NVD脆弱性詳細

CVE-2013-3827

概要	Unspecified vulnerability in the Oracle GlassFish Server component in Oracle Fusion Middleware 2.1.1, 3.0.1, and 3.1.2; the Oracle JDeveloper component in Oracle Fusion Middleware 11.1.2.3.0, 11.1.2.4.0, and 12.1.2.0.0; and the Oracle WebLogic Server component in Oracle Fusion Middleware 10.3.6.0 and 12.1.1 allows remote attackers to affect confidentiality via unknown vectors related to Java Server Faces or Web Container.
公表日	2013年10月17日0:55
登録日	2021年1月26日15:41
最終更新日	2024年11月21日10:54

CVSS2.0 : MEDIUM
スコア	5.0
ベクター	AV:N/AC:L/Au:N/C:P/I:N/A:N
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃前の認証要否(Au)	不要
機密性への影響(C)	低
完全性への影響(I)	なし
可用性への影響(A)	なし
全ての特権を取得	いいえ
ユーザー権限を取得	いいえ
その他の権限を取得	いいえ
ユーザー操作が必要	いいえ

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:oracle:fusion_middleware:3.1.2:::::::*
cpe:2.3:a:oracle:fusion_middleware:12.1.1:::::::*
cpe:2.3:a:oracle:fusion_middleware:3.0.1:::::::*
cpe:2.3:a:oracle:fusion_middleware:10.3.6:::::::*
cpe:2.3:a:oracle:fusion_middleware:2.1.1:::::::*
cpe:2.3:a:oracle:fusion_middleware:11.1.2.3.0:::::::*
cpe:2.3:a:oracle:fusion_middleware:12.1.2.0.0:::::::*
cpe:2.3:a:oracle:fusion_middleware:11.1.2.4.0:::::::*

関連情報、対策とツール

No	URL	タグ
1	http://rhn.redhat.com/errata/RHSA-2014-0029.html
2	http://rhn.redhat.com/errata/RHSA-2014-0029.html
3	http://www.kb.cert.org/vuls/id/526012	US Government Resource
4	http://www.kb.cert.org/vuls/id/526012	US Government Resource
5	http://www.oracle.com/technetwork/topics/security/cpuoct2013-1899837.html	Vendor Advisory
6	http://www.oracle.com/technetwork/topics/security/cpuoct2013-1899837.html	Vendor Advisory
7	http://www.securityfocus.com/bid/63052
8	http://www.securityfocus.com/bid/63052
9	http://www.securitytracker.com/id/1029190
10	http://www.securitytracker.com/id/1029190

共通脆弱性一覧

JVN脆弱性情報

JavaServer Faces に複数の脆弱性

タイトル	JavaServer Faces に複数の脆弱性
概要	Oracle が提供する JavaServer Faces には、複数の脆弱性が存在します。 Oracle が提供する JavaServer Faces は、Oracle Fusion Middleware に含まれる Oracle GlassFish Server コンポーネント、Oracle JDeveloper コンポーネント、Oracle WebLogic Server コンポーネントなどで使用されています。 JavaServer Faces には、Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') (CWE-22) や Incorrect Control Flow Scoping (CWE-705) などの脆弱性が存在します。 CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') http://cwe.mitre.org/data/definitions/22.html CWE-705: Incorrect Control Flow Scoping http://cwe.mitre.org/data/definitions/705.html
想定される影響	第三者により、情報を取得される可能性があります。
対策	[アップデートする] Oracle は、本脆弱性を Oracle Critical Patch Update Advisory - October 2013 で修正しています。本脆弱性の影響を受けるアプリケーションを使用している場合、各開発者が提供する情報をもとに、対策版へアップデートしてください。 [ワークアラウンドを実施する] 以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。　* アクセスを制限する
公表日	2013年10月15日0:00
登録日	2013年10月17日16:47
最終更新日	2019年7月16日11:21

影響を受けるシステム

オラクル

Oracle Fusion Middleware の Oracle JDeveloper 11.1.2.3.0

Oracle Fusion Middleware の Oracle JDeveloper 11.1.2.4.0

Oracle Fusion Middleware の Oracle JDeveloper 12.1.2.0.0

Oracle GlassFish Server 2.1.1

Oracle GlassFish Server 3.0.1

Oracle GlassFish Server 3.1.2

Oracle WebLogic Server 10.3.6.0

Oracle WebLogic Server 12.1.1.0

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2013-3827	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3827
National Vulnerability Database (NVD)
2	CVE-2013-3827	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3827

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-noinfo	https://www.ipa.go.jp/security/vuln/CWE.html#CWEnoinfo

ベンダー情報

No	名前	URL
Hitachi Software Vulnerability Information
1	hitachi-sec-2019-114	http://www.hitachi.co.jp/Prod/comp/soft1/global/security/info/vuls/hitachi-sec-2019-114/index.html
Oracle Critical Patch Update
2	Oracle Critical Patch Update Advisory - October 2013	http://www.oracle.com/technetwork/topics/security/cpuoct2013-1899837.html
3	Text Form of Oracle Critical Patch Update - October 2013 Risk Matrices	http://www.oracle.com/technetwork/topics/security/cpuoct2013verbose-1899842.html
Oracle Technology Network
4	JavaServer Faces Technology	http://www.oracle.com/technetwork/java/javaee/javaserverfaces-139869.html
Red Hat Security Advisory
5	RHSA-2014:0029	https://rhn.redhat.com/errata/RHSA-2014-0029.html
SECURITY BLOG
6	October 2013 Critical Patch Update Released	https://blogs.oracle.com/security/entry/october_2013_critical_patch_update
ソフトウェア製品セキュリティ情報
7	hitachi-sec-2019-114	http://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/hitachi-sec-2019-114/index.html

その他

No	名前	URL
JVN
1	JVNVU#95955023	http://jvn.jp/cert/JVNVU95955023/
US-CERT Vulnerability Note
2	VU#526012	http://www.kb.cert.org/vuls/id/526012

変更履歴

No	変更内容	変更日
0	[2013年10月17日] 掲載 [2013年10月23日] タイトル：内容を更新概要：内容を更新対策：内容を更新ベンダ情報：オラクル (JavaServer Faces Technology) を追加参考情報：JVN (JVNVU#95955023) を追加参考情報：US-CERT Vulnerability Note (VU#526012) を追加 [2015年08月06日] ベンダ情報：レッドハット (RHSA-2014:0029) を追加	2018年2月17日10:37
1	[2019年07月16日] ベンダ情報：日立 (hitachi-sec-2019-114) を追加	2019年7月16日10:58

構成1	以上	以下	より上	未満
cpe:2.3:a:oracle:fusion_middleware:3.1.2:::::::*
cpe:2.3:a:oracle:fusion_middleware:12.1.1:::::::*
cpe:2.3:a:oracle:fusion_middleware:3.0.1:::::::*
cpe:2.3:a:oracle:fusion_middleware:10.3.6:::::::*
cpe:2.3:a:oracle:fusion_middleware:2.1.1:::::::*
cpe:2.3:a:oracle:fusion_middleware:11.1.2.3.0:::::::*
cpe:2.3:a:oracle:fusion_middleware:12.1.2.0.0:::::::*
cpe:2.3:a:oracle:fusion_middleware:11.1.2.4.0:::::::*