公開日:2006/05/17 最終更新日:2006/08/11

JVN#03D5EAA8
Sun Java System Web Server におけるクロスサイトスクリプティングの脆弱性

概要


サン・マイクロシステムズにより提供されている、ウェブサーバ Sun Java System Web Server(旧名 Sun ONE Web Server)は、エラーページを表示する際にクライアント側から送られる Referer 情報の適切な検査処理をしないため、クロスサイトスクリプティングの脆弱性が存在します。

影響を受けるシステム

  • ベンダの提供する情報をご確認ください

    2006/05/19 時点において、Sun Alert が公開されました。

詳細情報

想定される影響


ユーザのブラウザ上で悪意あるスクリプトを実行される可能性があります。

対策方法

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
サイボウズ 該当製品無し 2006/05/17
ジャストシステム 該当製品無し 2006/05/17
ビー・ユー・ジー 該当製品無し 2006/05/17 ビー・ユー・ジー の告知ページ
リコー 該当製品無し 2006/05/17
富士通 該当製品あり 2006/05/19 富士通 の告知ページ
日本電気 該当製品無し 2006/05/17
日立 該当製品無し 2006/05/17
ベンダ リンク
ベンダ
Sun Microsystems Cross Site Scripting Vulnerability in Sun ONE and Sun Java System Applications
Sun Microsystems Product Downloads Sun ONE Web Server 6.0, Service Pack 10
Sun Microsystems Product Downloads Sun Java System Web Server 6.1 Service Pack 5
Sun Microsystems Product Downloads Sun Java System Web Server 6.1 Service Pack 5 International Edition
Sun Microsystems Product Downloads Sun Java[tm] System Application Server 7 Platform Edition, Update 7
Sun Microsystems Product Downloads Sun Java[tm] System Application Server 7 Standard Edition, Update 7
Sun Microsystems Product Downloads Sun Java System Application Server, Standard Edition 7 2004Q2 Update 4
Sun Microsystems Sun Java System Application Server, Enterprise Edition 7 2004Q2 Update 4(アカウントが必要)

参考情報

  1. IPA
    「Sun Java System Web Server」におけるクロスサイト・スクリプティングの脆弱性
  2. US-CERT Vulnerability Note VU#114956
    Sun ONE and Sun Java System Applications vulnerable to cross-site scripting via default error page

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき
下記の方がIPAに報告し、JPCERT/CCがベンダおよびCERT/CCとの調整を行いました。
報告者: 株式会社ラック<br><br><hr><br>対策情報の追加掲載に関するお詫び<p>本脆弱性関連情報に関して、製品開発者提供の対策情報の掲載が遅れましたことを謹んでお詫びいたします。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2006-2501
JVN iPedia