Japan
サイト内の現在位置を表示しています。
WebOTX Web コンテナ:Apache Tomcat JSESSIONIDSSO クッキーの不適切な設定の問題 (2009年09月15日時点)
1. 概要
Apache Tomcat の SingleSignOn 値 (org.apache.catalina.authenticator.SingleSignOn) において、https セッションの JSESSIONIDSSO クッキーの secure フラグを設定しないため、http リクエストを送信する際に、SingleSignOn 用のクッキーを使用する問題が存在します。
2. 問題のある製品名
次の製品が該当します。
- WebOTX Web Edition V4.x~V6.x
- WebOTX Standard-J Edition V4.x~V6.x
- WebOTX Standard Edition V4.x~V6.x
- WebOTX Enterprise Edition V4.x~V6.x
- WebOTX Application Server Web Edition V7.x~V8.1
- WebOTX Application Server Standard-J Edition V7.x~V8.1
- WebOTX Application Server Standard Edition V7.x~V8.1
- WebOTX Application Server Enterprise Edition V7.x~V8.1
- WebOTX UDDI Registry V1.1~V7.1
- WebOTX 開発環境 V6.x
- WebOTX Developer V7.x~V8.1
- WebOTX Enterprise Service Bus V6.4~V7.x
- WebOTX SIP Application Server Standard Edition V7.x~V8.1
3. 対処方法
別途パッチを用意しております。詳細につきましては弊社営業にお問合せください。
4. 参考ページ
- (JVNDB-2008-001167)Apache Tomcat JSESSIONIDSSO クッキーの不適切な設定の問題
- (CVE-2008-0128)The SingleSignOn Valve (org.apache.catalina.authenticator.SingleSignOn) in Apache Tomcat does not set the secure flag for the JSESSIONIDSSO cookie in an https session, which can cause the cookie to be sent in http requests and make it easier for remote attackers to capture this cookie.
5. 更新履歴
- 2009/09/15