Japan
サイト内の現在位置を表示しています。
WebOTX Web コンテナ:Apache Tomcat の RequestDispatcher に関するディレクトリトラバーサルの脆弱性 (2009年09月15日時点)
1. 概要
Apache Tomcat は RequestDispatcher を使用している場合、URI からのクエリ文字列を削除する前にパスの正常化が動作するため、ディレクトリトラバーサルの脆弱性が存在します。
2. 問題のある製品名
次の製品が該当します。
- WebOTX Web Edition V6.x
- WebOTX Standard-J Edition V6.x
- WebOTX Standard Edition V6.x
- WebOTX Enterprise Edition V6.x
- WebOTX Application Server Web Edition V7.x~V8.1
- WebOTX Application Server Standard-J Edition V7.x~V8.1
- WebOTX Application Server Standard Edition V7.x~V8.1
- WebOTX Application Server Enterprise Edition V7.x~V8.1
- WebOTX UDDI Registry V1.1~V7.1
- WebOTX 開発環境 V6.x
- WebOTX Developer V7.x~V8.1
- WebOTX Enterprise Service Bus V6.4~V7.x
- WebOTX SIP Application Server Standard Edition V7.x~V8.1
3. 対処方法
別途パッチを用意しております。詳細につきましては弊社営業にお問合せください。
4. 参考ページ
- (JVNDB-2008-001606)Apache Tomcat の RequestDispatcher に関するディレクトリトラバーサルの脆弱性
- (CVE-2008-2370)When a RequestDispatcher is used, performs path normalization before removing the query string from the URI, which allows remote attackers to conduct directory traversal attacks and read arbitrary files via a .. (dot dot) in a request parameter.
5. 更新履歴
- 2009/09/15