LAC WATCH

セキュリティとITの最新情報

RSS

注意喚起 | 

Sun Java System Web Server におけるクロスサイトリクエストフォージェリの脆弱性

LAC Advisory No.103

Problem first discovered on: Mon, 31 Aug 2009
Published on: Mon, 18 Oct 2010

脅威度

概要

Sun Java System Web Server には、クロスサイトリクエストフォージェリ (CSRF) 攻撃が可能な問題が存在します。攻撃者に利用された場合、ユーザが意図しない不正な操作が実行されてしまいます。

詳細

Sun Java System Web Server の Administration コンポーネントには、HTTP リクエストの取り扱いに不備が存在するため、CSRF 攻撃が可能な問題が存在します。

攻撃者に悪用された場合、任意のインスタンスを停止されるなどの不正な操作を実行される可能性があります。

影響を受ける バージョン

Sun Java System Web Server 7.0 Update 8 以前

対策

以下のサイトを参考に、適切なパッチを入手し適用することで、この問題を解消することが可能です。
Critical Patch Update October 2010

http://www.oracle.com/technetwork/topics/security/cpuoct2010-175626.html

http://sunsolve.sun.com/search/document.do?assetkey=1-79-1215353.1-1

※Sun Online Account が必要となります。

発見者

石川 芳浩 (ラック)


謝辞:
本問題は、情報処理推進機構(IPA) および JPCERT/CC による『情報システム等の脆弱性関連情報の届出制度』に従い届出を行いました。

http://jvn.jp/jp/JVN50133036/index.html

http://jvndb.jvn.jp/ja/contents/2010/JVNDB-2010-000042.html

http://www.oracle.com/technetwork/topics/security/cpuoct2010-175626.html

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3544

http://www.securityfocus.com/bid/43977

この記事は役に立ちましたか?

はい いいえ