 |
重要(Important):tomcatのセキュリティアップデート
| アップデートID: | RHSA-2007:0327-5 |
|---|---|
| タイプ: | Security Advisory |
| 重大性: | 重要(Important) |
| 発行日: | 2007年5月14日 |
| 最終更新日: | 2007年5月14日 |
| 影響のある製品: |
RHEL Desktop Workstation (v. 5 client) Red Hat Enterprise Linux (v. 5 server) Red Hat Enterprise Linux Desktop (v. 5 client) |
| OVAL: | https://rhn.redhat.com/errata/RHSA-2007-0327.html |
詳細
複数のセキュリティ問題を修正したtomcatのアップデートパッケージがRed Hat Enterprise Linux 5で利用可能になりました。
このアップデートは、レッドハットセキュリティ対策チームによって、深刻度「重要(Important)」のセキュリティ問題と評価されています。
Tomcatは、Java ServletおよびJavaServer Pagesテクノロジ用のサーブレットコンテナです。
Tomcatが、1つの要求内で複数のcontent-lengthヘッダを受け入れることがわかりました。そのため、攻撃者がWebキャッシュをかく乱したり、Webアプリケーションのファイアウォール保護を回避したり、クロスサイトスクリプティング攻撃を仕掛けたりすることが可能です。(CVE-2005-2090)
Tomcatでパスの区切り記号としてさまざまな文字が指定できました。Tomcatが特定の プロキシの内側で使用され、いくつかのコンテキストしかプロキシ処理しないように設定されていた場合、攻撃者がコンテキスト制約を回避するHTTP要求を構築し、プロキシ処理されていないコンテンツにアクセスする可能性があります。(CVE-2007-0450)
サンプルのWebアプリケーションで配信されたimplict-objects.jspファイルが、フィルタリングされていない多数のヘッダ値を表示しました。JSPのサンプルがアクセス可能だった場合、この欠陥によって、リモート攻撃者がクロスサイトスクリプティ グ攻撃を仕掛けることが可能です。(CVE-2006-7195)
ユーザは、これらの問題を解決するTomcatへのアップデートを含む上記エラータパッケージにアップグレードしてください。Tomcat 5.5.23で使用したときのバグを修正するjakarta-commons-modelerのアップデートパッケージも含まれています。
解決法
このアップデートを適用する前に、ご使用のシステムに関係するリリース済みのエラータ/Errataがすべて適用されていることを確認してください。
このアップデートは、Red Hat Networkを通じて入手できます。
アップデートパッケージ
| RHEL Desktop Workstation (v. 5 client) | |
| SRPMS: | |
| jakarta-commons-modeler-1.1-8jpp.1.0.2.el5.src.rpm | d7b49a8038c45e0058d38975c8b6aac7 |
| IA-32: | |
| jakarta-commons-modeler-1.1-8jpp.1.0.2.el5.i386.rpm | adf41fbc470587b6fc9ecaf1d1f098b9 |
| jakarta-commons-modeler-javadoc-1.1-8jpp.1.0.2.el5.i386.rpm | 136c4d8eb9185dec26117710e977be4a |
| tomcat5-5.5.23-0jpp.1.0.3.el5.i386.rpm | a47a62de312b9aa732908b012c7d7921 |
| tomcat5-admin-webapps-5.5.23-0jpp.1.0.3.el5.i386.rpm | 3c0f713d0e672e52e883ffbf02a62fe3 |
| tomcat5-common-lib-5.5.23-0jpp.1.0.3.el5.i386.rpm | b4147f73e0fdd17928e04018d1d9e045 |
| tomcat5-jasper-5.5.23-0jpp.1.0.3.el5.i386.rpm | 6b0fc7dcb20576476ce17ae32245c15e |
| tomcat5-jasper-javadoc-5.5.23-0jpp.1.0.3.el5.i386.rpm | fae82087121a0fa8d8b639293dc396db |
| tomcat5-jsp-2.0-api-javadoc-5.5.23-0jpp.1.0.3.el5.i386.rpm | 04dfeb55a072bd3aee9e1dafa8709688 |
| tomcat5-server-lib-5.5.23-0jpp.1.0.3.el5.i386.rpm | c02aa3729035e7df1a9318531deb9e95 |
