ニュース
Apache Tomcatに不正Cookieの脆弱性
IPAとJPCERT/CCは、オープンソースソフトウェア「Apache Tomcat」で、不正なCookieが送信される脆弱性が見つかったと発表した。
情報処理推進機構(IPA)セキュリティセンターとJPCERTコーディネーションセンター(JPCERT/CC)は2月12日、Webアプリケーションサーバに脆弱性が発見されたと発表した。
サーバ上でJavaアプリケーションを動作させるためのオープンソースソフトウェア「Apache Tomcat」で、不正なCookieが送信される脆弱性が見つかった。Apache Tomcatは、HTTPリクエストに基づくCookie情報の生成過程で特定の文字を適切に処理しないため、遠隔からユーザーのWebブラウザに不正なCookieが送信される可能性がある。
影響を受けるシステムは「Apache Tomcat 4.1.0から4.1.36」「同5.5.0から5.5.25」「同6.0.0から6.0.14」。
Apache Tomcat 6.0.xおよびApache Tomcat 5.5.xの場合、最新版にアップグレードすれば対処できる。Apache Tomcat 4.1.xでは最新版は提供されていないが、近日中に公開のApache Tomcat 4.1.37では問題が解消しているという。
関連記事
- 2007年4Qは脆弱性の修正件数は過去最高に――IPA調べ
IPAとJPCERT/CCは、2007年第4四半期のソフトウェアおよびWebサイトの脆弱性届出状況を発表した。 - IPA、TCP実装製品の脆弱性検証ツールを公開
情報処理推進機構は、TCPやIPを実装する製品の開発者向けに、脆弱性を検証するツールを無償で貸し出すと発表した。 - 2007年の脆弱性公開件数、初めて前年下回る
ISSの報告書によると、2007年の脆弱性情報開示件数が、前年度比で初めて減少に転じた。 - ヤマハのルータ製品にCSRFの脆弱性
IPAセキュリティセンターとJPCERT/CCは、複数のヤマハルータ製品に脆弱性があると発表した。 - Cisco、IPテレフォニー製品の脆弱性に対処
深刻度は、共通指標CVSS 2.0のスコアで最も高い10.0となっている。 - セキュリティ対策ソフトの押し売りにご注意――IPAが呼びかけ
IPAは、セキュリティ対策ソフトの押し売りに関する相談が目立つとして、コンピュータユーザーに注意を呼びかけている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.