アーカイブ

Sun Java System Web Server におけるクロスサイトリクエストフォージェリの脆弱性

2010年11月17日　|　注意喚起

LAC Advisory No.103

Problem first discovered on: Mon, 31 Aug 2009
Published on: Mon, 18 Oct 2010

脅威度

中

Sun Java System Web Server には、クロスサイトリクエストフォージェリ (CSRF) 攻撃が可能な問題が存在します。攻撃者に利用された場合、ユーザが意図しない不正な操作が実行されてしまいます。

Sun Java System Web Server の Administration コンポーネントには、HTTP リクエストの取り扱いに不備が存在するため、CSRF 攻撃が可能な問題が存在します。

攻撃者に悪用された場合、任意のインスタンスを停止されるなどの不正な操作を実行される可能性があります。

Sun Java System Web Server 7.0 Update 8 以前

以下のサイトを参考に、適切なパッチを入手し適用することで、この問題を解消することが可能です。
Critical Patch Update October 2010

http://www.oracle.com/technetwork/topics/security/cpuoct2010-175626.html

http://sunsolve.sun.com/search/document.do?assetkey=1-79-1215353.1-1

※Sun Online Account が必要となります。

石川芳浩 (ラック)

謝辞：
本問題は、情報処理推進機構(IPA) および JPCERT/CC による『情報システム等の脆弱性関連情報の届出制度』に従い届出を行いました。

http://jvn.jp/jp/JVN50133036/index.html

http://jvndb.jvn.jp/ja/contents/2010/JVNDB-2010-000042.html

http://www.oracle.com/technetwork/topics/security/cpuoct2010-175626.html

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3544

http://www.securityfocus.com/bid/43977