製品・ソフトウェアに関する情報
脆弱性検索
Apache Tomcat におけるサービス運用妨害(DoS)の脆弱性
タイトル Apache Tomcat におけるサービス運用妨害(DoS)の脆弱性
概要

The Apache Software Foundation が提供する Apache Tomcat には、サービス運用妨害(DoS)の脆弱性が存在します。 The Apache Software Foundation が提供する Apache Tomcat は、Java Servlet と JavaServer Pages のサーバ実装です。 Apache Tomcat は、Java AJP コネクタ経由で送られた不正なヘッダを含むリクエストを処理する際、エラーを返さず AJP との接続を切断します。その際、コネクタが mod_jk lb ワーカである場合はエラー状態となり、約1分間利用不可能となります。その結果、サービス運用妨害(DoS)攻撃などに使用される可能性があります。 開発者によると、現在サポート対象外となっている Apache Tomcat 3.x、4.0.x、および 5.0.x も、本脆弱性の影響を受ける可能性があるとのことです。 詳しくは開発者が提供する情報をご確認ください。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC がベンダとの調整を行いました。 報告者:NTT OSS センタ 福山 義仁 氏

想定される影響 遠隔の第三者により不正なリクエストを送られることで、サービス運用妨害(DoS)攻撃を受ける可能性があります。
対策

[アップデートする] Apache Tomcat 6.0.x をお使いの場合: 開発者が提供する情報をもとに、Apache Tomcat 6.0.20 へアップデートしてください。 Apache Tomcat 5.5.x および 4.1.x をお使いの場合: 2009年06月09日現在、各系列の最新版は公開されていません。Apache Tomcat 5.5.28 および 4.1.40 が公開された際には、速やかにアップデートしてください。 [パッチを適用する] 各系列に対応したパッチが公開されています。アップデートができない場合は各系列のパッチを適用してください。
公表日 2009年6月9日0:00
登録日 2009年6月18日14:56
最終更新日 2012年9月28日13:37
CVSS2.0 : 警告
スコア 4.3
ベクター AV:N/AC:M/Au:N/C:N/I:N/A:P
影響を受けるシステム
サン・マイクロシステムズ
OpenSolaris (sparc)
OpenSolaris (x86)
Sun Solaris 10 (sparc)
Sun Solaris 10 (x86)
Sun Solaris 9 (sparc)
Sun Solaris 9 (x86)
レッドハット
Red Hat Enterprise Linux 5 (server)
Red Hat Enterprise Linux Desktop 5.0 (client)
Red Hat Enterprise Linux EUS 5.3.z (server)
RHEL Desktop Workstation 5 (client)
ヒューレット・パッカード
HP-UX 11.11
HP-UX 11.23
HP-UX 11.31
HP-UX Tomcat-based Servlet Engine 5.5.30.01 未満
Apache Software Foundation
Apache Tomcat 4.1.0 から 4.1.39 まで
Apache Tomcat 5.5.0 から 5.5.27 まで
Apache Tomcat 6.0.0 から 6.0.18 まで
サイバートラスト株式会社
Asianux Server 2.0
Asianux Server 2.1
Asianux Server 3 (x86)
Asianux Server 3 (x86-64)
アップル
Apple Mac OS X Server v10.5.8
Apple Mac OS X Server v10.6 から v10.6.2
日本電気
InfoFrame DocumentSkipper 
VMware
VMware ESX 3.0.3
VMware ESX 3.5
VMware ESX 4.0
VMware Server 2.x
VMware vCenter 4.0
VMware VirtualCenter 2.0.2
VMware VirtualCenter 2.5
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
0 [2009年06月18日]
  掲載
[2009年08月11日]
  影響を受けるシステム:サン・マイクロシステムズ (263529) の情報を追加
  影響を受けるシステム:レッドハット (RHSA-2009:1164) の情報を追加
  ベンダ情報:サン・マイクロシステムズ (263529) を追加
  ベンダ情報:レッドハット (RHSA-2009:1164) を追加
[2009年10月08日]
  影響を受けるシステム:ミラクル・リナックス (tomcat5-5.5.23-0jpp.7.2.1AXS3) の情報を追加
  影響を受けるシステム:ミラクル・リナックス (1794) の情報を追加
  ベンダ情報:ミラクル・リナックス (tomcat5-5.5.23-0jpp.7.2.1AXS3) を追加
  ベンダ情報:ミラクル・リナックス (1794) を追加
[2009年11月13日]
  影響を受けるシステム:ヒューレット・パッカード (HPSBUX02466) の情報を追加
  ベンダ情報:ヒューレット・パッカード (HPSBUX02466) を追加
[2010年01月04日]
  影響を受けるシステム:VMware (VMSA-2009-0016) の情報を追加
  ベンダ情報:VMware (VMSA-2009-0016) を追加
[2010年04月23日]
  影響を受けるシステム:アップル (HT4077) の情報を追加
  影響を受けるシステム:日本電気 (NV10-002) の情報を追加
  ベンダ情報:アップル (HT4077) を追加
  ベンダ情報:日本電気 (NV10-002) を追加
[2010年12月13日]
  影響を受けるシステム:ヒューレット・パッカード (HPUXWSATW313) の情報を追加
  影響を受けるシステム:ヒューレット・パッカード (HPSBUX02579) の情報を追加
  ベンダ情報:ヒューレット・パッカード (HPUXWSATW313) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBUX02579) を追加
[2012年09月28日]
  ベンダ情報:オラクル (Multiple vulnerabilities in Oracle Java Web Console) を追加		 2018年2月17日10:37
NVD脆弱性情報
CVE-2009-0033
概要

