Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

Apache TomcatのAsyncContextImpl.javaにおける重要なリクエスト情報を取得される脆弱性

掲載番号:NV16-021
脆弱性情報識別番号:CVE-2013-2071

概要

Apache TomcatのAsyncContextImpl.javaは、アプリケーション内のAsyncListenerのRuntimeExceptionのスローを適切に処理しないため、他のアプリケーション向けの重要なリクエスト情報を取得される脆弱性が存在します。
攻撃者により、プロセスのリクエストを記録するアプリケーションを介して、他のアプリケーション向けの重要なリクエスト情報を取得される可能性があります。

対象製品

WebOTX

影響の有無

影響あり

RuntimeExceptionが発生すると、リクエストオブジェクトの内容が残ったままになり、次回リクエストで情報を参照できる場合があります。

対象となる製品のバージョン

  • WebOTX Application Server Express V9.1

 

対処方法

[対策]
パッチモジュールを製品保守契約を結んでいただいたお客様に限定して提供させていただいています。
まだ契約がお済でないお客様は、保守契約締結の後、ダウンロードをお願いいたします。

WebOTX V9.1
https://www.support.nec.co.jp/View.aspx?id=9010102594

参考情報

WebOTX Webコンテナのリクエスト情報を取得される脆弱性(CVE-2013-2071)について
https://www.support.nec.co.jp/View.aspx?id=3010100622

JVN iPedia JVNDB-2013-002860:
Apache Tomcat の AsyncContextImpl.java における重要なリクエスト情報を取得される脆弱性
http://jvndb.jvn.jp/ja/contents/2013/JVNDB-2013-002860.html

CVE-2013-2067:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2071

更新情報

2016/10/31
WebOTX を登録しました。