製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

Jetty におけるセッション識別子を推測される脆弱性

タイトル	Jetty におけるセッション識別子を推測される脆弱性
概要	Jetty は、予測可能な java.util.random を使用するセッション識別子を生成するため、総当たり攻撃を通してセッション識別子を推測される、認証要求を回避される、およびクロスサイトリクエストフォージェリ攻撃を実行される脆弱性が存在します。
想定される影響	第三者により、総当たり攻撃を通してセッション識別子を推測される、認証要求を回避される、およびクロスサイトリクエストフォージェリ攻撃を実行される可能性があります。
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
公表日	2007年2月7日0:00
登録日	2012年9月25日15:36
最終更新日	2012年9月25日15:36

CVSS2.0 : 警告
スコア	6.8
ベクター	AV:N/AC:M/Au:N/C:P/I:P/A:P

影響を受けるシステム

jetty

jetty http server 4.2.27 未満、5.1.12 未満の 5.1、および 6.0.2 未満の 6.0、6.1.0pre3 未満の 6.1

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2006-6969	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6969
National Vulnerability Database (NVD)
2	CVE-2006-6969	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2006-6969

ベンダー情報

No	名前	URL
jetty
1	Jetty	http://sourceforge.net/projects/jetty/files/

変更履歴

No	変更内容	変更日
0	[2012年09月25日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2006-6969

概要	Jetty before 4.2.27, 5.1 before 5.1.12, 6.0 before 6.0.2, and 6.1 before 6.1.0pre3 generates predictable session identifiers using java.util.random, which makes it easier for remote attackers to guess a session identifier through brute force attacks, bypass authentication requirements, and possibly conduct cross-site request forgery attacks.
概要	Jetty anterior al 4.2.27, 5.1 anterior al 5.1.12, 6.0 anterior al 6.0.2 y 6.1 anterior al 6.1.0pre3 genera identificadores de sesión predecibles utilizando java.util.random, lo que hace más fácil para atacantes remotos el adivinar los identificadores de sesiones utilizando ataques de fuerza bruta y, posiblemente, llevar a cabo ataques de falsificación de petición en sitios cruzados.
公表日	2007年2月7日20:28
登録日	2021年1月29日15:53
最終更新日	2026年4月23日9:35

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:jetty:jetty_http_server:4.2.9:::::::*
cpe:2.3:a:jetty:jetty_http_server:4.2.11:::::::*
cpe:2.3:a:jetty:jetty_http_server:4.2.12:::::::*
cpe:2.3:a:jetty:jetty_http_server:4.2.14:::::::*
cpe:2.3:a:jetty:jetty_http_server:4.2.15:::::::*
cpe:2.3:a:jetty:jetty_http_server:4.2.16:::::::*
cpe:2.3:a:jetty:jetty_http_server:4.2.17:::::::*
cpe:2.3:a:jetty:jetty_http_server:4.2.18:::::::*
cpe:2.3:a:jetty:jetty_http_server:4.2.19:::::::*
cpe:2.3:a:jetty:jetty_http_server:4.2.24:::::::*
cpe:2.3:a:jetty:jetty_http_server:5.1.11:::::::*
cpe:2.3:a:jetty:jetty_http_server:6.0.1:::::::*
cpe:2.3:a:jetty:jetty_http_server:6.1.0_pre2:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	http://archives.neohapsis.com/archives/bugtraq/2007-02/0070.html	cve@mitre.org
2	http://fisheye.codehaus.org/changelog/jetty/?cs=1274	cve@mitre.org
3	http://osvdb.org/33108	cve@mitre.org
4	http://secunia.com/advisories/24070	cve@mitre.org
5	http://www.securityfocus.com/archive/1/459164/100/0/threaded	cve@mitre.org
6	http://www.securityfocus.com/bid/22405	cve@mitre.org
7	http://www.vupen.com/english/advisories/2007/0497	cve@mitre.org
8	https://exchange.xforce.ibmcloud.com/vulnerabilities/32240	cve@mitre.org
9	http://archives.neohapsis.com/archives/bugtraq/2007-02/0070.html	af854a3a-2127-422b-91ae-364da2661108
10	http://fisheye.codehaus.org/changelog/jetty/?cs=1274	af854a3a-2127-422b-91ae-364da2661108
11	http://osvdb.org/33108	af854a3a-2127-422b-91ae-364da2661108
12	http://secunia.com/advisories/24070	af854a3a-2127-422b-91ae-364da2661108
13	http://www.securityfocus.com/archive/1/459164/100/0/threaded	af854a3a-2127-422b-91ae-364da2661108
14	http://www.securityfocus.com/bid/22405	af854a3a-2127-422b-91ae-364da2661108
15	http://www.vupen.com/english/advisories/2007/0497	af854a3a-2127-422b-91ae-364da2661108
16	https://exchange.xforce.ibmcloud.com/vulnerabilities/32240	af854a3a-2127-422b-91ae-364da2661108

共通脆弱性一覧