Apache Tomcat 4.1.0 through 4.1.39, 5.5.0 through 5.5.27, and 6.0.0 through 6.0.18, when the Java AJP connector and mod_jk load balancing are used, allows remote attackers to cause a denial of service (application outage) via a crafted request with invalid headers, related to temporary blocking of connectors that have encountered errors, as demonstrated by an error involving a malformed HTTP Host header.

公表日 2009年6月6日1:00
登録日 2021年1月29日13:13
最終更新日 2023年2月13日10:17
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:apache:tomcat:5.5.27:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:4.1.2:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:4.1.35:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:4.1.36:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:4.1.9:beta:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:5.5.18:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:4.1.21:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:6.0.6:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:6.0.11:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:5.5.12:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:5.5.14:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:4.1.24:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:5.5.10:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:5.5.4:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:5.5.7:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:5.5.1:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:6.0.7:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:5.5.11:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:4.1.25:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:6.0.4:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:5.5.6:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:5.5.26:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:4.1.39:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:4.1.4:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:5.5.20:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:5.5.15:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:5.5.5:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:4.1.27:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:6.0.15:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:4.1.30:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:4.1.7:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:4.1.38:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:4.1.11:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:5.5.21:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:4.1.18:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:5.5.22:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:4.1.14:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:6.0.10:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:6.0.3:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:4.1.19:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:6.0.9:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:4.1.31:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:5.5.3:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:4.1.16:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:4.1.29:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:4.1.22:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:4.1.5:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:4.1.26:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:4.1.13:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:4.1.8:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:5.5.9:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:5.5.25:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:6.0.0:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:4.1.17:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:6.0.14:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:5.5.2:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:4.1.33:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:5.5.0:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:4.1.1:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:5.5.13:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:6.0.1:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:6.0.12:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:5.5.24:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:4.1.12:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:4.1.28:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:4.1.15:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:4.1.3:beta:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:4.1.10:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:5.5.8:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:5.5.16:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:4.1.0:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:6.0.5:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:4.1.20:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:5.5.17:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:4.1.3:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:5.5.19:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:4.1.23:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:4.1.34:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:4.1.32:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:4.1.37:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:6.0.2:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:6.0.13:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:5.5.23:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:4.1.6:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:6.0.16:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:6.0.8:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:4.1.9:*:*:*:*:*:*:*
関連情報、対策とツール
共通脆弱性一覧