Japan
サイト内の現在位置を表示しています。
Apache Tomcatのフォーム認証機能におけるセッションにリクエストを挿入される脆弱性
掲載番号:NV14-004
脆弱性情報識別番号:CVE-2013-2067
概要
Apache Tomcatのフォーム認証機能には、認証要求とセッション間の関係を適切に処理しないため、セッションにリクエストを挿入される脆弱性が存在します。攻撃者により、変則的なセッション固定攻撃 (session fixation attack) によって、ログインフォームの終了中にリクエストを送信されることで、セッションにリクエストを挿入される可能性があります。
対象製品
InfoCage PCセキュリティ
影響の有無
- ログサーバに使用しているApache Tomcatに影響があります。
対象となる製品のバージョン
- InfoCage PCセキュリティ 全バージョン
対処方法
WebOTX
影響の有無
リモートの攻撃者によってセッションを奪われ、セキュリティ制限を迂回される可能性があります。
対象となる製品のバージョン
- 以下の製品を利用しており、WebOTX でのセッションID書き変え機能を利用している場合に影響があります。
- WebOTX Developer V8.4
- WebOTX Application Server Express V8.4~V8.5
- WebOTX Application Server Foundation V8.4~V8.5
- WebOTX Application Server Standard V8.4~V8.5
- WebOTX Application Server Enterprise V8.4~V8.5
- WebOTX Enterprise Service Bus V8.4~V8.5
- WebOTX Portal V8.4
- Webアプリケーションの実装によりセッション固定攻撃の対策を実装している場合は影響ありません。
対処方法
まだ契約がお済でないお客様は、保守契約締結の後、ダウンロードをお願いいたします。
WebOTX V8.41
https://www.support.nec.co.jp/View.aspx?id=9010102118
WebSAM Storage VASA Provider
影響の有無
対象となる製品のバージョン
- WebSAM Storage VASA Provider V1.1.001
対処方法
WebSAM Storage VMware vCenter Plug-in
影響の有無
対象となる製品のバージョン
- WebSAM Storage VMware vCenter Plug-in V1.2.001
- WebSAM Storage VMware vCenter Plug-in V1.1.001
対処方法
WebSAM Storage VMware vSphere Web Client Plug-in
影響の有無
対象となる製品のバージョン
- WebSAM Storage VMware vSphere Web Client Plug-in V1.1
対処方法
参考情報
更新情報
- 2016/07/08
- 2014/12/09
- 2014/04/28