| tomcat5-servlet-2.4-api-javadoc-5.5.23-0jpp.1.0.3.el5.i386.rpm | 210373af7c98bd668cc47aa7bbffbad1 |
| tomcat5-webapps-5.5.23-0jpp.1.0.3.el5.i386.rpm | a009e6f97320ffa944f807b770a35d2f |
| x86_64: | |
| jakarta-commons-modeler-1.1-8jpp.1.0.2.el5.x86_64.rpm | 60b2813ec62e4a6395b46beb1da1a957 |
| jakarta-commons-modeler-javadoc-1.1-8jpp.1.0.2.el5.x86_64.rpm | 47199d1b84620a448efe1f05eb3cfc9c |
| tomcat5-5.5.23-0jpp.1.0.3.el5.x86_64.rpm | 186e93ce1a5632200ccdc9ca887cd605 |
| tomcat5-admin-webapps-5.5.23-0jpp.1.0.3.el5.x86_64.rpm | 7cc08998016cd4efd4ae113e31005850 |
| tomcat5-common-lib-5.5.23-0jpp.1.0.3.el5.x86_64.rpm | e7efd7c2b493148f1020dac5b4954eaa |
| tomcat5-jasper-5.5.23-0jpp.1.0.3.el5.x86_64.rpm | c6200fc43f9440411b2754a47d4ca25a |
| tomcat5-jasper-javadoc-5.5.23-0jpp.1.0.3.el5.x86_64.rpm | aca88a67a573ade1738ac6142bd7a1fb |
| tomcat5-jsp-2.0-api-javadoc-5.5.23-0jpp.1.0.3.el5.x86_64.rpm | d328f5626c19e13ca671eddc2e3dfb2a |
| tomcat5-server-lib-5.5.23-0jpp.1.0.3.el5.x86_64.rpm | c0e649a7e4df6c8368300c865da39024 |
| tomcat5-servlet-2.4-api-javadoc-5.5.23-0jpp.1.0.3.el5.x86_64.rpm | f344d08b6b6d40524a65af8aa1ae38b0 |
| tomcat5-webapps-5.5.23-0jpp.1.0.3.el5.x86_64.rpm | f327de085c367b1e37841db93ac7fd80 |
| Red Hat Enterprise Linux (v. 5 server) | |
| SRPMS: | |
| jakarta-commons-modeler-1.1-8jpp.1.0.2.el5.src.rpm | d7b49a8038c45e0058d38975c8b6aac7 |
| tomcat5-5.5.23-0jpp.1.0.3.el5.src.rpm | cc46f7adab310f95bd5d84dcef6febd8 |
| IA-32: | |
| jakarta-commons-modeler-1.1-8jpp.1.0.2.el5.i386.rpm | adf41fbc470587b6fc9ecaf1d1f098b9 |
| jakarta-commons-modeler-javadoc-1.1-8jpp.1.0.2.el5.i386.rpm | 136c4d8eb9185dec26117710e977be4a |
| tomcat5-5.5.23-0jpp.1.0.3.el5.i386.rpm | a47a62de312b9aa732908b012c7d7921 |
| tomcat5-admin-webapps-5.5.23-0jpp.1.0.3.el5.i386.rpm | 3c0f713d0e672e52e883ffbf02a62fe3 |
| tomcat5-common-lib-5.5.23-0jpp.1.0.3.el5.i386.rpm | b4147f73e0fdd17928e04018d1d9e045 |
| tomcat5-jasper-5.5.23-0jpp.1.0.3.el5.i386.rpm | 6b0fc7dcb20576476ce17ae32245c15e |
| tomcat5-jasper-javadoc-5.5.23-0jpp.1.0.3.el5.i386.rpm | fae82087121a0fa8d8b639293dc396db |
| tomcat5-jsp-2.0-api-5.5.23-0jpp.1.0.3.el5.i386.rpm | e69ffeb57454387a4b2df5e4a468524a |
| tomcat5-jsp-2.0-api-javadoc-5.5.23-0jpp.1.0.3.el5.i386.rpm | 04dfeb55a072bd3aee9e1dafa8709688 |
