]
Apache Tomcat、DocumentSkipper関連モジュールをアップデートする必要があります。
詳細につきましては弊社営業にお問合せください。

MCOne

影響の有無

影響あり

対象となる製品のバージョン

  • MCOne V4.9.x

 

MCOne V4.9のMCOneサーバではApache Tomcat 5.5.20を利用しており、本脆弱性を内在させています。

ただし、MCOneサーバはMCOne内部の制御のみに利用しており、また、MCOneサーバ上で動作させるMCOneが提供するWebアプリケーションは本脆弱性の影響を受けるメソッドは利用していないため、通常の利用範囲においては影響がありません。

尚、MCOne V4.9.x以外のバージョンでは本脆弱性の影響はありません。


対処方法

[対策]
下記いずれかの対処を行ってください。
(1) MCOneサーバ上では、MCOneが提供するWebアプリケーション以外を稼動させないでください。
(2) MCOneサーバを外部ネットワークに公開しないでください。

WebOTX

影響の有無

影響あり

対象となる製品のバージョン

  • WebOTX Web Edition V6.x
  • WebOTX Standard-J Edition V6.x
  • WebOTX Standard Edition V6.x
  • WebOTX Enterprise Edition V6.x
  • WebOTX Application Server Web Edition V7.x~V8.1
  • WebOTX Application Server Standard-J Edition V7.x~V8.1
  • WebOTX Application Server Standard Edition V7.x~V8.1
  • WebOTX Application Server Enterprise Edition V7.x~V8.1
  • WebOTX UDDI Registry V1.1~V7.1
  • WebOTX 開発環境 V6.x
  • WebOTX Developer V7.x~V8.1
  • WebOTX Enterprise Service Bus V6.4~V7.x
  • WebOTX SIP Application Server Standard Edition V7.x~V8.1

対処方法

[対策]
別途パッチを用意しております。詳細につきましては弊社営業にお問合せください

WebSAM SECUREMASTER

影響の有無

影響あり

対象となる製品のバージョン

  • SECUREMASTER/MB V4.x
  • SECUREMASTER/ACS V5.0x

対処方法

[対策]
脆弱性へ対処するためにはTomcat6.0.20以降へのバージョンアップが必要となります。
※4.1系、5.5系は2009年6月9日時点で脆弱性対処されたバージョンがございません。

現在、SECUREMASTER/ACSの媒体に添付しているマニュアルにはポータル機能利用時にTomcat6.0.18のご利用を案内しておりますが、この度の脆弱性情報の公開に伴い、Tomcat6.0.20上でのポータル機能のご利用を保証すると同時に推奨いたします。

参考情報

InfoFrame DocumentSkipper-Apache Tomcat、JDKの脆弱性に関する情報:
http://www.nec.co.jp/pfsoft/documentskipper/documentskipper_apache.html

WebOTX Web コンテナ:Apache Tomcatにおいて特定ディレクトリ配下の内部情報が漏えいする脆弱性について:
http://www.nec.co.jp/WebOTX/module/webinf_090915.html

Japan Vulnerability Notes JVN#63832775:
Apache Tomcat における情報漏えいの脆弱性
http://jvn.jp/jp/JVN63832775/index.html

CVE CVE-2008-5515:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5515

更新情報

2016/10/31
ページをリニューアル。
WebOTX を登録しました。
2010/04/25
InfoFrame DocumentSkipper、MCOne を登録しました。
2010/01/27
WebSAM SECUREMASTER を登録しました。
2009/07/08
新規登録しました。