ページの先頭です。
本文へジャンプする。

本ウェブサイトでは、JavaScriptおよびスタイルシートを使用しております。
お客さまがご使用のブラウザではスタイルが未適応のため、本来とは異なった表示になっておりますが、情報は問題なくご利用いただけます。

ここからサイト内共通メニューです。
サイト内共通メニューを読み飛ばす。
サイト内共通メニューここまで。
ホーム > 製品 > NEC製品セキュリティ情報 > セキュリティ情報 > 2008年 > NV08-002
ページ共通メニューここまで。

掲載番号:NV08-002
脆弱性情報識別番号:IPA#09470767

Apache Tomcat において不正な Cookie を送信される脆弱性

概要

Apache Tomcat には、Cookie 情報を生成する過程で特定の文字を適切に処理しないため、 遠隔の第三者からユーザのウェブブラウザへ不正な Cookie を送信される可能性があります。 その結果、セッションハイジャックなどが行われる可能性があります。 この問題は CVE-2007-3385 への修正が不十分なため発生した問題であることが、開発者から報告されています。

影響を受けるバージョン
- Apache Tomcat 4.1.0 から 4.1.36
- Apache Tomcat 5.5.0 から 5.5.25
- Apache Tomcat 6.0.0 から 6.0.14

対象製品

SystemDirector Enterprise for Java

  • 影響の有無
    なし

※SystemDirector Enterprise for Javaの製品そのものには脆弱性はありませんが、この製品を利用してアプリケーションを開発し、それをTomcat上で実行しているシステムは、この問題についての考慮が必要です。

  • 対処方法
    Apache Tomcatの対処情報(Security Updates)
    http://tomcat.apache.org/security.html
    ※Security Updatesでは本脆弱性をCVE番号(CVE-2007-5333)で掲載しています。

参考情報

更新情報

2008/02/26
新規登録しました。
Copyright NEC Corporation. All rights reserved.