NVD脆弱性詳細

CVE-2007-6286

概要	Apache Tomcat 5.5.11 through 5.5.25 and 6.0.0 through 6.0.15, when the native APR connector is used, does not properly handle an empty request to the SSL port, which allows remote attackers to trigger handling of "a duplicate copy of one of the recent requests," as demonstrated by using netcat to send the empty request.
公表日	2008年2月12日10:00
登録日	2021年1月29日14:24
最終更新日	2023年11月7日11:01

CVSS2.0 : MEDIUM
スコア	4.3
ベクター	AV:N/AC:M/Au:N/C:N/I:P/A:N
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	中
攻撃前の認証要否(Au)	不要
機密性への影響(C)	なし
完全性への影響(I)	低
可用性への影響(A)	なし
全ての特権を取得	いいえ
ユーザー権限を取得	いいえ
その他の権限を取得	いいえ
ユーザー操作が必要	いいえ

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:apache:tomcat:5.5.18:::::::*
cpe:2.3:a:apache:tomcat:6.0.6:::::::*
cpe:2.3:a:apache:tomcat:6.0.11:::::::*
cpe:2.3:a:apache:tomcat:5.5.12:::::::*
cpe:2.3:a:apache:tomcat:5.5.14:::::::*
cpe:2.3:a:apache:tomcat:6.0.7:::::::*
cpe:2.3:a:apache:tomcat:5.5.11:::::::*
cpe:2.3:a:apache:tomcat:6.0.4:::::::*
cpe:2.3:a:apache:tomcat:5.5.20:::::::*
cpe:2.3:a:apache:tomcat:5.5.15:::::::*
cpe:2.3:a:apache:tomcat:6.0.15:::::::*
cpe:2.3:a:apache:tomcat:5.5.21:::::::*
cpe:2.3:a:apache:tomcat:5.5.22:::::::*
cpe:2.3:a:apache:tomcat:6.0.10:::::::*
cpe:2.3:a:apache:tomcat:6.0.3:::::::*
cpe:2.3:a:apache:tomcat:6.0.9:::::::*
cpe:2.3:a:apache:tomcat:5.5.25:::::::*
cpe:2.3:a:apache:tomcat:6.0.0:::::::*
cpe:2.3:a:apache:tomcat:6.0.14:::::::*
cpe:2.3:a:apache:tomcat:5.5.13:::::::*
cpe:2.3:a:apache:tomcat:6.0.1:::::::*
cpe:2.3:a:apache:tomcat:6.0.12:::::::*
cpe:2.3:a:apache:tomcat:5.5.24:::::::*
cpe:2.3:a:apache:tomcat:5.5.16:::::::*
cpe:2.3:a:apache:tomcat:6.0.5:::::::*
cpe:2.3:a:apache:tomcat:5.5.17:::::::*
cpe:2.3:a:apache:tomcat:5.5.19:::::::*
cpe:2.3:a:apache:tomcat:6.0.2:::::::*
cpe:2.3:a:apache:tomcat:6.0.13:::::::*
cpe:2.3:a:apache:tomcat:5.5.23:::::::*
cpe:2.3:a:apache:tomcat:6.0.8:::::::*

