特定の文字のCookie使用によるセッションハイジャック
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
]
開始行:
**関連するバージョン [#p09c9f63]
Apache Tomcat 4.1.0 から 4.1.36 のバージョン~
Apache Tomcat 5.0.0 から 5.0.30 のバージョン~
Apache Tomcat 5.5.0 から 5.5.24 のバージョン~
Apache Tomcat 6.0.13 およびそれ以前のバージョン~
**緊急度 [#me5fb2b1]
本問題は緊急に対応が必要なセキュリティバグではありません。~
**内容 [#u8652c82]
' (シングルコーテーション)と \ (バックスラッシュ)をCookie...
この2つの文字に関しては処理に不備がありセッションデータな...
特定文字を使用していなければ問題は無いのですが。。。~
特定の文字を使用していますでしょうか?~
もし使用している場合は何か検討が必要になるかもしれません...
-参考URL~
http://jvndb.jvn.jp/contents/ja/2007/JVNDB-2007-000596.ht...
http://jvndb.jvn.jp/contents/ja/2007/JVNDB-2007-000597.ht...
また同様にTomcatに付属しているsampleプログラムがあります...
こちらは外部から実行可能な常態かどうかご確認いただけます...
実行可能であれば実行できない様に設定を変更していただくこ...
問題のあるサンプルプログラムは~
appdev/sample/web/hello.jsp
snp/snoop.jsp
の2つです~
-参考URL~
http://jvndb.jvn.jp/contents/ja/2007/JVNDB-2007-000456.ht...
http://jvndb.jvn.jp/contents/ja/2007/JVNDB-2007-000402.ht...
ともに5.5.23に含まれているセキュリティ問題なります。(最新...
終了行:
**関連するバージョン [#p09c9f63]
Apache Tomcat 4.1.0 から 4.1.36 のバージョン~
Apache Tomcat 5.0.0 から 5.0.30 のバージョン~
Apache Tomcat 5.5.0 から 5.5.24 のバージョン~
Apache Tomcat 6.0.13 およびそれ以前のバージョン~
**緊急度 [#me5fb2b1]
本問題は緊急に対応が必要なセキュリティバグではありません。~
**内容 [#u8652c82]
' (シングルコーテーション)と \ (バックスラッシュ)をCookie...
この2つの文字に関しては処理に不備がありセッションデータな...
特定文字を使用していなければ問題は無いのですが。。。~
特定の文字を使用していますでしょうか?~
もし使用している場合は何か検討が必要になるかもしれません...
-参考URL~
http://jvndb.jvn.jp/contents/ja/2007/JVNDB-2007-000596.ht...
http://jvndb.jvn.jp/contents/ja/2007/JVNDB-2007-000597.ht...
また同様にTomcatに付属しているsampleプログラムがあります...
こちらは外部から実行可能な常態かどうかご確認いただけます...
実行可能であれば実行できない様に設定を変更していただくこ...
問題のあるサンプルプログラムは~
appdev/sample/web/hello.jsp
snp/snoop.jsp
の2つです~
-参考URL~
http://jvndb.jvn.jp/contents/ja/2007/JVNDB-2007-000456.ht...
http://jvndb.jvn.jp/contents/ja/2007/JVNDB-2007-000402.ht...
ともに5.5.23に含まれているセキュリティ問題なります。(最新...
ページ名: