NVD脆弱性詳細

CVE-2009-2901

概要	The autodeployment process in Apache Tomcat 5.5.0 through 5.5.28 and 6.0.0 through 6.0.20, when autoDeploy is enabled, deploys appBase files that remain from a failed undeploy, which might allow remote attackers to bypass intended authentication requirements via HTTP requests.
公表日	2010年1月29日5:30
登録日	2021年1月29日13:22
最終更新日	2023年2月13日11:20

CVSS2.0 : MEDIUM
スコア	4.3
ベクター	AV:N/AC:M/Au:N/C:P/I:N/A:N
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	中
攻撃前の認証要否(Au)	不要
機密性への影響(C)	低
完全性への影響(I)	なし
可用性への影響(A)	なし
全ての特権を取得	いいえ
ユーザー権限を取得	いいえ
その他の権限を取得	いいえ
ユーザー操作が必要	いいえ

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:apache:tomcat:5.5.27:::::::*
cpe:2.3:a:apache:tomcat:5.5.18:::::::*
cpe:2.3:a:apache:tomcat:6.0.6:::::::*
cpe:2.3:a:apache:tomcat:6.0.11:::::::*
cpe:2.3:a:apache:tomcat:5.5.12:::::::*
cpe:2.3:a:apache:tomcat:5.5.14:::::::*
cpe:2.3:a:apache:tomcat:5.5.10:::::::*
cpe:2.3:a:apache:tomcat:5.5.4:::::::*
cpe:2.3:a:apache:tomcat:5.5.7:::::::*
cpe:2.3:a:apache:tomcat:5.5.1:::::::*
cpe:2.3:a:apache:tomcat:6.0.7:::::::*
cpe:2.3:a:apache:tomcat:5.5.11:::::::*
cpe:2.3:a:apache:tomcat:5.5.28:::::::*
cpe:2.3:a:apache:tomcat:6.0.4:::::::*
cpe:2.3:a:apache:tomcat:5.5.6:::::::*
cpe:2.3:a:apache:tomcat:5.5.26:::::::*
cpe:2.3:a:apache:tomcat:5.5.20:::::::*
cpe:2.3:a:apache:tomcat:5.5.15:::::::*
cpe:2.3:a:apache:tomcat:5.5.5:::::::*
cpe:2.3:a:apache:tomcat:6.0.15:::::::*
cpe:2.3:a:apache:tomcat:5.5.21:::::::*
cpe:2.3:a:apache:tomcat:5.5.22:::::::*
cpe:2.3:a:apache:tomcat:6.0.20:::::::*
cpe:2.3:a:apache:tomcat:6.0.10:::::::*
cpe:2.3:a:apache:tomcat:6.0.3:::::::*
cpe:2.3:a:apache:tomcat:6.0.9:::::::*
cpe:2.3:a:apache:tomcat:5.5.3:::::::*
cpe:2.3:a:apache:tomcat:6.0.17:::::::*
cpe:2.3:a:apache:tomcat:6.0:::::::*
cpe:2.3:a:apache:tomcat:5.5.9:::::::*
cpe:2.3:a:apache:tomcat:5.5.25:::::::*
cpe:2.3:a:apache:tomcat:6.0.0:::::::*
cpe:2.3:a:apache:tomcat:6.0.14:::::::*
cpe:2.3:a:apache:tomcat:5.5.2:::::::*
cpe:2.3:a:apache:tomcat:5.5.0:::::::*
cpe:2.3:a:apache:tomcat:5.5.13:::::::*
cpe:2.3:a:apache:tomcat:6.0.1:::::::*
cpe:2.3:a:apache:tomcat:6.0.12:::::::*
cpe:2.3:a:apache:tomcat:5.5.24:::::::*
cpe:2.3:a:apache:tomcat:6.0.18:::::::*
cpe:2.3:a:apache:tomcat:5.5.8:::::::*
cpe:2.3:a:apache:tomcat:5.5.16:::::::*
cpe:2.3:a:apache:tomcat:6.0.5:::::::*
cpe:2.3:a:apache:tomcat:5.5.17:::::::*
cpe:2.3:a:apache:tomcat:5.5.19:::::::*
cpe:2.3:a:apache:tomcat:6.0.2:::::::*
cpe:2.3:a:apache:tomcat:6.0.13:::::::*
cpe:2.3:a:apache:tomcat:5.5.23:::::::*
cpe:2.3:a:apache:tomcat:6.0.19:::::::*
cpe:2.3:a:apache:tomcat:6.0.16:::::::*
cpe:2.3:a:apache:tomcat:6.0.8:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	http://svn.apache.org/viewvc?rev=892815&view=rev	CONFIRM	Patch
2	http://tomcat.apache.org/security-5.html	CONFIRM	Patch Vendor Advisory
3	http://www.vupen.com/english/advisories/2010/0213	VUPEN	Patch Vendor Advisory
4	http://tomcat.apache.org/security-6.html	CONFIRM	Patch Vendor Advisory
5	http://securitytracker.com/id?1023503	SECTRACK
6	http://secunia.com/advisories/38316	SECUNIA	Vendor Advisory
7	http://secunia.com/advisories/38346	SECUNIA	Vendor Advisory
8	http://www.securityfocus.com/bid/37942	BID
9	http://svn.apache.org/viewvc?rev=902650&view=rev	CONFIRM	Patch
10	http://secunia.com/advisories/38541	SECUNIA
11	http://ubuntu.com/usn/usn-899-1	UBUNTU
12	http://support.apple.com/kb/HT4077	CONFIRM
13	http://lists.apple.com/archives/security-announce/2010//Mar/msg00001.html	APPLE
14	http://lists.opensuse.org/opensuse-security-announce/2010-04/msg00001.html	SUSE
15	http://secunia.com/advisories/39317	SECUNIA
16	http://www.mandriva.com/security/advisories?name=MDVSA-2010:177	MANDRIVA
17	http://www.mandriva.com/security/advisories?name=MDVSA-2010:176	MANDRIVA
18	http://secunia.com/advisories/43310	SECUNIA
19	http://www.vmware.com/security/advisories/VMSA-2011-0003.html	CONFIRM
20	http://www.vmware.com/support/vsphere4/doc/vsp_vc41_u1_rel_notes.html	CONFIRM
21	http://lists.opensuse.org/opensuse-updates/2012-12/msg00089.html	SUSE
22	http://lists.opensuse.org/opensuse-updates/2012-12/msg00090.html	SUSE
23	http://lists.opensuse.org/opensuse-updates/2013-01/msg00037.html	SUSE
24	http://marc.info/?l=bugtraq&m=139344343412337&w=2	HP
25	http://secunia.com/advisories/57126	SECUNIA
26	http://marc.info/?l=bugtraq&m=133469267822771&w=2	HP
27	http://marc.info/?l=bugtraq&m=127420533226623&w=2	HP
28	https://exchange.xforce.ibmcloud.com/vulnerabilities/55856	XF
29	http://www.securityfocus.com/archive/1/516397/100/0/threaded	BUGTRAQ
30	http://www.securityfocus.com/archive/1/509151/100/0/threaded	BUGTRAQ
31	https://lists.apache.org/thread.html/r3aacc40356defc3f248aa504b1e48e819dd0471a0a83349080c6bcbf%40%3Cdev.tomcat.apache.org%3E	MISC
32	https://lists.apache.org/thread.html/8dcaf7c3894d66cb717646ea1504ea6e300021c85bb4e677dc16b1aa%40%3Cdev.tomcat.apache.org%3E	MISC
33	https://lists.apache.org/thread.html/r584a714f141eff7b1c358d4679288177bd4ca4558e9999d15867d4b5%40%3Cdev.tomcat.apache.org%3E	MISC
34	https://lists.apache.org/thread.html/06cfb634bc7bf37af7d8f760f118018746ad8efbd519c4b789ac9c2e%40%3Cdev.tomcat.apache.org%3E	MISC

