NVD Vulnerability Detail

CVE-2016-8747

Summary	An information disclosure issue was discovered in Apache Tomcat 8.5.7 to 8.5.9 and 9.0.0.M11 to 9.0.0.M15 in reverse-proxy configurations. Http11InputBuffer.java allows remote attackers to read data that was intended to be associated with a different request.
Publication Date	March 14, 2017, 6:59 p.m.
Registration Date	Jan. 26, 2021, 2:19 p.m.
Last Update	Nov. 21, 2024, 11:59 a.m.

CVSS3.0 : HIGH
スコア	7.5
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	不要
利用者の関与(UI)	不要
影響の想定範囲(S)	変更なし
機密性への影響(C)	高
完全性への影響(I)	なし
可用性への影響(A)	なし

CVSS2.0 : MEDIUM
Score	5.0
Vector	AV:N/AC:L/Au:N/C:P/I:N/A:N
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃前の認証要否(Au)	不要
機密性への影響(C)	低
完全性への影響(I)	なし
可用性への影響(A)	なし
Get all privileges.	いいえ
Get user privileges	いいえ
Get other privileges	いいえ
User operation required	いいえ

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:apache:tomcat:8.5.9:::::::*
cpe:2.3:a:apache:tomcat:8.5.7:::::::*
cpe:2.3:a:apache:tomcat:8.5.8:::::::*
cpe:2.3:a:apache:tomcat:9.0.0:milestone11::::::
cpe:2.3:a:apache:tomcat:9.0.0:milestone13::::::
cpe:2.3:a:apache:tomcat:9.0.0:milestone15::::::

Related information, measures and tools

No	URL	タグ
1	http://svn.apache.org/viewvc?view=revision&revision=1774161	Issue Tracking Patch Vendor Advisory
2	http://svn.apache.org/viewvc?view=revision&revision=1774161	Issue Tracking Patch Vendor Advisory
3	http://svn.apache.org/viewvc?view=revision&revision=1774166	Issue Tracking Patch Vendor Advisory
4	http://svn.apache.org/viewvc?view=revision&revision=1774166	Issue Tracking Patch Vendor Advisory
5	http://tomcat.apache.org/security-8.html	Release Notes Vendor Advisory
6	http://tomcat.apache.org/security-8.html	Release Notes Vendor Advisory
7	http://tomcat.apache.org/security-9.html	Release Notes Vendor Advisory
8	http://tomcat.apache.org/security-9.html	Release Notes Vendor Advisory
9	http://www.securityfocus.com/bid/96895
10	http://www.securityfocus.com/bid/96895
11	https://lists.apache.org/thread.html/343558d982879bf88ec20dbf707f8c11255f8e219e81d45c4f8d0551%40%3Cdev.tomcat.apache.org%3E
12	https://lists.apache.org/thread.html/343558d982879bf88ec20dbf707f8c11255f8e219e81d45c4f8d0551%40%3Cdev.tomcat.apache.org%3E
13	https://lists.apache.org/thread.html/6af47120905aa7d8fe12f42e8ff2284fb338ba141d3b77b8c7cb61b3%40%3Cdev.tomcat.apache.org%3E
14	https://lists.apache.org/thread.html/6af47120905aa7d8fe12f42e8ff2284fb338ba141d3b77b8c7cb61b3%40%3Cdev.tomcat.apache.org%3E
15	https://lists.apache.org/thread.html/88855876c33f2f9c532ffb75bfee570ccf0b17ffa77493745af9a17a%40%3Cdev.tomcat.apache.org%3E
16	https://lists.apache.org/thread.html/88855876c33f2f9c532ffb75bfee570ccf0b17ffa77493745af9a17a%40%3Cdev.tomcat.apache.org%3E
17	https://lists.apache.org/thread.html/b5e3f51d28cd5d9b1809f56594f2cf63dcd6a90429e16ea9f83bbedc%40%3Cdev.tomcat.apache.org%3E
18	https://lists.apache.org/thread.html/b5e3f51d28cd5d9b1809f56594f2cf63dcd6a90429e16ea9f83bbedc%40%3Cdev.tomcat.apache.org%3E
19	https://lists.apache.org/thread.html/r3bbb800a816d0a51eccc5a228c58736960a9fffafa581a225834d97d%40%3Cdev.tomcat.apache.org%3E
20	https://lists.apache.org/thread.html/r3bbb800a816d0a51eccc5a228c58736960a9fffafa581a225834d97d%40%3Cdev.tomcat.apache.org%3E
21	https://lists.apache.org/thread.html/r48c1444845fe15a823e1374674bfc297d5008a5453788099ea14caf0%40%3Cdev.tomcat.apache.org%3E
22	https://lists.apache.org/thread.html/r48c1444845fe15a823e1374674bfc297d5008a5453788099ea14caf0%40%3Cdev.tomcat.apache.org%3E
23	https://security.netapp.com/advisory/ntap-20180614-0002/
24	https://security.netapp.com/advisory/ntap-20180614-0002/

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-200	情報漏えい	https://cwe.mitre.org/data/definitions/200.html

JVN Vulnerability Information

Apache Tomcat に情報漏えいの脆弱性

Title	Apache Tomcat に情報漏えいの脆弱性
Summary	Apache Tomcat には、情報漏えいの脆弱性が存在します。 Apache Tomcat には、同一接続における複数のリクエストの間で情報が漏洩する可能性があります。リバースプロキシを使用したサーバ環境において、通信内容が他ユーザに漏洩する可能性があります。本脆弱性は、Apache Tomcat のソースコードのリファクタリングの影響で発生したものです。
Possible impacts	通信内容が漏えいする可能性があります。ただし、HTTP/2 および AJP による接続は本脆弱性の影響を受けません。
Solution	[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。開発者は本脆弱性の対策版として、次のバージョンをリリースしています。　* Apache Tomcat 9.0.0.M17 　* Apache Tomcat 8.5.11
Publication Date	Dec. 14, 2016, midnight
Registration Date	March 15, 2017, 10:46 a.m.
Last Update	March 15, 2017, 10:46 a.m.

Affected System

Apache Software Foundation

Apache Tomcat 8.5.7 から 8.5.9 まで

Apache Tomcat 9.0.0.M11 から 9.0.0.M15 まで

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-8747	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-8747
National Vulnerability Database (NVD)
2	CVE-2016-8747	https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-8747

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-200	https://jvndb.jvn.jp/ja/cwe/CWE-200.html

ベンダー情報

No	Name	URL
Apache Tomcat
1	Fixed in Apache Tomcat 8.5.11	https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.11
2	Fixed in Apache Tomcat 9.0.0.M17	https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.0.M17
Apache-SVN
3	Revision 1774161	http://svn.apache.org/viewvc?view=revision&revision=1774161
4	Revision 1774166	http://svn.apache.org/viewvc?view=revision&revision=1774166

その他

No	Name	URL
JVN
1	JVNVU#94686945	http://jvn.jp/vu/JVNVU94686945/

Change Log

No	Changed Details	Date of change
0	[2017年03月15日] 掲載	Feb. 17, 2018, 10:37 a.m.

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:apache:tomcat:8.5.9:::::::*
cpe:2.3:a:apache:tomcat:8.5.7:::::::*
cpe:2.3:a:apache:tomcat:8.5.8:::::::*
cpe:2.3:a:apache:tomcat:9.0.0:milestone11::::::
cpe:2.3:a:apache:tomcat:9.0.0:milestone13::::::
cpe:2.3:a:apache:tomcat:9.0.0:milestone15::::::