 |
中(Moderate):tomcatのセキュリティアップデート
| アップデートID: | RHSA-2007:0871-5 |
|---|---|
| タイプ: | Security Advisory |
| 重大性: | Moderate |
| 発行日: | 2007年9月26日 |
| 最終更新日: | 2007年9月26日 |
| 影響のある製品: |
RHEL Desktop Workstation (v. 5 client) Red Hat Enterprise Linux (v. 5 server) Red Hat Enterprise Linux Desktop (v. 5 client) |
| OVAL: | https://rhn.redhat.com/errata/RHSA-2007-0871.html |
| CVEs (cve.mitre.org): |
CVE-2007-3382 CVE-2007-3385 CVE-2007-3386 |
詳細
複数のセキュリティ問題を修正したtomcatのアップデートパッケージがRed Hat Enterprise Linux 5で利用可能になりました。
このアップデートは、レッドハットセキュリティ対策チームによって、深刻度「中(Moderate)」のセキュリティ問題と評価されています。
Tomcatは、Java ServletおよびJava Server Pagesテクノロジ用のサーブレットコンテナです。
TomcatがCookieでシングルクォート文字「'」を区切り記号として処理していることがわかりました。そのため、セッションIDなどの機密情報を取得することにより、リモートからセッションハイジャック攻撃を仕掛けることが可能です。(CVE-2007-3382)
TomcatがCookieで文字シーケンス「\"」(バックスラッシュ+ダブルクォーテーション)を正しく処理していないことが報告されました。この欠陥を使用してセッションIDなどの機密情報を取得することにより、リモートからセッションハイジャック攻撃を仕掛けることが可能です。(CVE-2007-3385)
Host Managerサーブレットにクロスサイトスクリプティング(XSS)の脆弱性が存在しました。そのため、リモート攻撃者が巧妙に作成された要求によって任意のHTMLやwebスクリプトを挿入できました。(CVE-2007-3386)
Tomcatのユーザは、バックポートパッチを含み、これらの問題に対する脆弱性のない上記エラータパッケージにアップデートしてください。
解決法
このアップデートを適用する前に、ご使用のシステムに関係するリリース済みのエラータ/Errataがすべて適用されていることを確認してください。
このアップデートは、Red Hat Networkを通じて入手できます。
アップデートパッケージ
| RHEL Desktop Workstation (v. 5 client) | |
| IA-32: | |
| tomcat5-5.5.23-0jpp.3.0.2.el5.i386.rpm | 7d71ed89d94341f41b171293ad013d6b |
| tomcat5-admin-webapps-5.5.23-0jpp.3.0.2.el5.i386.rpm | f0cfcd9ec14bf30223576796c3d86254 |
| tomcat5-common-lib-5.5.23-0jpp.3.0.2.el5.i386.rpm | c8ab874847b19faec830f6d002ef5700 |
| tomcat5-jasper-5.5.23-0jpp.3.0.2.el5.i386.rpm | b128c5e933557b9e90aa7cb71ad86f72 |
| tomcat5-jasper-javadoc-5.5.23-0jpp.3.0.2.el5.i386.rpm | 7166ea7ab11411ba0d0adf715657ac89 |
| tomcat5-jsp-2.0-api-javadoc-5.5.23-0jpp.3.0.2.el5.i386.rpm | 34159a09da8641ba7d7a61335b9a3685 |
| tomcat5-server-lib-5.5.23-0jpp.3.0.2.el5.i386.rpm | ec84df22f55b68f172123dfb39680230 |
| tomcat5-servlet-2.4-api-javadoc-5.5.23-0jpp.3.0.2.el5.i386.rpm | 4d9285f3236fb71cc4f1595cdaceb2c0 |
| tomcat5-webapps-5.5.23-0jpp.3.0.2.el5.i386.rpm | 14685a050088e338be428d4b315bed15 |
| x86_64: | |
| tomcat5-5.5.23-0jpp.3.0.2.el5.x86_64.rpm | 9a0875239aee9d021c8d4a56b42bb2a6 |
| tomcat5-admin-webapps-5.5.23-0jpp.3.0.2.el5.x86_64.rpm | 11619162c8e0adc036756a7ac03ce559 |
| tomcat5-common-lib-5.5.23-0jpp.3.0.2.el5.x86_64.rpm | d95026b2750fff774772c44a57f74792 |
| tomcat5-jasper-5.5.23-0jpp.3.0.2.el5.x86_64.rpm | 9d3ddc4acf0c2ab389488f735aadf345 |
