公開日:2007/06/19 最終更新日:2008/04/07

JVN#16535199
Apache Tomcat の Accept-Language ヘッダの処理に関するクロスサイトスクリプティングの脆弱性

概要

The Apache Software Foundation が提供する Apache Tomcat には、Accept-Language ヘッダの処理に関するクロスサイトスクリプティングの脆弱性が存在します。

影響を受けるシステム

  • Apache Tomcat 4.0.0 から 4.0.6
  • Apache Tomcat 4.1.0 から 4.1.34
  • Apache Tomcat 5.0.0 から 5.0.30
  • Apache Tomcat 5.5.0 から 5.5.20
  • Apache Tomcat 6.0.0 から 6.0.5

詳細情報

The Apache Software Foundation が提供する Apache Tomcat は、Java Servlet と JavaServer Pages のサーバ実装です。
Apache Tomcat には、クライアントから送信される Accept-Language ヘッダの値が定型外の場合でも処理してしまうため、クロスサイトスクリプティングを誘発してしまう脆弱性が存在します。
開発者の情報によると、本脆弱性は、旧バージョンの Flash を使用している場合に起こる問題であると確認されています。

想定される影響

ユーザのブラウザ上で任意のスクリプトが実行される可能性があります。

対策方法

アップデートする

開発者が提供している情報をもとに最新版のプログラムにアップデートしてください。

詳しくは開発者が提供する情報をご確認下さい。

参考情報

  1. IPA
    「Apache Tomcat」の Accept-Language ヘッダの処理に関するクロスサイト・スクリプティングの脆弱性

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2007.06.19における脆弱性分析結果

評価尺度 攻撃成立条件 評価値
攻撃経路 インターネット経由からの攻撃が可能
認証レベル 匿名もしくは認証なしで攻撃が可能
攻撃成立に必要なユーザーの関与 リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される
攻撃の難易度 専門知識や運がなくとも攻撃可能

各項目の詳しい説明

謝辞

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC がベンダとの調整を行いました。報告者:安西 真人 氏, 株式会社ユービーセキュア 杉山 俊春 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2007-1358
JVN iPedia

更新履歴

2007/09/06
富士通の JVN#16535199への対応が更新されました。
2007/10/10
謝辞: 報告者情報を更新しました。
2008/04/07
日本電気の JVN#16535199への対応が更新されました。