| Summary | Apache Tomcat 7.x through 7.0.70 and 8.x through 8.5.4, when the CGI Servlet is enabled, follows RFC 3875 section 4.1.18 and therefore does not protect applications from the presence of untrusted client data in the HTTP_PROXY environment variable, which might allow remote attackers to redirect an application's outbound HTTP traffic to an arbitrary proxy server via a crafted Proxy header in an HTTP request, aka an "httpoxy" issue. NOTE: the vendor states "A mitigation is planned for future releases of Tomcat, tracked as CVE-2016-5388"; in other words, this is not a CVE ID for a vulnerability. |
|---|---|
| Publication Date | July 19, 2016, 11 a.m. |
| Registration Date | Jan. 26, 2021, 2:13 p.m. |
| Last Update | Nov. 21, 2024, 11:54 a.m. |
| CVSS3.0 : HIGH | |
| スコア | 8.1 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 高 |
| 攻撃に必要な特権レベル(PR) | 不要 |
| 利用者の関与(UI) | 不要 |
| 影響の想定範囲(S) | 変更なし |
| 機密性への影響(C) | 高 |
| 完全性への影響(I) | 高 |
| 可用性への影響(A) | 高 |
| CVSS2.0 : MEDIUM | |
| Score | 5.1 |
|---|---|
| Vector | AV:N/AC:H/Au:N/C:P/I:P/A:P |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 高 |
| 攻撃前の認証要否(Au) | 不要 |
| 機密性への影響(C) | 低 |
| 完全性への影響(I) | 低 |
| 可用性への影響(A) | 低 |
| Get all privileges. | いいえ |
| Get user privileges | いいえ |
| Get other privileges | いいえ |
| User operation required | いいえ |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:o:redhat:enterprise_linux_desktop:7.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_server_aus:7.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_workstation:7.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_server_tus:7.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_server:7.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_hpc_node:7.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_server_eus:7.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_hpc_node_eus:7.2:*:*:*:*:*:*:* | |||||
| Configuration2 | or higher | or less | more than | less than | |
| cpe:2.3:a:hp:system_management_homepage:*:*:*:*:*:*:*:* | 7.5.5.0 | ||||
| Configuration3 | or higher | or less | more than | less than | |
| cpe:2.3:o:redhat:enterprise_linux_hpc_node:6.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_desktop:6.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_server:6.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_workstation:6.0:*:*:*:*:*:*:* | |||||
| Configuration4 | or higher | or less | more than | less than | |
| cpe:2.3:o:oracle:linux:6:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:oracle:linux:7:*:*:*:*:*:*:* | |||||
| Configuration5 | or higher | or less | more than | less than | |
| cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:* | 7.0 | 7.0.70 | |||
| cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:* | 8.0 | 8.5.4 | |||
| cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:* | 6.0 | 6.0.45 | |||
| Title | Apache Tomcat における任意のプロキシサーバにアプリケーションのアウトバウンド HTTP トラフィックをリダイレクトされる脆弱性 |
|---|---|
| Summary | Apache Tomcat は、CGI サーブレットが有効になっている場合、 RFC 3875 セクション 4.1.18 に準拠する結果、 HTTP_PROXY 環境変数の信頼できないクライアントデータの存在からアプリケーションを保護しないため、任意のプロキシサーバにアプリケーションのアウトバウンド HTTP トラフィックをリダイレクトされる脆弱性が存在します。 本脆弱性は、"httpoxy" の問題と呼ばれています。 なお、National Vulnerability Database (NVD) では、CWE-284、JVNVU#91485132 では、CWE-807 および CWE-454 として公開されています。 CWE-284: Improper Access Control http://cwe.mitre.org/data/definitions/284.html CWE-807: Reliance on Untrusted Inputs in a Security Decision http://cwe.mitre.org/data/definitions/807.html CWE-454: External Initialization of Trusted Variables or Data Stores http://cwe.mitre.org/data/definitions/454.html |
| Possible impacts | 第三者により、HTTP リクエストの巧妙に細工された Proxy ヘッダを介して、任意のプロキシサーバにアプリケーションのアウトバウンド HTTP トラフィックをリダイレクトされる可能性があります。 |
| Solution | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | July 18, 2016, midnight |
| Registration Date | July 25, 2016, 2:23 p.m. |
| Last Update | Dec. 6, 2016, 5:55 p.m. |
| レッドハット |
| Red Hat Enterprise Linux Desktop |
| Red Hat Enterprise Linux HPC Node |
| Red Hat Enterprise Linux HPC Node EUS |
| Red Hat Enterprise Linux Server |
| Red Hat Enterprise Linux Server AUS |
| Red Hat Enterprise Linux Server EUS |
| Red Hat Enterprise Linux Server TUS |
| Red Hat Enterprise Linux Workstation |
| Apache Software Foundation |
| Apache Tomcat 8.5.4 まで |
| オラクル |
| Oracle Linux |
| 日本電気 |
| WebOTX Enterprise Edition V4.1 から V6.5 |
| WebOTX Standard Edition V4.1 から V6.5 |
| WebOTX Standard-J Edition V4.1 から V6.5 |
| WebOTX Web Edition V4.1 から V6.5 |
| WebOTX 開発環境 V6.1 から V6.5 |
| WebOTX Application Server Enterprise V8.2 から V9.4 |
| WebOTX Application Server Express V8.2 から V9.4 |
| WebOTX Application Server Foundation V8.2 から V8.5 |
| WebOTX Application Server Standard V8.2 から V9.4 |
| WebOTX Application Server Standard-J Edition V7.1 から V8.1 |
| WebOTX Application Server Web Edition V7.1 から V8.1 |
| WebOTX Developer (with Developer's Studio) V8.2 から V9.4 |
| WebOTX Developer V7.1 から V8.1 |
| WebOTX Enterprise Service Bus V6.4 から V9.3 |
| WebOTX Portal V8.2 から V9.3 |
| WebOTX SIP Application Server Standard Edition V7.1 から V8.1 |
| ヒューレット・パッカード・エンタープライズ |
| System Management Homepage |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2016年07月25日] 掲載 [2016年11月09日] 影響を受けるシステム:ベンダ情報の追加に伴い内容を更新 ベンダ情報:日本電気 (NV16-020) を追加 ベンダ情報:レッドハット (RHSA-2016:2045) を追加 ベンダ情報:レッドハット (RHSA-2016:2046) を追加 [2016年12月06日] 影響を受けるシステム:ベンダ情報の追加に伴い内容を更新 ベンダ情報:レッドハット (RHSA-2016:1636) を追加 ベンダ情報:レッドハット (RHSA-2016:1635) を追加 ベンダ情報:レッドハット (RHSA-2016:1624) を追加 ベンダ情報:オラクル (Oracle Linux Bulletin - October 2016) を追加 ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBUX03665) を追加 ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBMU03653) を追加 |
Feb. 17, 2018, 10:37 a.m. |