関連情報、対策とツール

No	URL	refsource
1	http://tomcat.apache.org/security-5.html	CONFIRM
2	http://tomcat.apache.org/security-6.html	CONFIRM
3	http://secunia.com/advisories/28878	SECUNIA
4	https://www.redhat.com/archives/fedora-package-announce/2008-February/msg00315.html	FEDORA
5	https://www.redhat.com/archives/fedora-package-announce/2008-February/msg00460.html	FEDORA
6	http://secunia.com/advisories/28915	SECUNIA
7	http://security.gentoo.org/glsa/glsa-200804-10.xml	GENTOO
8	http://secunia.com/advisories/29711	SECUNIA
9	http://securityreason.com/securityalert/3637	SREASON
10	http://www.vmware.com/security/advisories/VMSA-2008-0010.html	CONFIRM
11	http://secunia.com/advisories/30676	SECUNIA
12	http://lists.apple.com/archives/security-announce/2008/Oct/msg00001.html	APPLE
13	http://www.securityfocus.com/bid/31681	BID
14	http://secunia.com/advisories/32222	SECUNIA
15	http://support.apple.com/kb/HT3216	CONFIRM
16	http://lists.opensuse.org/opensuse-security-announce/2009-02/msg00002.html	SUSE
17	http://www.mandriva.com/security/advisories?name=MDVSA-2009:136	MANDRIVA
18	http://secunia.com/advisories/37460	SECUNIA
19	http://www.vmware.com/security/advisories/VMSA-2009-0016.html	CONFIRM
20	http://www.vupen.com/english/advisories/2009/3316	VUPEN
21	http://www.vupen.com/english/advisories/2008/0488	VUPEN
22	http://www.vupen.com/english/advisories/2008/1856/references	VUPEN
23	http://www.vupen.com/english/advisories/2008/2780	VUPEN
24	http://marc.info/?l=bugtraq&m=139344343412337&w=2	HP
25	http://secunia.com/advisories/57126	SECUNIA
26	http://www.securityfocus.com/archive/1/507985/100/0/threaded	BUGTRAQ
27	http://www.securityfocus.com/archive/1/487823/100/0/threaded	BUGTRAQ
28	https://lists.apache.org/thread.html/06cfb634bc7bf37af7d8f760f118018746ad8efbd519c4b789ac9c2e%40%3Cdev.tomcat.apache.org%3E
29	https://lists.apache.org/thread.html/8dcaf7c3894d66cb717646ea1504ea6e300021c85bb4e677dc16b1aa%40%3Cdev.tomcat.apache.org%3E
30	https://lists.apache.org/thread.html/r584a714f141eff7b1c358d4679288177bd4ca4558e9999d15867d4b5%40%3Cdev.tomcat.apache.org%3E

共通脆弱性一覧

JVN脆弱性情報

Apache Tomcat における SSL リクエストに関する脆弱性

タイトル	Apache Tomcat における SSL リクエストに関する脆弱性
概要	Apache Tomcat には、native ARP コネクタを使用している場合、SSL ポートに対する空のリクエストの処理に不備があり、最近のリクエストを複製して処理を行う脆弱性が存在します。
想定される影響	第三者により、不正な SSL リクエストを送信されることで、意図しない挙動を示し、更なる攻撃に利用される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2008年2月11日0:00
登録日	2008年2月27日13:51
最終更新日	2015年3月5日18:26

影響を受けるシステム

ヒューレット・パッカード

HP XP P9000 Performance Advisor ソフトウェア 5.4.1 未満

Apache Software Foundation

Apache Tomcat 5.5.11 から 5.5.25 のバージョン

Apache Tomcat 6.0.0 から 6.0.15 のバージョン

アップル

Apple Mac OS X Server v10.5.5

VMware

VMware ESX 3.0.3

VMware ESX 3.5

VMware ESX 4.0

VMware Server 2.x

VMware vCenter 4.0

VMware VirtualCenter 2.0.2

VMware VirtualCenter 2.5

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2007-6286	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6286
National Vulnerability Database (NVD)
2	CVE-2007-6286	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2007-6286

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-DesignError	https://www.ipa.go.jp/security/vuln/CWE.html#CWEDesignError

