tomcat5-5.5.23-0jpp.22.0.1.AXS3

エラータID: AXSA:2012-53:01

リリース日: 
2012/02/01 Wednesday - 11:30
題名: 
tomcat5-5.5.23-0jpp.22.0.1.AXS3
影響のあるチャネル: 
Asianux Server 3 for x86_64
Asianux Server 3 for x86
Severity: 
High
Description: 

以下項目について対処しました。<br />
<br />
[Security Fix]<br />
- Apache Tomcat には SeurityManager 内で実行している場合,ServletContext 属性を読み込み専用にしておらず,ローカルの Web アプリケーションがワーキングディレクトリの外側のファイルを読み書きする脆弱性があります。(CVE-2010-3718)<br />
<br />
- Apache Tomcat の HTML マネージャインターフェースには複数のクロスサイトスクリプティング (XSS) が存在し,リモートの攻撃者が任意の Web スクリプトあるいは HTML を注入する脆弱性があります。(CVE-2011-0013)<br />
<br />
- Apache Tomcat の HTTP ダイジェストアクセス認証実装はリプレイ攻撃に対して期待される対応策を持っておらず,正当なリクエストに関するネットワークを盗聴することによって,攻撃者にとってアクセス制限を回避しやすくなる脆弱性があります。(CVE-2011-1184)<br />
<br />
- Apache Tomcat は MemoryUserDatabase を使用している場合,JMX ユーザの作成の際にエラーが生じるとパスワードを含むログエントリを作成し,ログファイルを読むことによって,ローカルのユーザが機密情報を得る脆弱性があります。(CVE-2011-2204)<br />
<br />
一部CVEの翻訳文はJVNからの引用になります。<br />
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2010-3718
Apache Tomcat 7.0.0 through 7.0.3, 6.0.x, and 5.5.x, when running within a SecurityManager, does not make the ServletContext attribute read-only, which allows local web applications to read or write files outside of the intended working directory, as demonstrated using a directory traversal attack.
CVE-2011-0013
Multiple cross-site scripting (XSS) vulnerabilities in the HTML Manager Interface in Apache Tomcat 5.5 before 5.5.32, 6.0 before 6.0.30, and 7.0 before 7.0.6 allow remote attackers to inject arbitrary web script or HTML, as demonstrated via the display-name tag.
CVE-2011-1184
The HTTP Digest Access Authentication implementation in Apache Tomcat 5.5.x before 5.5.34, 6.x before 6.0.33, and 7.x before 7.0.12 does not have the expected countermeasures against replay attacks, which makes it easier for remote attackers to bypass intended access restrictions by sniffing the network for valid requests, related to lack of checking of nonce (aka server nonce) and nc (aka nonce-count or client nonce count) values.
CVE-2011-2204
Apache Tomcat 5.5.x before 5.5.34, 6.x before 6.0.33, and 7.x before 7.0.17, when the MemoryUserDatabase is used, creates log entries containing passwords upon encountering errors in JMX user creation, which allows local users to obtain sensitive information by reading a log file.


追加情報: 

N/A

ダウンロード: 

SRPMS
  1. tomcat5-5.5.23-0jpp.22.0.1.AXS3.src.rpm
    MD5: 0a204d30739cee0e519ddd01024684b4
    SHA-256: 7e7fd2b3d14d934e3ec545e3a2d2a48dcc0da6dc09500cc06c5bb76eba0d96e9
    Size: 4.74 MB

Asianux Server 3 for x86
  1. tomcat5-5.5.23-0jpp.22.0.1.AXS3.i386.rpm
    MD5: 1b6ff50fbc7bc9be257afe7cc5013461
    SHA-256: 00ff0e6fd6e6b1a54513bb55767a91f7b6fd4bda93094e406a099ec7b98cb0a0
    Size: 342.65 kB
  2. tomcat5-admin-webapps-5.5.23-0jpp.22.0.1.AXS3.i386.rpm
    MD5: b2c099456e87694b30757d3367c88f08
    SHA-256: 4aaef7c78185161a1a35e5204606303e6cb5855fc4e2522d1e455f392512694a
    Size: 3.02 MB
  3. tomcat5-common-lib-5.5.23-0jpp.22.0.1.AXS3.i386.rpm
    MD5: 017be9f3bf0a45a9b0697c2800c3dd81
    SHA-256: ba5a5deaa24c78691315d7d77825eed30b5592e8f5de453b5364e86b5321a0da
    Size: 201.01 kB
  4. tomcat5-jasper-5.5.23-0jpp.22.0.1.AXS3.i386.rpm
    MD5: 68bf4cd0692cc8ec82d9db9bfc726504
    SHA-256: c5f6e2e9f4a24c0c2b97c6845435320e94ca9ea987caf9a217ba1281fc6e28f8
    Size: 0.96 MB
  5. tomcat5-jasper-javadoc-5.5.23-0jpp.22.0.1.AXS3.i386.rpm
    MD5: 57e389d71115b028668da40f12104349
    SHA-256: 0eed74bb14d387a381c865ea522056df89edcf87b8fdb270e33b79fe2e9181cf
    Size: 282.15 kB
  6. tomcat5-jsp-2.0-api-5.5.23-0jpp.22.0.1.AXS3.i386.rpm
    MD5: a509cca83c1d3d573073a3d97b3637e0
    SHA-256: f8b9c5460a4d14db945ad0264567b7d57823c8ab3c4736df43a07ec76538cf7d
    Size: 97.60 kB
  7. tomcat5-jsp-2.0-api-javadoc-5.5.23-0jpp.22.0.1.AXS3.i386.rpm
    MD5: d4ffed9bb03454f89aae03c1231e35ac
    SHA-256: dc70c977fb18ee1a640ba4485c4125de6786d093d4fa390b9fcbde1ae51acf21
    Size: 149.92 kB
  8. tomcat5-server-lib-5.5.23-0jpp.22.0.1.AXS3.i386.rpm
    MD5: 8b17699f95bb30f1b2a42574874fa671
    SHA-256: f18a84220debe9c46050c9167cf64889de04ce22643e4fe90af54c52a149985c
    Size: 3.60 MB
  9. tomcat5-servlet-2.4-api-5.5.23-0jpp.22.0.1.AXS3.i386.rpm
    MD5: f0e402d98ba34d22db7cbed3f5154cde
    SHA-256: 09424a717bc48b7e1d4ce2b7111205ed7d08f07468b163f14aa202a46043e6fd
    Size: 154.48 kB
  10. tomcat5-servlet-2.4-api-javadoc-5.5.23-0jpp.22.0.1.AXS3.i386.rpm
    MD5: 7f45f605bb681147e5d0e16e1a2e5854
    SHA-256: 0c22ebd61a5742bce332d132f842ebae6f8441e5a4e9d76aad1e15fbff255c17
    Size: 155.12 kB
  11. tomcat5-webapps-5.5.23-0jpp.22.0.1.AXS3.i386.rpm
    MD5: 1b3b0e267080116e2b9b4c546b74d708
    SHA-256: cb21c05e80484f40b1a8ca454af16f921a9da5875feac95f97bc9a28d4224c5c
    Size: 1.24 MB

