Vendor Status Note JVNCIAC-R-305

Apache Tomcat に複数のクロスサイトスクリプティングの脆弱性

概要

Apache Tomcat の Web Application Manager および付属のサンプルプログラム jsp-examples には、複数のクロスサイトスクリプティングの脆弱性があります。

影響を受けるシステム
 - Apache Tomcat 4.0.0 から 4.0.6
 - Apache Tomcat 4.1.0 から 4.1.36
 - Apache Tomcat 5.0.0 から 5.0.30
 - Apache Tomcat 5.5.0 から 5.5.24
 - Apache Tomcat 6.0.0 から 6.0.13

想定される影響

遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能性があります。

ベンダ情報

ベンダリンク更新日
Apache Software FoundationApache Tomcat 4.x vulnerabilities
Apache Tomcat 5.x vulnerabilities
Apache Tomcat 6.x vulnerabilities
Red HatRed Hat Security Advisory RHSA-2007:0569
Moderate: tomcat security update
参考情報

  1. Japan Vulnerability Notes JVN#07100457
    Apache Tomcat におけるクロスサイトスクリプティングの脆弱性
  2. Japan Vulnerability Notes JVN#64851600
    Apache Tomcat 付属のサンプルプログラムにおけるクロスサイトスクリプティングの脆弱性
  3. ISS X-Force Database: tomcat-example-xss(34869)
    Apache Tomcat JSP example Web application cross-site scripting
  4. ISS X-Force Database: tomcat-hostmanager-xss(34868)
    Apache Tomcat Manager and Host Manager cross-site scripting
JPCERT 緊急報告
JPCERT REPORTJPCERT-WR-2007-2801 ( 2007-07-25 )
CIAC BulletinR-305 Tomcat Security Update ( 2007-07-17 )
CVE2007-2449 [CVE+] XF34869
2007-2450 [CVE+] XF34868
PGP署名JVNCIAC-R-305.html.sig
登録日12:49 2007/07/28
更新日12:49 2007/07/28

Copyright(C) 2002-2009 Keio Univ. All rights reserved.