製品・ソフトウェアに関する情報

JVN脆弱性詳細

Red Hat Linux 用の JBoss Enterprise Application Platform で使用されている jboss-seam2 における任意のコードを実行される脆弱性

タイトル	Red Hat Linux 用の JBoss Enterprise Application Platform で使用されている jboss-seam2 における任意のコードを実行される脆弱性
概要	Red Hat Linux 用の JBoss Enterprise Application Platform で使用されている JBoss Seam 2 (jboss-seam2) は、JBoss Expression Language (EL) 表記に対する入力を適切にサニタイズしないため、任意のコードを実行される脆弱性が存在します。
想定される影響	第三者により、巧妙に細工された URL を介して、任意のコードを実行される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2010年7月27日0:00
登録日	2012年12月20日19:29
最終更新日	2012年12月20日19:29

影響を受けるシステム

レッドハット

JBoss Enterprise Application Platform 4.3.0

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2010-1871	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1871
National Vulnerability Database (NVD)
2	CVE-2010-1871	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-1871

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

ベンダー情報

No	名前	URL
Red Hat
1	RHSA-2010:0564-2	http://www.redhat.com/support/errata/RHSA-2010-0564.html

変更履歴

No	変更内容	変更日
0	[2012年12月20日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2010-1871

概要	JBoss Seam 2 (jboss-seam2), as used in JBoss Enterprise Application Platform 4.3.0 for Red Hat Linux, does not properly sanitize inputs for JBoss Expression Language (EL) expressions, which allows remote attackers to execute arbitrary code via a crafted URL. NOTE: this is only a vulnerability when the Java Security Manager is not properly configured.
公表日	2010年8月5日22:23
登録日	2021年1月29日11:01
最終更新日	2024年11月21日10:15

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:redhat:jboss_enterprise_application_platform:4.3.0:::::::*
実行環境
1	cpe:2.3:o:redhat:enterprise_linux:4:::::::*
2	cpe:2.3:o:redhat:enterprise_linux:5:::::::*

構成2	以上	以下	より上	未満
cpe:2.3:a:netapp:oncommand_balance:-:::::::*
cpe:2.3:a:netapp:oncommand_insight:-:::::::*
cpe:2.3:a:netapp:oncommand_unified_manager:-:::::clustered_data_ontap::

関連情報、対策とツール

No	URL	タグ
1	http://archives.neohapsis.com/archives/bugtraq/2013-05/0117.html	Broken Link
2	http://archives.neohapsis.com/archives/bugtraq/2013-05/0117.html	Broken Link
3	http://www.redhat.com/support/errata/RHSA-2010-0564.html	Broken Link
4	http://www.redhat.com/support/errata/RHSA-2010-0564.html	Broken Link
5	http://www.securityfocus.com/bid/41994	Broken Link Third Party Advisory VDB Entry
6	http://www.securityfocus.com/bid/41994	Broken Link Third Party Advisory VDB Entry
7	http://www.securitytracker.com/id?1024253	Broken Link Third Party Advisory VDB Entry
8	http://www.securitytracker.com/id?1024253	Broken Link Third Party Advisory VDB Entry
9	http://www.vupen.com/english/advisories/2010/1929	Broken Link Vendor Advisory
10	http://www.vupen.com/english/advisories/2010/1929	Broken Link Vendor Advisory
11	https://bugzilla.redhat.com/show_bug.cgi?id=615956	Issue Tracking
12	https://bugzilla.redhat.com/show_bug.cgi?id=615956	Issue Tracking
13	https://exchange.xforce.ibmcloud.com/vulnerabilities/60794	Third Party Advisory VDB Entry
14	https://exchange.xforce.ibmcloud.com/vulnerabilities/60794	Third Party Advisory VDB Entry
15	https://security.netapp.com/advisory/ntap-20161017-0001/	Third Party Advisory
16	https://security.netapp.com/advisory/ntap-20161017-0001/	Third Party Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-917	言語構文の表現に使用される特殊な要素の不適切な無効化	https://cwe.mitre.org/data/definitions/917.html