| tomcat5-server-lib-5.5.23-0jpp.1.0.3.el5.i386.rpm | c02aa3729035e7df1a9318531deb9e95 |
| tomcat5-servlet-2.4-api-5.5.23-0jpp.1.0.3.el5.i386.rpm | 64568752869742380e58a3443e5942b0 |
| tomcat5-servlet-2.4-api-javadoc-5.5.23-0jpp.1.0.3.el5.i386.rpm | 210373af7c98bd668cc47aa7bbffbad1 |
| tomcat5-webapps-5.5.23-0jpp.1.0.3.el5.i386.rpm | a009e6f97320ffa944f807b770a35d2f |
| IA-64: | |
| jakarta-commons-modeler-1.1-8jpp.1.0.2.el5.ia64.rpm | bfe30bb15dd3547b5aba9fadb75ab366 |
| jakarta-commons-modeler-javadoc-1.1-8jpp.1.0.2.el5.ia64.rpm | 1cfd15f4c243a709bd70af2986dc6535 |
| tomcat5-5.5.23-0jpp.1.0.3.el5.ia64.rpm | 2ef441bbc31bd6ab9a352133afc6bba7 |
| tomcat5-admin-webapps-5.5.23-0jpp.1.0.3.el5.ia64.rpm | dbd92d58e409a2e512be8f082d652013 |
| tomcat5-common-lib-5.5.23-0jpp.1.0.3.el5.ia64.rpm | 3a681a5d72d27266fa5fda0234654823 |
| tomcat5-jasper-5.5.23-0jpp.1.0.3.el5.ia64.rpm | 571d614b8dfc2a70fa69613c0276d9bc |
| tomcat5-jasper-javadoc-5.5.23-0jpp.1.0.3.el5.ia64.rpm | 927a1797b2a0937eb7664883b5c28873 |
| tomcat5-jsp-2.0-api-5.5.23-0jpp.1.0.3.el5.ia64.rpm | a18e063ed2d15f0b54ffbfe58ae2023a |
| tomcat5-jsp-2.0-api-javadoc-5.5.23-0jpp.1.0.3.el5.ia64.rpm | 151cb23cae3b32509738afb879e5b61d |
| tomcat5-server-lib-5.5.23-0jpp.1.0.3.el5.ia64.rpm | 6d4132b0f2a039af33ae18027e0096d6 |
| tomcat5-servlet-2.4-api-5.5.23-0jpp.1.0.3.el5.ia64.rpm | 12f4c2890f10373e0a20b1beaab5b604 |
| tomcat5-servlet-2.4-api-javadoc-5.5.23-0jpp.1.0.3.el5.ia64.rpm | 0b308dda3324688c32274dcdf716d2c4 |
| tomcat5-webapps-5.5.23-0jpp.1.0.3.el5.ia64.rpm | ae330c687e9efd6bd026b6515dc19156 |
| PPC: | |
| jakarta-commons-modeler-1.1-8jpp.1.0.2.el5.ppc.rpm | d2ee3a85407e305112f37678f53e0012 |
| jakarta-commons-modeler-javadoc-1.1-8jpp.1.0.2.el5.ppc.rpm | b534229b3539baec1ce3df41231f546a |
| tomcat5-5.5.23-0jpp.1.0.3.el5.ppc.rpm | e16c6f556b1764e3f2609d1314918173 |
| tomcat5-admin-webapps-5.5.23-0jpp.1.0.3.el5.ppc.rpm | 7783e2e33698e6a9c6054b2f3b64e5f0 |
| tomcat5-common-lib-5.5.23-0jpp.1.0.3.el5.ppc.rpm | 25c3e09308197390c5c0df76efbe07ba |
| tomcat5-jasper-5.5.23-0jpp.1.0.3.el5.ppc.rpm | 1a8713f2682af3afe9afad1ac2eca07c |
| tomcat5-jasper-javadoc-5.5.23-0jpp.1.0.3.el5.ppc.rpm | 30acf9f9334e0940774053a8b44afd5a |
