tomcat5-5.5.23-0jpp.7.2.1AXS3

エラータID: AXSA:2009-366:02

リリース日: 
2009/08/19 Wednesday - 12:15
題名: 
tomcat5-5.5.23-0jpp.7.2.1AXS3
影響のあるチャネル: 
Asianux Server 3 for x86_64
Asianux Server 3 for x86
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Apache Tomcat には、Cookie 情報を生成する過程で特定の文字を適切に処理しないため、遠隔の第三者からユーザのウェブブラウザへ不正な Cookie を送信される可能性があります。(CVE-2007-5333)

- Apache Tomcat には、特定のメソッドを利用したアプリケーションにおいて、WEB-INF ディレクトリ配下の情報が漏えいする脆弱性が存在します。(CVE-2008-5515)

- Apache Tomcat は、Java AJP コネクタ経由で送られた不正なヘッダを含むリクエストを処理する際、エラーを返さず AJP との接続を切断します。その際、コネクタが mod_jk lb ワーカである場合はエラー状態となり、約1分間利用不可能となります。その結果、サービス運用妨害(DoS)攻撃などに使用される可能性があります。(CVE-2009-0033)

- Apache Tomcat には、FORM 認証を使用している場合に、エラーチェック処理に不備があるため、有効なユーザ名を列挙される脆弱性が存在します。 (CVE-2009-0580)

- Apache Tomcat のサンプル用 calendar アプリケーションには、time パラメータの処理に不備があるため、クロスサイトスクリプティングの脆弱性が存在します。(CVE-2009-0781)

- Apache Tomcat には、Web アプリケーションが他の Web アプリケーションに対する XML パーサを置き換えることを許可するため、任意の Web アプリケーションの web.xml、context.xml、tld ファイルを読まれる、または改ざんされる脆弱性が存在します。 (CVE-2009-0783)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2007-5333
Apache Tomcat 6.0.0 through 6.0.14, 5.5.0 through 5.5.25, and 4.1.0 through 4.1.36 does not properly handle (1) double quote (") characters or (2) %5C (encoded backslash) sequences in a cookie value, which might cause sensitive information such as session IDs to be leaked to remote attackers and enable session hijacking attacks. NOTE: this issue exists because of an incomplete fix for CVE-2007-3385.
CVE-2008-5515
Apache Tomcat 4.1.0 through 4.1.39, 5.5.0 through 5.5.27, 6.0.0 through 6.0.18, and possibly earlier versions normalizes the target pathname before filtering the query string when using the RequestDispatcher method, which allows remote attackers to bypass intended access restrictions and conduct directory traversal attacks via .. (dot dot) sequences and the WEB-INF directory in a Request.
CVE-2009-0033
Apache Tomcat 4.1.0 through 4.1.39, 5.5.0 through 5.5.27, and 6.0.0 through 6.0.18, when the Java AJP connector and mod_jk load balancing are used, allows remote attackers to cause a denial of service (application outage) via a crafted request with invalid headers, related to temporary blocking of connectors that have encountered errors, as demonstrated by an error involving a malformed HTTP Host header.
CVE-2009-0580
Apache Tomcat 4.1.0 through 4.1.39, 5.5.0 through 5.5.27, and 6.0.0 through 6.0.18, when FORM authentication is used, allows remote attackers to enumerate valid usernames via requests to /j_security_check with malformed URL encoding of passwords, related to improper error checking in the (1) MemoryRealm, (2) DataSourceRealm, and (3) JDBCRealm authentication realms, as demonstrated by a % (percent) value for the j_password parameter.
CVE-2009-0781
Cross-site scripting (XSS) vulnerability in jsp/cal/cal2.jsp in the calendar application in the examples web application in Apache Tomcat 4.1.0 through 4.1.39, 5.5.0 through 5.5.27, and 6.0.0 through 6.0.18 allows remote attackers to inject arbitrary web script or HTML via the time parameter, related to "invalid HTML."
CVE-2009-0783
Apache Tomcat 4.1.0 through 4.1.39, 5.5.0 through 5.5.27, and 6.0.0 through 6.0.18 permits web applications to replace an XML parser used for other web applications, which allows local users to read or modify the (1) web.xml, (2) context.xml, or (3) tld files of arbitrary web applications via a crafted application that is loaded earlier than the target application.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. tomcat5-5.5.23-0jpp.7.2.1AXS3.src.rpm
    MD5: 3c596a3ca363fe3657b6831429b6632c
    SHA-256: 0f71972795c4236455c68b8a4abde659c721296db8f119d52d44cadec0d3dae2
    Size: 4.72 MB

Asianux Server 3 for x86
  1. tomcat5-5.5.23-0jpp.7.2.1AXS3.i386.rpm
    MD5: 1e8344e99e2a6cbc2b6f7d1f0b1c3ba6
    SHA-256: 44c2232eff317bc76fd70e5eea0ed6ee1953d004829fb5b6a12d69c4a92d67fb
    Size: 340.47 kB
  2. tomcat5-admin-webapps-5.5.23-0jpp.7.2.1AXS3.i386.rpm
    MD5: 05941a042490a876dd0f06258efa14a8
    SHA-256: 8e15bd1a6039388e80dc52152799f521aa36e22392d87bfedca5d35369f0f451
    Size: 3.02 MB
  3. tomcat5-common-lib-5.5.23-0jpp.7.2.1AXS3.i386.rpm
    MD5: d49c3213535955f9c7faf5ea167e4f40
    SHA-256: 30e8305afd8d97890aa12f1d607834b84b5e901534fd01c60bf49f3c1ee6fd5f
    Size: 199.38 kB
  4. tomcat5-jasper-5.5.23-0jpp.7.2.1AXS3.i386.rpm
    MD5: c63737f69cbc3116058945cbe55c818d
    SHA-256: 34f533163020c6b8b469b62ed527f42fdd31332e3ad6fb0b41e28cddbe58fe16
    Size: 0.95 MB
  5. tomcat5-jasper-javadoc-5.5.23-0jpp.7.2.1AXS3.i386.rpm
    MD5: f12e43260e11900af451e35d8a2b88a0
    SHA-256: 905cb09285e0fedc8e4a72b2432cd52b02c662e384dc44ef1a73fa9c5a73f426
    Size: 280.46 kB
  6. tomcat5-jsp-2.0-api-5.5.23-0jpp.7.2.1AXS3.i386.rpm
    MD5: e802a818ba57c2c1ac2b6fc8f01b8d9c
    SHA-256: b6089a9c172bbeb79d6c6c974b34d7f6f2471e2a6790e7a51b30e6a46200a32d
    Size: 95.96 kB
  7. tomcat5-jsp-2.0-api-javadoc-5.5.23-0jpp.7.2.1AXS3.i386.rpm
    MD5: 87b133dd0b22fcd4f31a3044cb805c59
    SHA-256: 4db200268d0824d8402eec1ab70963ffe3bf86aa3da29fe33ebe424f4b3cdcde
    Size: 148.29 kB
  8. tomcat5-server-lib-5.5.23-0jpp.7.2.1AXS3.i386.rpm
    MD5: 7e4aca9ab62e5b96485d98de6f202636
    SHA-256: 5d19fc7e649715dd7d12acb21c7085994088674273a69dc7cbef96ca3ba4dfcc
    Size: 3.57 MB
  9. tomcat5-servlet-2.4-api-5.5.23-0jpp.7.2.1AXS3.i386.rpm
    MD5: edf17f6060445d309fd8f33a3354745e
    SHA-256: da6740c91c99cd82aababba16d1228fbe460cb88e13b37212417386b039e2c11
    Size: 152.85 kB
  10. tomcat5-servlet-2.4-api-javadoc-5.5.23-0jpp.7.2.1AXS3.i386.rpm
    MD5: c96a3cb845b7f756ca2030c1b5caee59
    SHA-256: 64faa6d8c845b0decb2c842f9209fea2805b0304b5c86379cfa48d9c885f2069
    Size: 153.48 kB
  11. tomcat5-webapps-5.5.23-0jpp.7.2.1AXS3.i386.rpm
    MD5: e98f0da0ac5c96d66e1b46237db88332
    SHA-256: 4e69550f68c35aeedb76390e594b027f6cd05a30520f589c320bc60238de3713
    Size: 1.24 MB

