Apache Tomcat の長い URL の情報漏洩

medium Nessus プラグイン ID 49701

概要

リモートの Apache Tomcat サービスは、情報漏洩脆弱性の影響を受けます。

説明

リモート Web サーバーに情報漏洩脆弱性が含まています。長い URL が含まれている HTTP リクエストを送信することで、Apache Tomcat のフルインストールパスを取得できます。

報告されているところによれば、このバージョンの Apache Tomcat には、他にもインストールパス漏洩脆弱性がありますが、Nessus はこれを明示的にテストしていないことに、注意してください。

ソリューション

Apache Tomcat バージョン 4.0.2 または以降に更新してください。

参考資料

http://tomcat.apache.org/security-4.html#Fixed_in_Apache_Tomcat_4.0.2

https://seclists.org/bugtraq/2001/Nov/190

プラグインの詳細

深刻度: Medium

ID: 49701

ファイル名: tomcat_long_url_path_disclose.nasl

バージョン: 1.15

タイプ: remote

ファミリー: Web Servers

公開日: 2010/10/1

更新日: 2018/11/15

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.3

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

CVSS v3

リスクファクター: Medium

基本値: 5.3

現状値: 4.6

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:apache:tomcat

必要な KB アイテム: installed_sw/Apache Tomcat

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2002/2/12

脆弱性公開日: 2001/11/22

参照情報

CVE: CVE-2001-0917, CVE-2002-2009

BID: 4557, 3199