| tomcat5-jsp-2.0-api-5.5.23-0jpp.1.0.3.el5.ppc.rpm | af6a35c0b9ed88029256837fdd2ca938 |
| tomcat5-jsp-2.0-api-javadoc-5.5.23-0jpp.1.0.3.el5.ppc.rpm | a4232781c03bf089336f136d4c330f35 |
| tomcat5-server-lib-5.5.23-0jpp.1.0.3.el5.ppc.rpm | 29a596b379d5abdb81685a4866a1c37a |
| tomcat5-servlet-2.4-api-5.5.23-0jpp.1.0.3.el5.ppc.rpm | 4a743638f8c08463ffbf77b01d3c278b |
| tomcat5-servlet-2.4-api-javadoc-5.5.23-0jpp.1.0.3.el5.ppc.rpm | 3b677daef9dd27a21b1a43ee89a1fcab |
| tomcat5-webapps-5.5.23-0jpp.1.0.3.el5.ppc.rpm | decbc650352f601f99ba9e1ce00a1d93 |
| s390x: | |
| jakarta-commons-modeler-1.1-8jpp.1.0.2.el5.s390x.rpm | 4b9f1ae545f47c5193f84a931ae5d9fd |
| jakarta-commons-modeler-javadoc-1.1-8jpp.1.0.2.el5.s390x.rpm | 69fa73755833087bce25e483907852c5 |
| tomcat5-5.5.23-0jpp.1.0.3.el5.s390x.rpm | 217a7f71294ebf01735a7c09bb8fe2ec |
| tomcat5-admin-webapps-5.5.23-0jpp.1.0.3.el5.s390x.rpm | 0f53bdb25d5101dfd109db2c49750943 |
| tomcat5-common-lib-5.5.23-0jpp.1.0.3.el5.s390x.rpm | 3e4bf168aa5b13bc40e728818f5274d4 |
| tomcat5-jasper-5.5.23-0jpp.1.0.3.el5.s390x.rpm | 976c554a4e4eeba6f94deff2211c9f30 |
| tomcat5-jasper-javadoc-5.5.23-0jpp.1.0.3.el5.s390x.rpm | 938b932d303c8bbf07732926dca058e7 |
| tomcat5-jsp-2.0-api-5.5.23-0jpp.1.0.3.el5.s390x.rpm | 960d468fa04d6b98901df2465f22b47a |
| tomcat5-jsp-2.0-api-javadoc-5.5.23-0jpp.1.0.3.el5.s390x.rpm | 1d88a1cfbcc2caa757af582485f9ebef |
| tomcat5-server-lib-5.5.23-0jpp.1.0.3.el5.s390x.rpm | 6d98bb027e1fe19a8714dc2cd9d6e6f3 |
| tomcat5-servlet-2.4-api-5.5.23-0jpp.1.0.3.el5.s390x.rpm | ae7ff11b2bfe04a217b44ec11edabab8 |
| tomcat5-servlet-2.4-api-javadoc-5.5.23-0jpp.1.0.3.el5.s390x.rpm | fa4545887eedbfd367dc966d10d5e342 |
| tomcat5-webapps-5.5.23-0jpp.1.0.3.el5.s390x.rpm | 90f4bccfccdeb243258acd31b8eb41db |
| x86_64: | |
| jakarta-commons-modeler-1.1-8jpp.1.0.2.el5.x86_64.rpm | 60b2813ec62e4a6395b46beb1da1a957 |
| jakarta-commons-modeler-javadoc-1.1-8jpp.1.0.2.el5.x86_64.rpm | 47199d1b84620a448efe1f05eb3cfc9c |
| tomcat5-5.5.23-0jpp.1.0.3.el5.x86_64.rpm | 186e93ce1a5632200ccdc9ca887cd605 |
| tomcat5-admin-webapps-5.5.23-0jpp.1.0.3.el5.x86_64.rpm | 7cc08998016cd4efd4ae113e31005850 |
| tomcat5-common-lib-5.5.23-0jpp.1.0.3.el5.x86_64.rpm | e7efd7c2b493148f1020dac5b4954eaa |
| tomcat5-jasper-5.5.23-0jpp.1.0.3.el5.x86_64.rpm | c6200fc43f9440411b2754a47d4ca25a |
