NVD Vulnerability Detail

CVE-2011-2481

Summary	Apache Tomcat 7.0.x before 7.0.17 permits web applications to replace an XML parser used for other web applications, which allows local users to read or modify the (1) web.xml, (2) context.xml, or (3) tld files of arbitrary web applications via a crafted application that is loaded earlier than the target application. NOTE: this vulnerability exists because of a CVE-2009-0783 regression.
Publication Date	Aug. 16, 2011, 6:55 a.m.
Registration Date	Jan. 28, 2021, 4:38 p.m.
Last Update	Nov. 21, 2024, 10:28 a.m.

Affected software configurations

Related information, measures and tools

No	URL	タグ
1	http://marc.info/?l=bugtraq&m=139344343412337&w=2
2	http://secunia.com/advisories/57126
3	http://securitytracker.com/id?1025924
4	http://svn.apache.org/viewvc?view=revision&revision=1137753	Patch
5	http://svn.apache.org/viewvc?view=revision&revision=1138788	Patch
6	http://tomcat.apache.org/security-7.html	Patch Vendor Advisory
7	http://www.securityfocus.com/bid/49147
8	https://issues.apache.org/bugzilla/show_bug.cgi?id=51395	Exploit
9	http://marc.info/?l=bugtraq&m=139344343412337&w=2
10	https://issues.apache.org/bugzilla/show_bug.cgi?id=51395	Exploit
11	http://www.securityfocus.com/bid/49147
12	http://tomcat.apache.org/security-7.html	Patch Vendor Advisory
13	http://svn.apache.org/viewvc?view=revision&revision=1138788	Patch
14	http://svn.apache.org/viewvc?view=revision&revision=1137753	Patch
15	http://securitytracker.com/id?1025924
16	http://secunia.com/advisories/57126

Common Vulnerabilities List

JVN Vulnerability Information

Apache Tomcat におけるファイルを読まれるまたは変更される脆弱性

Title	Apache Tomcat におけるファイルを読まれるまたは変更される脆弱性
Summary	Apache Tomcat は、Web アプリケーションに、他の Web アプリケーションで使用されている XML パーサを置き換えることを許可するため、任意の Web アプリケーションの (1) web.xml、 (2) context.xml、(3) tld ファイルを読まれる、または変更される脆弱性が存在します。本脆弱性は、CVE-2009-0783 のリグレッションに起因した脆弱性です。
Possible impacts	ローカルユーザにより、より早くロードされる巧妙に細工された Web アプリケーションを介して、他の Web アプリケーションの (1) web.xml、 (2) context.xml、(3) tld ファイルを読まれる、または変更される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 20, 2011, midnight
Registration Date	Sept. 2, 2011, 2:24 p.m.
Last Update	March 5, 2015, 6:16 p.m.

Affected System

ヒューレット・パッカード

HP XP P9000 Performance Advisor ソフトウェア 5.4.1 およびそれ以前

Apache Software Foundation

Apache Tomcat 7.0.17 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2011-2481	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2481
National Vulnerability Database (NVD)
2	CVE-2011-2481	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-2481

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-DesignError	https://www.ipa.go.jp/security/vuln/CWE.html#CWEDesignError

ベンダー情報

No	Name	URL
Apache Bugzilla
1	Bug 51395	https://bz.apache.org/bugzilla/show_bug.cgi?id=51395
Apache Tomcat
2	security-7	http://tomcat.apache.org/security-7.html
Apache-SVN
3	1137753	http://svn.apache.org/viewvc?view=revision&revision=1137753
4	1138788	http://svn.apache.org/viewvc?view=revision&revision=1138788
HP Security Bulletin
5	HPSBST02955 SSRT101157	http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?lang=en&cc=us&objectID=c04047415

その他

No	Name	URL
OPEN SOURCE VULNERABILITY DATABASE (OSVDB)
1	74535	http://osvdb.org/74535
Secunia Advisory
2	SA45597	http://secunia.com/advisories/45597
SecurityFocus
3	49147	http://www.securityfocus.com/bid/49147
SecurityTracker
4	1025924	http://www.securitytracker.com/id/1025924

Change Log

No	Changed Details	Date of change
0	[2011年09月02日] 掲載 [2015年03月05日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：ヒューレット・パッカード (HPSBST02955 SSRT101157) を追加ベンダ情報：Apache Software Foundation (Bug 51395) を追加	Feb. 17, 2018, 10:37 a.m.