ベンダー情報

No	名前	URL
Apache Tomcat
1	Fixed in Apache Tomcat 5.5.26	http://tomcat.apache.org/security-5.html
2	Fixed in Apache Tomcat 6.0.16	http://tomcat.apache.org/security-6.html
Apple Security Updates
3	HT3216	http://support.apple.com/kb/HT3216
Apple セキュリティアップデート
4	HT3216	http://support.apple.com/kb/HT3216?viewlocale=ja_JP
HP セキュリティ報告
5	HPSBST02955 SSRT101157	http://h20000.www2.hp.com/hpsc/doc/public/display?docId=emr_na-c04047415
SECURITY BLOG
6	Multiple vulnerabilities in Oracle Java Web Console	https://blogs.oracle.com/sunsecurity/entry/multiple_vulnerabilities_in_oracle_java1
VMware Security Advisories
7	VMSA-2008-0010.3	http://www.vmware.com/security/advisories/VMSA-2008-0010.html
8	VMSA-2009-0016	http://www.vmware.com/security/advisories/VMSA-2009-0016.html

その他

No	名前	URL
FrSIRT Advisories
1	FrSIRT/ADV-2008-0488	http://www.frsirt.com/english/advisories/2008/0488
Secunia Advisory
2	SA28878	http://secunia.com/advisories/28878/

変更履歴

No	変更内容	変更日
0	[2008年02月27日] 掲載 [2008年11月04日] 影響を受けるシステム：アップル（HT3216）の情報を追加ベンダ情報：アップル（HT3216）を追加 [2010年01月05日] 影響を受けるシステム：VMware (VMSA-2009-0016) の情報を追加ベンダ情報：VMware (VMSA-2009-0016) を追加 [2012年09月24日] ベンダ情報：オラクル (Multiple vulnerabilities in Oracle Java Web Console) を追加 [2015年03月05日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：ヒューレット・パッカード (HPSBST02955 SSRT101157) を追加ベンダ情報：VMware (VMSA-2008-0010.3) を追加	2018年2月17日10:37

構成1	以上	以下	より上	未満
cpe:2.3:a:apache:tomcat:5.5.18:::::::*
cpe:2.3:a:apache:tomcat:6.0.6:::::::*
cpe:2.3:a:apache:tomcat:6.0.11:::::::*
cpe:2.3:a:apache:tomcat:5.5.12:::::::*
cpe:2.3:a:apache:tomcat:5.5.14:::::::*
cpe:2.3:a:apache:tomcat:6.0.7:::::::*
cpe:2.3:a:apache:tomcat:5.5.11:::::::*
cpe:2.3:a:apache:tomcat:6.0.4:::::::*
cpe:2.3:a:apache:tomcat:5.5.20:::::::*
cpe:2.3:a:apache:tomcat:5.5.15:::::::*
cpe:2.3:a:apache:tomcat:6.0.15:::::::*
cpe:2.3:a:apache:tomcat:5.5.21:::::::*
cpe:2.3:a:apache:tomcat:5.5.22:::::::*
cpe:2.3:a:apache:tomcat:6.0.10:::::::*
cpe:2.3:a:apache:tomcat:6.0.3:::::::*
cpe:2.3:a:apache:tomcat:6.0.9:::::::*
cpe:2.3:a:apache:tomcat:5.5.25:::::::*
cpe:2.3:a:apache:tomcat:6.0.0:::::::*
cpe:2.3:a:apache:tomcat:6.0.14:::::::*
cpe:2.3:a:apache:tomcat:5.5.13:::::::*
cpe:2.3:a:apache:tomcat:6.0.1:::::::*
cpe:2.3:a:apache:tomcat:6.0.12:::::::*
cpe:2.3:a:apache:tomcat:5.5.24:::::::*
cpe:2.3:a:apache:tomcat:5.5.16:::::::*
cpe:2.3:a:apache:tomcat:6.0.5:::::::*
cpe:2.3:a:apache:tomcat:5.5.17:::::::*
cpe:2.3:a:apache:tomcat:5.5.19:::::::*
cpe:2.3:a:apache:tomcat:6.0.2:::::::*
cpe:2.3:a:apache:tomcat:6.0.13:::::::*
cpe:2.3:a:apache:tomcat:5.5.23:::::::*
cpe:2.3:a:apache:tomcat:6.0.8:::::::*