製品・ソフトウェアに関する情報
Vulnerability Search
Undertow における HTTP リクエストスマグリングに関する脆弱性
Title Undertow における HTTP リクエストスマグリングに関する脆弱性
Summary

Undertow には、HTTP リクエストスマグリングに関する脆弱性が存在します。 本脆弱性は、CVE-2017-2666 に対する修正が不十分だったことによる脆弱性です。

Possible impacts 情報を取得される、および情報を改ざんされる可能性があります。
Solution

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date Dec. 13, 2017, midnight
Registration Date Feb. 27, 2018, 4:56 p.m.
Last Update Feb. 27, 2018, 4:56 p.m.
CVSS3.0 : 警告
Score 6.1
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
CVSS2.0 : 警告
Score 5.8
Vector AV:N/AC:M/Au:N/C:P/I:P/A:N
Affected System
レッドハット
Undertow 1.3.31.Final 未満の 1.3.x
Undertow 1.4.17.Final 未満の 1.4.x
Undertow 2.0.0.Alpha2 未満の 2.x
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
1 [2018年02月27日]
  掲載		 Feb. 27, 2018, 4:56 p.m.
NVD Vulnerability Information
CVE-2017-7559
Summary

In Undertow 2.x before 2.0.0.Alpha2, 1.4.x before 1.4.17.Final, and 1.3.x before 1.3.31.Final, it was found that the fix for CVE-2017-2666 was incomplete and invalid characters are still allowed in the query string and path parameters. This could be exploited, in conjunction with a proxy that also permitted the invalid characters but with a different interpretation, to inject data into the HTTP response. By manipulating the HTTP response the attacker could poison a web-cache, perform an XSS attack, or obtain sensitive information from requests other than their own.

Publication Date Jan. 11, 2018, 12:29 a.m.
Registration Date Jan. 26, 2021, 1:28 p.m.
Last Update Nov. 21, 2024, 12:32 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:redhat:undertow:2.0.0:alpha1:*:*:*:*:*:*
cpe:2.3:a:redhat:undertow:*:*:*:*:*:*:*:* 1.4.0 1.4.17
cpe:2.3:a:redhat:undertow:*:*:*:*:*:*:*:* 1.3.0 1.3.31
Related information, measures and tools
Common Vulnerabilities List