Asianux Server 3 for x86_64
  1. tomcat5-5.5.23-0jpp.22.0.1.AXS3.x86_64.rpm
    MD5: 93af10254863b364bfb769bc4021fb3b
    SHA-256: 937a146a5963cf32e94fe0eff9b6a1a1fa06eddcf0ed161049888594d9d4c5fa
    Size: 364.97 kB
  2. tomcat5-admin-webapps-5.5.23-0jpp.22.0.1.AXS3.x86_64.rpm
    MD5: c8e896a2f29fcb75f9396ed5225dc042
    SHA-256: 00c6f5410297f27cdec79eba527380be0a84a5d2486a7030850850f39deadb18
    Size: 3.44 MB
  3. tomcat5-common-lib-5.5.23-0jpp.22.0.1.AXS3.x86_64.rpm
    MD5: d094c77512c4cc2abc5a63f536b96d02
    SHA-256: e9f8a6fdfed19dd3455bc654fe498169ee638bfd851abb4bf1671cb6dafd3545
    Size: 225.35 kB
  4. tomcat5-jasper-5.5.23-0jpp.22.0.1.AXS3.x86_64.rpm
    MD5: a108a2ca5b12dfce8f40598a2f2bf508
    SHA-256: b16581ea1223c94553f151ff886e266377922ca433f6c86150959e6a966fc9de
    Size: 1.09 MB
  5. tomcat5-jasper-javadoc-5.5.23-0jpp.22.0.1.AXS3.x86_64.rpm
    MD5: bddeee4028eb1d7ff7e0156716bbb6a1
    SHA-256: dacb4da9164f2460e32fffc2c6e20063abb87b00d7985a17342d8040a71b1375
    Size: 281.94 kB
  6. tomcat5-jsp-2.0-api-5.5.23-0jpp.22.0.1.AXS3.x86_64.rpm
    MD5: e433e8d0e36f6a9063b5a4408953ea59
    SHA-256: 8fb5e499e73b18fdca7a625271ccc571a5c3d1711194304e5e05a84ccbe4ce17
    Size: 103.91 kB
  7. tomcat5-jsp-2.0-api-javadoc-5.5.23-0jpp.22.0.1.AXS3.x86_64.rpm
    MD5: 522c80cee380b9a28bd843cd561de3e2
    SHA-256: fa5f8b539f4c6d2be2fcdbe1d2e8e8925d3193fcc4bf83bdf66b27376ed7d352
    Size: 149.83 kB
  8. tomcat5-server-lib-5.5.23-0jpp.22.0.1.AXS3.x86_64.rpm
    MD5: 0791f71724ada71796323652f532be30
    SHA-256: 0c562c17d615c8bb873cc2611a01cfc24f088fbeaa4ab869ec0a26874ecebfe0
    Size: 4.08 MB
  9. tomcat5-servlet-2.4-api-5.5.23-0jpp.22.0.1.AXS3.x86_64.rpm
    MD5: 51402e372dd926411b218ee0a087ab75
    SHA-256: 1835dad6a63ab2682430d1449a658526b50ccfbea3641ea6de2cdbe7ba2b3fc0
    Size: 163.82 kB
  10. tomcat5-servlet-2.4-api-javadoc-5.5.23-0jpp.22.0.1.AXS3.x86_64.rpm
    MD5: 6f8be382c1256c877ec20a639888978d
    SHA-256: 289ac23f482e9214e58c59515dd37c745c93bd4413e008e64db81fba3253f17b
    Size: 155.02 kB
  11. tomcat5-webapps-5.5.23-0jpp.22.0.1.AXS3.x86_64.rpm
    MD5: 6a241e9808ae54924e13fc0c35d31e92
    SHA-256: c378762a23023abf14f7af3fe34d8e3baa3370aa45eeb5891d8e057d4a76e7d2
    Size: 1.24 MB