| Title | Apache HTTP Server の 413 エラーメッセージにおける HTTP メソッドを適切に検査しない問題 |
|---|---|
| Summary | Apache HTTP Server は、413 エラーページを返す際、HTTP リクエストからの HTTP メソッドを適切に検査しない問題があります。 |
| Possible impacts | ウェブクライアントコンポーネントを使用して、リクエスト中に任意のヘッダを送信され、クロスサイトスクリプティングの攻撃に利用される可能性があります。 なお、本問題を利用してクロスサイトスクリプティングの攻撃をするには、攻撃者がユーザに悪意ある HTTP メソッドを送信させることが前提条件と報告されています。 |
| Solution | ベンダより対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | Dec. 3, 2007, midnight |
| Registration Date | Dec. 20, 2007, 3:51 p.m. |
| Last Update | Dec. 20, 2010, 3:38 p.m. |
| CVSS2.0 : 警告 | |
| Score | 4.3 |
|---|---|
| Vector | AV:N/AC:M/Au:N/C:N/I:P/A:N |
| ヒューレット・パッカード |
| HP-UX 11.11 |
| HP-UX 11.23 |
| HP-UX 11.31 |
| Apache Software Foundation |
| Apache HTTP Server 2.0.62 およびそれ以前 |
| Apache HTTP Server 2.2.7 およびそれ以前 |
| IBM |
| IBM HTTP Server 2.0.47.1 未満 |
| IBM HTTP Server 6.0.2.27 未満 |
| IBM HTTP Server 6.1.0.15 未満 |
| ターボリナックス |
| Turbolinux Appliance Server 2.0 |
| Turbolinux FUJI |
| Turbolinux Multimedia |
| Turbolinux Personal |
| Turbolinux Server 10 |
| Turbolinux Server 10 (x64) |
| Turbolinux Server 11 |
| Turbolinux Server 11 (x64) |
| サイバートラスト株式会社 |
| Asianux Server 3.0 |
| Asianux Server 3.0 (x86-64) |
| アップル |
| Apple Mac OS X v10.5.2 |
| Apple Mac OS X Server v10.5.2 |
| 富士通 |
| Interstage Application Framework Suite |
| Interstage Application Server |
| Interstage Apworks |
| Interstage Business Application Server |
| Interstage Job Workload Server |
| Interstage Studio |
| Interstage Web Server |
| Systemwalker Resource Coordinator |
| 日立 |
| Cosminexus Application Server Enterprise Version 6 |
| Cosminexus Application Server Standard Version 6 |
| Cosminexus Application Server Version 5 |
| Cosminexus Developer Light Version 6 |
| Cosminexus Developer Professional Version 6 |
| Cosminexus Developer Standard Version 6 |
| Cosminexus Developer Version 5 |
| Cosminexus Server Enterprise Edition |
| Cosminexus Server Standard Edition |
| Cosminexus Server Standard Edition Version 4 |
| Cosminexus Server Web Edition |
| Cosminexus Server Web Edition Version 4 |
| Hitachi Web Server |
| uCosminexus Application Server Enterprise |
| uCosminexus Application Server Standard |
| uCosminexus Developer Light |
| uCosminexus Developer Professional |
| uCosminexus Developer Standard |
| uCosminexus Service Architect |
| uCosminexus Service Platform |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2007年12月20日] 掲載 [2008年01月15日] 影響を受けるシステム:IBM (PK57952) の情報追加。 ベンダ情報:IBM (PK57952) 追加。 [2008年01月22日] タイトル、概要、想定される影響を修正しました。 [2008年02月04日] 影響を受けるシステム:影響を受けるシステムのバージョンを更新しました。 ベンダ情報: Apache Software Foundation の情報を追加。 ・Changes with Apache 2.0.62 ・Changes with Apache 2.2.7 [2008年03月11日] 影響を受けるシステム:日立 (HS08-004) の情報追加。 ベンダ情報: 日立 (HS08-004) 追加。 [2008年03月24日] 影響を受けるシステム:アップル (Security Update 2008-002) の情報追加。 ベンダ情報:アップル (Security Update 2008-002) 追加。 ベンダ情報:IBM (7008517) 追加。 [2008年04月23日] 影響を受けるシステム:ミラクル・リナックス (1266) の情報追加。 ベンダ情報: ミラクル・リナックス (1266) 追加。 [2008年06月09日] 影響を受けるシステム:IBM(4019245)の情報を追加 ベンダ情報:IBM(4019245)を追加 ベンダ情報:IBM(PK65782)を追加 [2008年07月09日] 影響を受けるシステム:ターボリナックス(TLSA-2008-24) の情報を追加 ベンダ情報:ターボリナックス(TLSA-2008-24) を追加 [2009年01月26日] 影響を受けるシステム:富士通 (interstage_as_200807) の情報を追加 ベンダ情報:富士通 (interstage_as_200807) を追加 [2009年11月13日] 影響を受けるシステム:ヒューレット・パッカード (HPSBUX02465) の情報を追加 ベンダ情報:ヒューレット・パッカード (HPSBUX02465) を追加 [2010年12月20日] ベンダ情報:ヒューレット・パッカード (HPSBUX02612) を追加 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | Apache HTTP Server 2.0.x and 2.2.x does not sanitize the HTTP Method specifier header from an HTTP request when it is reflected back in a "413 Request Entity Too Large" error message, which might allow cross-site scripting (XSS) style attacks using web client components that can send arbitrary headers in requests, as demonstrated via an HTTP request containing an invalid Content-length value, a similar issue to CVE-2006-3918. |
|---|---|
| Summary | Apache HTTP Server 2.0.x y 2.2.x no sanea la cabecera de especificador de HTTP Method de una petición HTTP cuando es reflejada en un error "413 Request Entity Too Large", lo cual podría permitir ataques tipo secuencias de comandos en sitios cruzados (XSS) utilizando componentes de clientes web que pueden enviar cabeceras de su elección en peticiones, como se demuestra con una petición petición HTTP conteniendo un valor inválido de Content-length, asunto similar a CVE-2006-3918. |
| Publication Date | Dec. 4, 2007, 7:46 a.m. |
| Registration Date | Jan. 29, 2021, 2:24 p.m. |
| Last Update | April 23, 2026, 9:35 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:apache:http_server:2.0.46:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:http_server:2.0.47:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:http_server:2.0.48:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:http_server:2.0.49:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:http_server:2.0.50:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:http_server:2.0.51:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:http_server:2.0.52:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:http_server:2.0.53:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:http_server:2.0.54:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:http_server:2.0.55:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:http_server:2.0.57:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:http_server:2.0.58:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:http_server:2.0.59:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:http_server:2.1.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:http_server:2.1.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:http_server:2.1.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:http_server:2.1.4:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:http_server:2.1.5:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:http_server:2.1.6:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:http_server:2.1.7:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:http_server:2.1.8:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:http_server:2.2.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:http_server:2.2.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:http_server:2.2.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:http_server:2.2.4:*:*:*:*:*:*:* | |||||