Asianux Server 3 for x86_64
  1. tomcat5-5.5.23-0jpp.7.2.1AXS3.x86_64.rpm
    MD5: 2d85fa402abce3ae5327b2d07265b27d
    SHA-256: d0574818d483a5037f4cf839baa4ff130614054cf9e42a10f5b411a1eb234b7b
    Size: 362.75 kB
  2. tomcat5-admin-webapps-5.5.23-0jpp.7.2.1AXS3.x86_64.rpm
    MD5: bfdf0fcd09a90ce72ba3a4651daff71b
    SHA-256: d11684d8de95bce57cd5d84226ad68305bbc98378b75f0f6d658c2713f0dd209
    Size: 3.43 MB
  3. tomcat5-common-lib-5.5.23-0jpp.7.2.1AXS3.x86_64.rpm
    MD5: 5320ce9adf53e45adbde5b6ab7426ccd
    SHA-256: bc1502fe4a343e5a0005f275c01c80d43f46a331f8f5fa6d9b657b876fa79cc3
    Size: 223.72 kB
  4. tomcat5-jasper-5.5.23-0jpp.7.2.1AXS3.x86_64.rpm
    MD5: 07b1ee110452ca5e5e8445ea4ae50df8
    SHA-256: 6940c6d69443c864b9799b3c0357c341e0a80d2cd0864469543bbb45206bd0b7
    Size: 1.09 MB
  5. tomcat5-jasper-javadoc-5.5.23-0jpp.7.2.1AXS3.x86_64.rpm
    MD5: 7e95a293d71c68bfcc88c5808c1fbd79
    SHA-256: 0e29729472a6b108aef81b7010125774ddb4a9b1135f5c52bd81f4eb2bf5229f
    Size: 280.28 kB
  6. tomcat5-jsp-2.0-api-5.5.23-0jpp.7.2.1AXS3.x86_64.rpm
    MD5: d69581c66a1f8666d0e836f993244f0c
    SHA-256: eab69800d6ac3c33cd57afeb188081d3dc4b30c0dfc0dde75fc2e1241358913b
    Size: 102.27 kB
  7. tomcat5-jsp-2.0-api-javadoc-5.5.23-0jpp.7.2.1AXS3.x86_64.rpm
    MD5: 7ffb94c3bdc6cf045202692e07f4a6d0
    SHA-256: 7a704a84e9619737c44c4454483428715405addc7c70ed2a79a5f558eb8f4d22
    Size: 148.16 kB
  8. tomcat5-server-lib-5.5.23-0jpp.7.2.1AXS3.x86_64.rpm
    MD5: fb12376ae17ff4039683e58b2227c5c0
    SHA-256: c7965a1de1b12bd80ee8b466575f0eec8b98d792f9bd9b534c13cb0b1c78a935
    Size: 4.05 MB
  9. tomcat5-servlet-2.4-api-5.5.23-0jpp.7.2.1AXS3.x86_64.rpm
    MD5: c9fcf4daa8fad74984b0e5489aec20be
    SHA-256: b540c128a7556eaa80a15524ff9d50353fa3b1e97048e22cd9b9321590c7b009
    Size: 162.18 kB
  10. tomcat5-servlet-2.4-api-javadoc-5.5.23-0jpp.7.2.1AXS3.x86_64.rpm
    MD5: 516659b92a65a42acbf8cbb27e983a78
    SHA-256: 4d8a2ba7a76e3b1ae296f248bf63a91fb10efcf3529a7db4c0792a876f278d96
    Size: 153.37 kB
  11. tomcat5-webapps-5.5.23-0jpp.7.2.1AXS3.x86_64.rpm
    MD5: 4f2d7abbec8635b550880ba68a87ae4e
    SHA-256: a15746b23ce65af8e29605c72e44fd7e343522027949d78a18aa0abc5dd95ecd
    Size: 1.24 MB