製品・ソフトウェアに関する情報

JVN脆弱性詳細

Windows 上で稼動する Apache Portable Runtime における境界外書き込みに関する脆弱性

タイトル	Windows 上で稼動する Apache Portable Runtime における境界外書き込みに関する脆弱性
概要	Windows 上で稼動する Apache Portable Runtime には、境界外書き込みに関する脆弱性が存在します。
想定される影響	情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2023年1月31日0:00
登録日	2023年6月21日14:52
最終更新日	2023年9月27日14:20

CVSS3.0 : 緊急
スコア	9.8
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

影響を受けるシステム

Apache Software Foundation

Apache Portable Runtime Utility 1.7.0 およびそれ以前

日立

Cosminexus HTTP Server

Hitachi Application Server

Hitachi Application Server for Developers

Hitachi Configuration Manager

Hitachi Device Manager

Hitachi Ops Center API Configuration Manager

Hitachi Web Server

Hitachi Web Server - Custom Edition

uCosminexus Application Server

uCosminexus Application Server Enterprise

uCosminexus Application Server Express

uCosminexus Application Server Smart Edition

uCosminexus Application Server Standard

uCosminexus Application Server Standard-R

uCosminexus Application Server-R

uCosminexus Developer

uCosminexus Developer 01

uCosminexus Developer Light

uCosminexus Developer Professional

uCosminexus Developer Professional for ATM

uCosminexus Developer Professional for Plug-in

uCosminexus Developer Standard

uCosminexus Primary Server Base

uCosminexus Service Architect

uCosminexus Service Platform

uCosminexus Service Platform - Messaging

プログラミング環境 for Java

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2022-28331	https://www.cve.org/CVERecord?id=CVE-2022-28331
National Vulnerability Database (NVD)
2	CVE-2022-28331	https://nvd.nist.gov/vuln/detail/CVE-2022-28331
Pony Mail
3	CVE-2022-28331: Apache Portable Runtime (APR): Windows out-of-bounds write in apr_socket_sendv function	https://lists.apache.org/thread/5pfdfn7h0vsdo5xzjn97vghp0x42jj2r

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-787	https://cwe.mitre.org/data/definitions/787.html

ベンダー情報

No	名前	URL
Hitachi Software Vulnerability Information
1	hitachi-sec-2023-122	https://www.hitachi.com/products/it/software/security/info/vuls/hitachi-sec-2023-122/index.html
2	hitachi-sec-2023-138	https://www.hitachi.com/products/it/software/security/info/vuls/hitachi-sec-2023-138/index.html
ソフトウェア製品セキュリティ情報
3	hitachi-sec-2023-122	https://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/hitachi-sec-2023-122/index.html
4	hitachi-sec-2023-138	https://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/hitachi-sec-2023-138/index.html

変更履歴

No	変更内容	変更日
1	[2023年06月21日] 掲載	2023年6月21日14:52
2	[2023年09月27日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：日立 (hitachi-sec-2023-138) を追加	2023年9月27日11:25

NVD脆弱性情報

CVE-2022-28331

概要	On Windows, Apache Portable Runtime 1.7.0 and earlier may write beyond the end of a stack based buffer in apr_socket_sendv(). This is a result of integer overflow.
公表日	2023年2月1日1:15
登録日	2023年2月1日10:00
最終更新日	2024年11月21日15:57

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:apache:portable_runtime::::::::			1.7.0
実行環境
1	cpe:2.3:o:microsoft:windows:-:::::::*

No	URL	refsource	タグ
1	https://lists.apache.org/thread/5pfdfn7h0vsdo5xzjn97vghp0x42jj2r		Mailing List Vendor Advisory
2	https://lists.apache.org/thread/5pfdfn7h0vsdo5xzjn97vghp0x42jj2r		Mailing List Vendor Advisory