【詳細情報】Apache Tomcat XSSの脆弱性の暫定処置 | ScanNetSecurity
2025.11.28(金)

【詳細情報】Apache Tomcat XSSの脆弱性の暫定処置

◆概要:
 Apache Software FoundationのTomcatサーバーとデフォルトで標準出荷されているクロスサイトスクリプティング(XSS)の脆弱をもつ複数のウェブページに対して暫定処置が存在する。様々なエラー、見本ページに、攻撃者が悪用可能なXSSの欠陥が含まれている。

国際 海外情報
26 views
facebookLINE
◆概要:
 Apache Software FoundationのTomcatサーバーとデフォルトで標準出荷されているクロスサイトスクリプティング(XSS)の脆弱をもつ複数のウェブページに対して暫定処置が存在する。様々なエラー、見本ページに、攻撃者が悪用可能なXSSの欠陥が含まれている。


◆情報ソース:
・Vuln-Dev (Skinnay skinnay@skinnux.com), Aug. 21, 2002

◆キーワード:
 Apache: Tomcat

◆分析:
 (iDEFENSE米国)管理者は必ず、ウェブサーバーと一緒に出荷された見本ページ、その他関連する不要なコンポーネントを削除すべきである。

◆検知方法:
 Apache Tomcat 4.1の様々なバージョンで脆弱性が報告されている。ただし、一部のプラットフォームはエラーを発生させるが、他のプラットフォームはXSS攻撃用データを発生させる。http://example.com:8080/666%0a%0a<script>alert("asdf");</script>666.jsp.といったURLを用いて、サイトをテストできる。

◆暫定処置:
 製品サーバーのサンプルコンポーネントを削除するか、信頼できるシステム、ユーザーにのみアクセスを制限する。「ローカル」のHTTP_REFERRERのみ使用できる(すなわち、外部サイトから直接リンクできない)よう、エラー生成スクリプトへのアクセスを制限すべきである。HTTP_REFERRERはクライアントによるなりすましが可能なことに留意する。ただし、攻撃者が偽のヘッダーを含むURLを作成し、それをクライアントが使用する可能性は低い。他にも、エラーページを非動的ページに置換できる。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【17:32 GMT、08、23、2002】

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. 15 億円の身代金要求した疑い セキュリティ企業の社員が自らランサムウェア仕掛けたか

    15 億円の身代金要求した疑い セキュリティ企業の社員が自らランサムウェア仕掛けたか

  2. 社員の個人保有 PC がウイルス感染、業務で使用する認証情報が流出

    社員の個人保有 PC がウイルス感染、業務で使用する認証情報が流出

  3. コバヤシのサーバに不正アクセス、情報が窃取されるもデータ暗号化や業務停止に至る被害は無し

    コバヤシのサーバに不正アクセス、情報が窃取されるもデータ暗号化や業務停止に至る被害は無し

  4. 不正アクセスで公開停止した岡山県の PR サイトが復旧

    不正アクセスで公開停止した岡山県の PR サイトが復旧

  5. ゼネラルで使用していた端末から情報流出の可能性

    ゼネラルで使用していた端末から情報流出の可能性

ランキングをもっと見る
PageTop
ホーム 国際 海外情報 記事
TOP