| tomcat5-jasper-javadoc-5.5.23-0jpp.3.0.2.el5.x86_64.rpm | 3f2f6100623f9acb18d990fc52d9aa82 |
| tomcat5-jsp-2.0-api-javadoc-5.5.23-0jpp.3.0.2.el5.x86_64.rpm | 1b51651253a8fe556bba1ddc565147f0 |
| tomcat5-server-lib-5.5.23-0jpp.3.0.2.el5.x86_64.rpm | 86702ce51dbe4da513827d49758858d9 |
| tomcat5-servlet-2.4-api-javadoc-5.5.23-0jpp.3.0.2.el5.x86_64.rpm | 1be1106c350b4f834c5959e144cbfdb5 |
| tomcat5-webapps-5.5.23-0jpp.3.0.2.el5.x86_64.rpm | 9ce3022090cc5cc036bec3f2edf75f49 |
| Red Hat Enterprise Linux (v. 5 server) | |
| SRPMS: | |
| tomcat5-5.5.23-0jpp.3.0.2.el5.src.rpm | 4cd5017f99a44689fd97bfaddb4d1e49 |
| IA-32: | |
| tomcat5-5.5.23-0jpp.3.0.2.el5.i386.rpm | 7d71ed89d94341f41b171293ad013d6b |
| tomcat5-admin-webapps-5.5.23-0jpp.3.0.2.el5.i386.rpm | f0cfcd9ec14bf30223576796c3d86254 |
| tomcat5-common-lib-5.5.23-0jpp.3.0.2.el5.i386.rpm | c8ab874847b19faec830f6d002ef5700 |
| tomcat5-jasper-5.5.23-0jpp.3.0.2.el5.i386.rpm | b128c5e933557b9e90aa7cb71ad86f72 |
| tomcat5-jasper-javadoc-5.5.23-0jpp.3.0.2.el5.i386.rpm | 7166ea7ab11411ba0d0adf715657ac89 |
| tomcat5-jsp-2.0-api-5.5.23-0jpp.3.0.2.el5.i386.rpm | 226f3d1465041197fc02615be82163fb |
| tomcat5-jsp-2.0-api-javadoc-5.5.23-0jpp.3.0.2.el5.i386.rpm | 34159a09da8641ba7d7a61335b9a3685 |
| tomcat5-server-lib-5.5.23-0jpp.3.0.2.el5.i386.rpm | ec84df22f55b68f172123dfb39680230 |
| tomcat5-servlet-2.4-api-5.5.23-0jpp.3.0.2.el5.i386.rpm | deb113e7d216237760505d9780b73a76 |
| tomcat5-servlet-2.4-api-javadoc-5.5.23-0jpp.3.0.2.el5.i386.rpm | 4d9285f3236fb71cc4f1595cdaceb2c0 |
| tomcat5-webapps-5.5.23-0jpp.3.0.2.el5.i386.rpm | 14685a050088e338be428d4b315bed15 |
| IA-64: | |
| tomcat5-5.5.23-0jpp.3.0.2.el5.ia64.rpm | d1243dc5b592ce4c5058abba7d315345 |
| tomcat5-admin-webapps-5.5.23-0jpp.3.0.2.el5.ia64.rpm | a2cf1700b014cec10c29031a0bb543cf |
| tomcat5-common-lib-5.5.23-0jpp.3.0.2.el5.ia64.rpm | f7c35060c547b32906d0152513198f52 |
| tomcat5-jasper-5.5.23-0jpp.3.0.2.el5.ia64.rpm | d3ebf74a70ed5e96600beca2cbc619d9 |
| tomcat5-jasper-javadoc-5.5.23-0jpp.3.0.2.el5.ia64.rpm | 678a8878ac383ec4b1d30f1e19623520 |
| tomcat5-jsp-2.0-api-5.5.23-0jpp.3.0.2.el5.ia64.rpm | c15745c6040cf2c3f3f7ba9de185654d |
| tomcat5-jsp-2.0-api-javadoc-5.5.23-0jpp.3.0.2.el5.ia64.rpm | d9597bc0b803984b99ffefbdb631a9d0 |
| tomcat5-server-lib-5.5.23-0jpp.3.0.2.el5.ia64.rpm | 95526b81e80b1ed513e399279901bfc5 |
| tomcat5-servlet-2.4-api-5.5.23-0jpp.3.0.2.el5.ia64.rpm | e237eff013f4913f67709b0b27e90d6b |
| tomcat5-servlet-2.4-api-javadoc-5.5.23-0jpp.3.0.2.el5.ia64.rpm | 9543decf3e658d3bbcdf22a9ed151f87 |
| tomcat5-webapps-5.5.23-0jpp.3.0.2.el5.ia64.rpm | 5d19ef46e5fc9b59f382c63160dd3c59 |
| PPC: | |
| tomcat5-5.5.23-0jpp.3.0.2.el5.ppc.rpm | d2113dd83880307a85683247a02eb3a0 |
| tomcat5-admin-webapps-5.5.23-0jpp.3.0.2.el5.ppc.rpm | 1befc45ebca6fcebdde8ea58255592db |
| tomcat5-common-lib-5.5.23-0jpp.3.0.2.el5.ppc.rpm | 661cb595807b4be529c5fee444f53f73 |
| tomcat5-jasper-5.5.23-0jpp.3.0.2.el5.ppc.rpm | af2381512f812c196346fcfcedccc599 |
| tomcat5-jasper-javadoc-5.5.23-0jpp.3.0.2.el5.ppc.rpm | 0a5499eea93ae7230728764d6f5433c9 |
| tomcat5-jsp-2.0-api-5.5.23-0jpp.3.0.2.el5.ppc.rpm | 39d4dbd2ffcdafe5595c8fcba0d36c82 |
| tomcat5-jsp-2.0-api-javadoc-5.5.23-0jpp.3.0.2.el5.ppc.rpm | 916fb1dedfc9f27e67c722d872e019d8 |
| tomcat5-server-lib-5.5.23-0jpp.3.0.2.el5.ppc.rpm | f0a5fe0ea04ff15df8e1488e2e337606 |
| tomcat5-servlet-2.4-api-5.5.23-0jpp.3.0.2.el5.ppc.rpm | 6ebdac439d0d3f640ee6bae5eb7d0db0 |
| tomcat5-servlet-2.4-api-javadoc-5.5.23-0jpp.3.0.2.el5.ppc.rpm | de8148bb55edd17fd09dda369b2b5621 |
| tomcat5-webapps-5.5.23-0jpp.3.0.2.el5.ppc.rpm | d4c08ad82261464da948463712f7362d |
| s390x: | |
| tomcat5-5.5.23-0jpp.3.0.2.el5.s390x.rpm | c594c99a882748d4c8a6a26542fb5214 |
| tomcat5-admin-webapps-5.5.23-0jpp.3.0.2.el5.s390x.rpm | 3fc2ddbb8cfd1b570b85ec2bcbbd1684 |
| tomcat5-common-lib-5.5.23-0jpp.3.0.2.el5.s390x.rpm | 5c0178460eaade94169af229a57c6764 |
| tomcat5-jasper-5.5.23-0jpp.3.0.2.el5.s390x.rpm | 85590df0cf18b16e41309da3382bb5ff |
| tomcat5-jasper-javadoc-5.5.23-0jpp.3.0.2.el5.s390x.rpm | 74a06cfefa4d31dc17d5d9f4fa71f345 |
| tomcat5-jsp-2.0-api-5.5.23-0jpp.3.0.2.el5.s390x.rpm | 2cbeb5dfc8464099c090434b8c5a8e0b |
| tomcat5-jsp-2.0-api-javadoc-5.5.23-0jpp.3.0.2.el5.s390x.rpm | fa035a0f0cd0b80a1e866c0e7c35899f |
| tomcat5-server-lib-5.5.23-0jpp.3.0.2.el5.s390x.rpm | 8cb6883fa810bc4ad606724209f0bc15 |
| tomcat5-servlet-2.4-api-5.5.23-0jpp.3.0.2.el5.s390x.rpm | 474dfcf43451a02d422506d8a12876a5 |
| tomcat5-servlet-2.4-api-javadoc-5.5.23-0jpp.3.0.2.el5.s390x.rpm | fedb0523b1a126613ca04fce2674546c |
| tomcat5-webapps-5.5.23-0jpp.3.0.2.el5.s390x.rpm | e9402bc61b20745f61ffed678af844f5 |
| x86_64: | |
| tomcat5-5.5.23-0jpp.3.0.2.el5.x86_64.rpm | 9a0875239aee9d021c8d4a56b42bb2a6 |
| tomcat5-admin-webapps-5.5.23-0jpp.3.0.2.el5.x86_64.rpm | 11619162c8e0adc036756a7ac03ce559 |
| tomcat5-common-lib-5.5.23-0jpp.3.0.2.el5.x86_64.rpm | d95026b2750fff774772c44a57f74792 |
