サイト内の現在位置を表示しています。

Apache Tomcatのフォーム認証機能におけるセッションにリクエストを挿入される脆弱性

掲載番号:NV14-004
脆弱性情報識別番号:CVE-2013-2067

概要

Apache Tomcatのフォーム認証機能には、認証要求とセッション間の関係を適切に処理しないため、セッションにリクエストを挿入される脆弱性が存在します。攻撃者により、変則的なセッション固定攻撃 (session fixation attack) によって、ログインフォームの終了中にリクエストを送信されることで、セッションにリクエストを挿入される可能性があります。

対象製品

InfoCage PCセキュリティ

影響の有無

影響あり

  • ログサーバに使用しているApache Tomcatに影響があります。

対象となる製品のバージョン

  • InfoCage PCセキュリティ 全バージョン

対処方法

[対策]
2013年10月8日にリリースしたInfoCage PCセキュリティVer1.6で対応完了しています。

PPサポートサービス契約ユーザ様は無償でバージョンアップが可能です。
必要な場合は、PPサポートサービス窓口にてInfoCage PCセキュリティVer1.6の型番を指定し、バージョンアップ依頼をお願い致します。

InfoCage PCセキュリティ - 重要なお知らせ:
Apache Tomcatv6.0.37で発見された脆弱性について:

WebOTX

影響の有無

影響あり

リモートの攻撃者によってセッションを奪われ、セキュリティ制限を迂回される可能性があります。

対象となる製品のバージョン

    以下の製品を利用しており、WebOTX でのセッションID書き変え機能を利用している場合に影響があります。

  • WebOTX Developer V8.4
  • WebOTX Application Server Express V8.4~V8.5
  • WebOTX Application Server Foundation V8.4~V8.5
  • WebOTX Application Server Standard V8.4~V8.5
  • WebOTX Application Server Enterprise V8.4~V8.5
  • WebOTX Enterprise Service Bus V8.4~V8.5
  • WebOTX Portal V8.4

    Webアプリケーションの実装によりセッション固定攻撃の対策を実装している場合は影響ありません。

対処方法

[対策]
パッチモジュールを製品保守契約を結んでいただいたお客様に限定して提供させていただいています。
まだ契約がお済でないお客様は、保守契約締結の後、ダウンロードをお願いいたします。

WebOTX V8.41
https://www.support.nec.co.jp/View.aspx?id=9010102118

WebSAM Storage VASA Provider

影響の有無

影響あり

対象となる製品のバージョン

  • WebSAM Storage VASA Provider V1.1.001

対処方法

[対策]
WebSAM Storage VASA Provider V1.1.002へアップデートしてください。
以下URLの「ダウンロード」のリンクから無償でモジュールをダウンロードできます。

WebSAM Storage VMware vCenter Plug-in

影響の有無

影響あり

対象となる製品のバージョン

  • WebSAM Storage VMware vCenter Plug-in V1.2.001
  • WebSAM Storage VMware vCenter Plug-in V1.1.001

対処方法

[対策]
WebSAM Storage VMware vCenter Plug-in V1.2.002へアップデートしてください。
以下URLの「ダウンロード」のリンクから無償でモジュールをダウンロードできます。

WebSAM Storage VMware vSphere Web Client Plug-in

影響の有無

影響あり

対象となる製品のバージョン

  • WebSAM Storage VMware vSphere Web Client Plug-in V1.1

対処方法

[対策]
WebSAM Storage VMware vSphere Web Client Plug-in V2.1へアップデートしてください。
以下URLの「ダウンロード」のリンクから無償でモジュールをダウンロードできます。

参考情報

JVN iPedia JVNDB-2013-002859:
Apache Tomcat のフォーム認証機能におけるセッションにリクエストを挿入される脆弱性

CVE-2013-2067:

更新情報