Japan
サイト内の現在位置を表示しています。
Apache TomcatのAsyncContextImpl.javaにおける重要なリクエスト情報を取得される脆弱性
掲載番号:NV16-021
脆弱性情報識別番号:CVE-2013-2071
概要
Apache TomcatのAsyncContextImpl.javaは、アプリケーション内のAsyncListenerのRuntimeExceptionのスローを適切に処理しないため、他のアプリケーション向けの重要なリクエスト情報を取得される脆弱性が存在します。
攻撃者により、プロセスのリクエストを記録するアプリケーションを介して、他のアプリケーション向けの重要なリクエスト情報を取得される可能性があります。
対象製品
WebOTX
影響の有無
RuntimeExceptionが発生すると、リクエストオブジェクトの内容が残ったままになり、次回リクエストで情報を参照できる場合があります。
対象となる製品のバージョン
- WebOTX Application Server Express V9.1
対処方法
まだ契約がお済でないお客様は、保守契約締結の後、ダウンロードをお願いいたします。
WebOTX V9.1
https://www.support.nec.co.jp/View.aspx?id=9010102594
参考情報
WebOTX Webコンテナのリクエスト情報を取得される脆弱性(CVE-2013-2071)について
https://www.support.nec.co.jp/View.aspx?id=3010100622
JVN iPedia JVNDB-2013-002860:
Apache Tomcat の AsyncContextImpl.java における重要なリクエスト情報を取得される脆弱性
https://jvndb.jvn.jp/ja/contents/2013/JVNDB-2013-002860.html
CVE-2013-2067:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2071
更新情報
- 2016/10/31