Japan
サイト内の現在位置を表示しています。
WebOTX Web コンテナ:Apache TomcatのRemoteAddrValveクラスにおいて権限のないクライアントからのリクエストが実行されてしまう脆弱性 (2009年04月14日時点)
1. 概要
RemoteAddrValveクラスを利用して、接続元のIPアドレスを基にアクセス制限を行う設定を行っている場合、本来HTTP403エラーが返却されるべきIPアドレスからのリクエストが実行されてしまう脆弱性があります。
本問題は、RemoteAddrValveクラスを利用して、接続元のIPアドレスを基に制御を行う設定を行っていない場合は、影響はありません。また、WebOTX V6.x, 7.x, 8.xでは本問題の影響はありません。
2. 問題のある製品名
次の製品が該当します。
- WebOTX Web Edition V4.x~V5.x
- WebOTX Standard-J Edition V4.x~V5.x
- WebOTX Standard Edition V4.x~V5.x
- WebOTX Enterprise Edition V4.x~V5.x
- WebOTX UDDI Registry V1.1~V2.1
3. 対処方法
別途パッチを用意しております。詳細につきましては弊社営業にお問合せください。
4. 参考ページ
- (JVN#30732239)Apache Tomcat において権限のないクライアントからのリクエストが実行されてしまう脆弱性
- Tomcat の RemoteFilterValve にセキュリティ制限を回避される問題
- (CVE-2008-3271)Apache Tomcat 5.5.0 and 4.1.0 through 4.1.31 allows remote attackers to bypass an IP address restriction and obtain sensitive information via a request that is processed concurrently with another request but in a different thread, leading to an instance-variable overwrite associated with a "synchronization problem" and lack of thread safety, and related to RemoteFilterValve, RemoteAddrValve, and RemoteHostValve.
5. 更新履歴
- 2009/04/14