| tomcat5-jasper-javadoc-5.5.23-0jpp.1.0.3.el5.x86_64.rpm | aca88a67a573ade1738ac6142bd7a1fb |
| tomcat5-jsp-2.0-api-5.5.23-0jpp.1.0.3.el5.x86_64.rpm | 860411ffc918bba85ba91d470c38f478 |
| tomcat5-jsp-2.0-api-javadoc-5.5.23-0jpp.1.0.3.el5.x86_64.rpm | d328f5626c19e13ca671eddc2e3dfb2a |
| tomcat5-server-lib-5.5.23-0jpp.1.0.3.el5.x86_64.rpm | c0e649a7e4df6c8368300c865da39024 |
| tomcat5-servlet-2.4-api-5.5.23-0jpp.1.0.3.el5.x86_64.rpm | 261a7ece1e9465ceb2038ab14cabcf35 |
| tomcat5-servlet-2.4-api-javadoc-5.5.23-0jpp.1.0.3.el5.x86_64.rpm | f344d08b6b6d40524a65af8aa1ae38b0 |
| tomcat5-webapps-5.5.23-0jpp.1.0.3.el5.x86_64.rpm | f327de085c367b1e37841db93ac7fd80 |
| Red Hat Enterprise Linux Desktop (v. 5 client) | |
| SRPMS: | |
| tomcat5-5.5.23-0jpp.1.0.3.el5.src.rpm | cc46f7adab310f95bd5d84dcef6febd8 |
| IA-32: | |
| tomcat5-jsp-2.0-api-5.5.23-0jpp.1.0.3.el5.i386.rpm | e69ffeb57454387a4b2df5e4a468524a |
| tomcat5-servlet-2.4-api-5.5.23-0jpp.1.0.3.el5.i386.rpm | 64568752869742380e58a3443e5942b0 |
| x86_64: | |
| tomcat5-jsp-2.0-api-5.5.23-0jpp.1.0.3.el5.x86_64.rpm | 860411ffc918bba85ba91d470c38f478 |
| tomcat5-servlet-2.4-api-5.5.23-0jpp.1.0.3.el5.x86_64.rpm | 261a7ece1e9465ceb2038ab14cabcf35 |
| (The unlinked packages above are only available from the Red Hat Network) | |
バグフィックス (詳細は、bugzilla/バグジラ[英語]を御覧ください。)
237089 - CVE-2005-2090 multiple tomcat issues (CVE-2007-0450 CVE-2006-7195)
参照
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-2090
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-7195
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0450
http://tomcat.apache.org/security-5.html
http://www.redhat.com/security/updates/classification/#important
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-7195
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0450
http://tomcat.apache.org/security-5.html
http://www.redhat.com/security/updates/classification/#important
ここに在るパッケージはセキュリティの為、Red Hat, Inc. によって、GPG認証されています。
認証キー及び詳細は以下を御覧下さい。
https://www.redhat.com/security/team/key/#package
The Red Hat security contact is secalert@redhat.com. More contact details at http://www.redhat.com/security/team/contact/
Copyright © 2008 Red Hat, Inc. All rights reserved.
プライバシー ステートメント :
リーガル ステートメント/利用条件 :
特許に関する見解と約束 :
各種お問い合わせ