| tomcat5-jasper-5.5.23-0jpp.3.0.2.el5.x86_64.rpm | 9d3ddc4acf0c2ab389488f735aadf345 |
| tomcat5-jasper-javadoc-5.5.23-0jpp.3.0.2.el5.x86_64.rpm | 3f2f6100623f9acb18d990fc52d9aa82 |
| tomcat5-jsp-2.0-api-5.5.23-0jpp.3.0.2.el5.x86_64.rpm | fe8527d96dc984611e17982a0dfce68b |
| tomcat5-jsp-2.0-api-javadoc-5.5.23-0jpp.3.0.2.el5.x86_64.rpm | 1b51651253a8fe556bba1ddc565147f0 |
| tomcat5-server-lib-5.5.23-0jpp.3.0.2.el5.x86_64.rpm | 86702ce51dbe4da513827d49758858d9 |
| tomcat5-servlet-2.4-api-5.5.23-0jpp.3.0.2.el5.x86_64.rpm | c831207357291c3dd091964e9aa49ebc |
| tomcat5-servlet-2.4-api-javadoc-5.5.23-0jpp.3.0.2.el5.x86_64.rpm | 1be1106c350b4f834c5959e144cbfdb5 |
| tomcat5-webapps-5.5.23-0jpp.3.0.2.el5.x86_64.rpm | 9ce3022090cc5cc036bec3f2edf75f49 |
| Red Hat Enterprise Linux Desktop (v. 5 client) | |
| SRPMS: | |
| tomcat5-5.5.23-0jpp.3.0.2.el5.src.rpm | 4cd5017f99a44689fd97bfaddb4d1e49 |
| IA-32: | |
| tomcat5-jsp-2.0-api-5.5.23-0jpp.3.0.2.el5.i386.rpm | 226f3d1465041197fc02615be82163fb |
| tomcat5-servlet-2.4-api-5.5.23-0jpp.3.0.2.el5.i386.rpm | deb113e7d216237760505d9780b73a76 |
| x86_64: | |
| tomcat5-jsp-2.0-api-5.5.23-0jpp.3.0.2.el5.x86_64.rpm | fe8527d96dc984611e17982a0dfce68b |
| tomcat5-servlet-2.4-api-5.5.23-0jpp.3.0.2.el5.x86_64.rpm | c831207357291c3dd091964e9aa49ebc |
| (The unlinked packages above are only available from the Red Hat Network) | |
バグフィックス (詳細は、bugzilla/バグジラ[英語]を御覧ください。)
247972 - CVE-2007-3382 tomcat handling of cookies
247976 - CVE-2007-3385 tomcat handling of cookie values
247994 - CVE-2007-3386 tomcat host manager xss
参照
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3382
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3385
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3386
http://tomcat.apache.org/security-5.html
http://www.redhat.com/security/updates/classification/#moderate
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3385
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3386
http://tomcat.apache.org/security-5.html
http://www.redhat.com/security/updates/classification/#moderate
ここに在るパッケージはセキュリティの為、Red Hat, Inc. によって、GPG認証されています。
認証キー及び詳細は以下を御覧下さい。
https://www.redhat.com/security/team/key/#package
The Red Hat security contact is secalert@redhat.com. More contact details at http://www.redhat.com/security/team/contact/
Copyright © 2008 Red Hat, Inc. All rights reserved.
プライバシー ステートメント :
リーガル ステートメント/利用条件 :
特許に関する見解と約束 :
各種お問い合わせ