Japan
サイト内の現在位置を表示しています。
WebOTX Web コンテナ:Apache Tomcat における不正な Accept-Language ヘッダの処理によるクロスサイトスクリプティングの脆弱性 (2009年04月14日時点)
1. 概要
Apache Tomcat には RFC 2616 に準拠しない不正な Accept-Language ヘッダの処理に不備が存在するために、クロスサイトスクリプティングの脆弱性が存在します。
2. 問題のある製品名
次の製品が該当します(V7.11以降は影響ありません)。
- WebOTX Web Edition V4.x~V6.5
- WebOTX Standard-J Edition V4.x~V6.5
- WebOTX Standard Edition V4.x~V6.5
- WebOTX Enterprise Edition V4.x~V6.5
- WebOTX Application Server Web Edition V7.1
- WebOTX Application Server Standard-J Edition V7.1
- WebOTX Application Server Standard Edition V7.1
- WebOTX Application Server Enterprise Edition V7.1
- WebOTX UDDI Registry V1.1~V7.1
- WebOTX 開発環境 V6.1~V6.5
- WebOTX Developer V7.1
- WebOTX Enterprise Service Bus V6.4~V7.1
- WebOTX SIP Application Server Standard Edition V7.1
3. 対処方法
別途パッチを用意しております。詳細につきましては弊社営業にお問合せください。
4. 参考ページ
- (JVNDB-2007-000297)Apache Tomcat の Accept-Language ヘッダの処理に関するクロスサイトスクリプティングの脆弱性
- (CVE-2007-1358)Cross-site scripting (XSS) vulnerability in certain applications using Apache Tomcat 4.0.0 through 4.0.6 and 4.1.0 through 4.1.34 allows remote attackers to inject arbitrary web script or HTML via crafted "Accept-Language headers that do not conform to RFC 2616".
5. 更新履歴
- 2009/04/14