製品・ソフトウェアに関する情報

JVN脆弱性詳細

Apache HTTP Server の mod_negotiation モジュールにおけるクロスサイトスクリプティングの脆弱性

タイトル	Apache HTTP Server の mod_negotiation モジュールにおけるクロスサイトスクリプティングの脆弱性
概要	Apache HTTP Server の mod_negotiation モジュールは、拡張子がリクエスト内で省略されている際に、クロスサイトスクリプティングの脆弱性が存在します。
想定される影響	認証されたリモートユーザにより、クロスサイトスクリプティングシーケンスおよびファイル拡張子を伴うファイルをアップロードされることで、(1)「 406 Not Acceptable 」または (2) 「 300 Multiple Choices 」の HTTP 応答内で挿入を誘発され、任意の Web スクリプトまたは HTML を挿入される可能性があります。
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
公表日	2008年1月24日0:00
登録日	2012年6月26日15:55
最終更新日	2013年1月15日17:51

CVSS2.0 : 警告
スコア	4.3
ベクター	AV:N/AC:M/Au:N/C:N/I:P/A:N

影響を受けるシステム

Apache Software Foundation

Apache HTTP Server 2.2.6 およびそれ以前の 2.2x

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2008-0455	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0455
National Vulnerability Database (NVD)
2	CVE-2008-0455	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-0455

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	名前	URL
Apache
1	Top Page	http://www.apache.org
Red Hat Security Advisory
2	RHSA-2012:1591	http://rhn.redhat.com/errata/RHSA-2012-1591.html
3	RHSA-2012:1592	http://rhn.redhat.com/errata/RHSA-2012-1592.html
4	RHSA-2012:1594	http://rhn.redhat.com/errata/RHSA-2012-1594.html

変更履歴

No	変更内容	変更日
0	[2012年06月26日] 掲載 [2013年01月15日] ベンダ情報：レッドハット (RHSA-2012:1591) を追加ベンダ情報：レッドハット (RHSA-2012:1592) を追加ベンダ情報：レッドハット (RHSA-2012:1594) を追加	2018年2月17日10:37

NVD脆弱性情報

CVE-2008-0455

概要	Cross-site scripting (XSS) vulnerability in the mod_negotiation module in the Apache HTTP Server 2.2.6 and earlier in the 2.2.x series, 2.0.61 and earlier in the 2.0.x series, and 1.3.39 and earlier in the 1.3.x series allows remote authenticated users to inject arbitrary web script or HTML by uploading a file with a name containing XSS sequences and a file extension, which leads to injection within a (1) "406 Not Acceptable" or (2) "300 Multiple Choices" HTTP response when the extension is omitted in a request for the file.
公表日	2008年1月25日10:00
登録日	2021年1月29日13:30
最終更新日	2023年11月7日11:01

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:apache:http_server::::::::	2.2.0			2.2.23
cpe:2.3:a:apache:http_server::::::::	2.4.1			2.4.3

構成2	以上	以下	より上	未満
cpe:2.3:o:redhat:enterprise_linux_server:5.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_workstation:5.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_desktop:5.0:::::::*

構成3		以上	以下	より上	未満
cpe:2.3:a:redhat:jboss_enterprise_application_platform:6.0.0:::::::*
cpe:2.3:a:redhat:jboss_enterprise_application_platform:6.4.0:::::::*
実行環境
1	cpe:2.3:o:redhat:enterprise_linux:5.0:::::::*
2	cpe:2.3:o:redhat:enterprise_linux:6.0:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	http://www.mindedsecurity.com/MSA01150108.html	MISC	Exploit
2	http://www.securityfocus.com/bid/27409	BID	Exploit Third Party Advisory VDB Entry
3	http://securitytracker.com/id?1019256	SECTRACK	Broken Link Exploit Third Party Advisory VDB Entry
4	http://security.gentoo.org/glsa/glsa-200803-19.xml	GENTOO	Third Party Advisory
5	http://secunia.com/advisories/29348	SECUNIA	Not Applicable
6	http://securityreason.com/securityalert/3575	SREASON	Exploit Third Party Advisory
7	http://rhn.redhat.com/errata/RHSA-2012-1592.html	REDHAT	Third Party Advisory
8	http://rhn.redhat.com/errata/RHSA-2012-1591.html	REDHAT	Third Party Advisory
9	http://secunia.com/advisories/51607	SECUNIA	Not Applicable
10	http://rhn.redhat.com/errata/RHSA-2012-1594.html	REDHAT	Third Party Advisory
11	http://rhn.redhat.com/errata/RHSA-2013-0130.html	REDHAT	Third Party Advisory
12	https://exchange.xforce.ibmcloud.com/vulnerabilities/39867	XF	Third Party Advisory VDB Entry
13	http://www.securityfocus.com/archive/1/486847/100/0/threaded	BUGTRAQ	Third Party Advisory VDB Entry
14	https://lists.apache.org/thread.html/56c2e7cc9deb1c12a843d0dc251ea7fd3e7e80293cde02fcd65286ba%40%3Ccvs.httpd.apache.org%3E
15	https://lists.apache.org/thread.html/84a3714f0878781f6ed84473d1a503d2cc382277e100450209231830%40%3Ccvs.httpd.apache.org%3E
16	https://lists.apache.org/thread.html/8d63cb8e9100f28a99429b4328e4e7cebce861d5772ac9863ba2ae6f%40%3Ccvs.httpd.apache.org%3E
17	https://lists.apache.org/thread.html/f7f95ac1cd9895db2714fa3ebaa0b94d0c6df360f742a40951384a53%40%3Ccvs.httpd.apache.org%3E
18	https://lists.apache.org/thread.html/r57608dc51b79102f3952ae06f54d5277b649c86d6533dcd6a7d201f7%40%3Ccvs.httpd.apache.org%3E
19	https://lists.apache.org/thread.html/rd18c3c43602e66f9cdcf09f1de233804975b9572b0456cc582390b6f%40%3Ccvs.httpd.apache.org%3E
20	https://lists.apache.org/thread.html/rfbaf647d52c1cb843e726a0933f156366a806cead84fbd430951591b%40%3Ccvs.httpd.apache.org%3E
21	https://lists.apache.org/thread.html/r9ea3538f229874c80a10af473856a81fbf5f694cd7f471cc679ba70b%40%3Ccvs.httpd.apache.org%3E
22	https://lists.apache.org/thread.html/r9b4b963760a3cb5a4a70c902f325c6c0337fe51d5b8570416f8f8729%40%3Ccvs.httpd.apache.org%3E
23	https://lists.apache.org/thread.html/r05b5357d1f6bd106f41541ee7d87aafe3f5ea4dc3e9bde5ce09baff8%40%3Ccvs.httpd.apache.org%3E
24	https://lists.apache.org/thread.html/rdca61ae990660bacb682295f2a09d34612b7bb5f457577fe17f4d064%40%3Ccvs.httpd.apache.org%3E
25	https://lists.apache.org/thread.html/rcc44594d4d6579b90deccd4536b5d31f099ef563df39b094be286b9e%40%3Ccvs.httpd.apache.org%3E
26	https://lists.apache.org/thread.html/r75cbe9ea3e2114e4271bbeca7aff96117b50c1b6eb7c4772b0337c1f%40%3Ccvs.httpd.apache.org%3E

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html