Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

Apache TomcatのHTTP Digest Access Authenticationに複数の脆弱性

掲載番号:NV14-008
脆弱性情報識別番号:CVE-2011-5062, CVE-2011-5063, CVE-2011-5064

概要

Apache TomcatのHTTP Digest Access Authentication実装には複数の脆弱性があります。
  • CVE-2011-5062
Apache TomcatのHTTP Digest Access Authentication実装にはqop値をチェックしないため、
完全性保護の要求を回避される脆弱性があります。
攻撃者によってqop値(qop=auth)を介して、完全性保護の要求を回避される可能性があります。

  • CVE-2011-5063
Apache TomcatのHTTP Digest Access Authentication実装にはrealm値をチェックしないため、
アクセス制限を回避される脆弱性が存在します。
攻撃者によって、より弱い認証または許可要件を持つ保護スペースを利用することで、
アクセス制限を回避される可能性があります。

  • CVE-2011-5064
Apache TomcatはDigestAuthenticator.javaにサーバの秘密鍵として文字列"Catalina"を
ハードコーディングしているため、暗号保護機構を回避される脆弱性が存在します。
攻撃者によって、脆弱な文字列に関する知識を利用することで、暗号保護機構を
回避される可能性があります。

対象製品

InfoCage PCセキュリティ

影響の有無

影響あり

  • InfoCage PCセキュリティはダイジェスト通信を使用していませんが、Apache Tomcatの脆弱性を利用してサーバが攻撃される可能性があります。

対象となる製品のバージョン

次の条件に該当するInfoCage PCセキュリティ
  • InfoCage PCセキュリティ:V1.44以前
  • ログサーバ:1.40.0105 以前
  • Apache Tomcat:6.0.32 以前

対処方法

[対策]
InfoCage PCセキュリティV1.50にバージョンアップしてください。
  • ログサーバのバージョンアップにより、Apache Tomcatが対処済みバージョン(Apache Tomcat:6.0.35)へ更新されます。
  • InfoCage PCセキュリティ ログサーバ機能以外でインストールしたApache Tomcatを利用している場合は、事前に弊社営業を通じて、ご相談ください。

InfoCage PCセキュリティ - 重要なお知らせ

WebOTX

影響の有無

影響あり

対象となる製品のバージョン

  • WebOTX Web Edition V4.1~V5.3
  • WebOTX Standard-J Edition V4.1~V5.3
  • WebOTX Standard Edition V4.1~V5.3
  • WebOTX Enterprise Edition V4.1~V5.3
  • WebOTX UDDI Registry V7.1
  • WebOTX Developer V7.1~V8.4
  • WebOTX Application Server Web Edition V7.1~V8.1
  • WebOTX Application Server Standard-J Edition V7.1~V8.1
  • WebOTX Application Server Standard Edition V7.1~V8.1
  • WebOTX Application Server Enterprise Edition V7.1~V8.1
  • WebOTX Application Server Express V8.2~V8.4
  • WebOTX Application Server Foundation V8.2~V8.4
  • WebOTX Application Server Standard V8.2~V8.4
  • WebOTX Application Server Enterprise V8.2~V8.4
  • WebOTX Enterprise Service Bus V7.1~V8.4
  • WebOTX SIP Application Server Standard Edition V7.1~V8.1
  • WebOTX Portal V8.2~V8.3

対処方法

[対策]
次のバージョンのパッチモジュールで対応完了しています。

  • WebOTX Application Server V8.22
  • WebOTX Application Server V8.41

パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。

参考情報

JVN iPedia JVNDB-2012-001062:
Apache Tomcat の HTTP Digest Access Authentication 実装における完全性保護の要求を回避される脆弱性

JVN iPedia JVNDB-2012-001063:
Apache Tomcat の HTTP Digest Access Authentication 実装におけるアクセス制限を回避される脆弱性

JVN iPedia JVNDB-2012-001064:
Apache Tomcat の DigestAuthenticator.java における暗号保護機構を回避される脆弱性

CVE-2011-5062, CVE-2011-5063, CVE-2011-5064:

更新情報

2016/07/08
WebOTXを登録しました。
2014/12/09
InfoCage PCセキュリティを登録しました。