Apache TomcatのHTTP Digest Access Authenticationに複数の脆弱性

掲載番号:NV14-008
脆弱性情報識別番号:CVE-2011-5062, CVE-2011-5063, CVE-2011-5064

概要

Apache TomcatのHTTP Digest Access Authentication実装には複数の脆弱性があります。

CVE-2011-5062

Apache TomcatのHTTP Digest Access Authentication実装にはqop値をチェックしないため、

完全性保護の要求を回避される脆弱性があります。

攻撃者によってqop値(qop=auth)を介して、完全性保護の要求を回避される可能性があります。

CVE-2011-5063

Apache TomcatのHTTP Digest Access Authentication実装にはrealm値をチェックしないため、

アクセス制限を回避される脆弱性が存在します。

攻撃者によって、より弱い認証または許可要件を持つ保護スペースを利用することで、

アクセス制限を回避される可能性があります。

CVE-2011-5064

Apache TomcatはDigestAuthenticator.javaにサーバの秘密鍵として文字列"Catalina"を

ハードコーディングしているため、暗号保護機構を回避される脆弱性が存在します。

攻撃者によって、脆弱な文字列に関する知識を利用することで、暗号保護機構を

回避される可能性があります。

対象製品

InfoCage PCセキュリティ

影響の有無

影響あり

InfoCage PCセキュリティはダイジェスト通信を使用していませんが、Apache Tomcatの脆弱性を利用してサーバが攻撃される可能性があります。

対象となる製品のバージョン

次の条件に該当するInfoCage PCセキュリティ

InfoCage PCセキュリティ：V1.44以前
ログサーバ：1.40.0105 以前
Apache Tomcat：6.0.32 以前

対処方法

[対策]

InfoCage PCセキュリティV1.50にバージョンアップしてください。

ログサーバのバージョンアップにより、Apache Tomcatが対処済みバージョン(Apache Tomcat：6.0.35)へ更新されます。

InfoCage PCセキュリティログサーバ機能以外でインストールしたApache Tomcatを利用している場合は、事前に弊社営業を通じて、ご相談ください。

InfoCage PCセキュリティ - 重要なお知らせ

https://jpn.nec.com/infocage/pc_security/importance/news130423Tomcat.html

WebOTX

影響の有無

影響あり

対象となる製品のバージョン

WebOTX Web Edition V4.1～V5.3
WebOTX Standard-J Edition V4.1～V5.3
WebOTX Standard Edition V4.1～V5.3
WebOTX Enterprise Edition V4.1～V5.3
WebOTX UDDI Registry V7.1
WebOTX Developer V7.1～V8.4
WebOTX Application Server Web Edition V7.1～V8.1
WebOTX Application Server Standard-J Edition V7.1～V8.1
WebOTX Application Server Standard Edition V7.1～V8.1
WebOTX Application Server Enterprise Edition V7.1～V8.1
WebOTX Application Server Express V8.2～V8.4
WebOTX Application Server Foundation V8.2～V8.4
WebOTX Application Server Standard V8.2～V8.4
WebOTX Application Server Enterprise V8.2～V8.4
WebOTX Enterprise Service Bus V7.1～V8.4
WebOTX SIP Application Server Standard Edition V7.1～V8.1
WebOTX Portal V8.2～V8.3

対処方法

[対策]

次のバージョンのパッチモジュールで対応完了しています。

WebOTX Application Server V8.22
WebOTX Application Server V8.41

パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。

参考情報

JVN iPedia JVNDB-2012-001062:

Apache Tomcat の HTTP Digest Access Authentication 実装における完全性保護の要求を回避される脆弱性

https://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-001062.html

JVN iPedia JVNDB-2012-001063:

Apache Tomcat の HTTP Digest Access Authentication 実装におけるアクセス制限を回避される脆弱性

https://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-001063.html

JVN iPedia JVNDB-2012-001064:

Apache Tomcat の DigestAuthenticator.java における暗号保護機構を回避される脆弱性

https://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-001064.html

CVE-2011-5062, CVE-2011-5063, CVE-2011-5064:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-5062

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-5063

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-5064

更新情報

2016/07/08: WebOTXを登録しました。NEW
2014/12/09: InfoCage PCセキュリティを登録しました。NEW

サイト内の現在位置を表示しています。

Apache TomcatのHTTP Digest Access Authenticationに複数の脆弱性

概要

対象製品

InfoCage PCセキュリティ

影響の有無

対象となる製品のバージョン

対処方法

WebOTX

影響の有無

対象となる製品のバージョン

対処方法

参考情報

更新情報