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-264	認可・権限・アクセス制御	https://cwe.mitre.org/data/definitions/264.html

JVN脆弱性情報

Apache Tomcat の autodeployment プロセスにおける意図された認証要件を回避される脆弱性

タイトル	Apache Tomcat の autodeployment プロセスにおける意図された認証要件を回避される脆弱性
概要	Apache Tomcat の autodeployment プロセスには、autoDeploy が設定されている場合、アンデプロイ失敗後に残存する appBase ファイルをデプロイするため、意図された認証要件を回避される脆弱性が存在します。
想定される影響	第三者により、HTTP リクエストを介して、意図された認証要件を回避される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2010年1月28日0:00
登録日	2010年2月23日11:57
最終更新日	2015年3月23日17:16

影響を受けるシステム

ヒューレット・パッカード

HP XP P9000 Performance Advisor ソフトウェア 5.4.1 およびそれ以前

Apache Software Foundation

Apache Tomcat 5.5.0 から 5.5.28

Apache Tomcat 6.0.0 から 6.0.20

アップル

Apple Mac OS X Server v10.5.8

Apple Mac OS X Server v10.6 から v10.6.2

VMware

VMware ESX 3.0.3

VMware ESX 3.5

VMware ESX 4.0

VMware ESX 4.1

VMware vCenter 4.0

VMware vCenter 4.1

VMware VirtualCenter 2.5

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-2901	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2901
National Vulnerability Database (NVD)
2	CVE-2009-2901	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-2901

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

No	名前	URL
Apache Software Foundation
1	security-5	http://tomcat.apache.org/security-5.html
2	security-6	http://tomcat.apache.org/security-6.html
Apache-SVN
3	892815	http://svn.apache.org/viewvc?rev=892815&view=rev
4	902650	http://svn.apache.org/viewvc?rev=902650&view=rev
Apple Mailing Lists
5	APPLE-SA-2010-03-29-1 Security Update 2010-002 / Mac OS X v10.6.3	http://lists.apple.com/archives/security-announce/2010/Mar/msg00001.html
Apple Security Updates
6	HT4077	http://support.apple.com/kb/HT4077
Apple セキュリティアップデート
7	HT4077	http://support.apple.com/kb/HT4077?viewlocale=ja_JP
HP Security Bulletin
8	HPSBST02955 SSRT101157	http://h20000.www2.hp.com/hpsc/doc/public/display?docId=emr_na-c04047415
Release Notes
9	VMware vCenter Server 4.1 Update 1 Release Notes	http://www.vmware.com/support/vsphere4/doc/vsp_vc41_u1_rel_notes.html
SECURITY BLOG
10	Multiple vulnerabilities in Oracle Java Web Console	https://blogs.oracle.com/sunsecurity/entry/multiple_vulnerabilities_in_oracle_java1
VMware Security Advisories
11	VMSA-2011-0003	http://www.vmware.com/security/advisories/VMSA-2011-0003.html

その他

No	名前	URL
ISS X-Force Database
1	55856	http://xforce.iss.net/xforce/xfdb/55856
Secunia Advisory
2	SA38316	http://secunia.com/advisories/38316/
3	SA38346	http://secunia.com/advisories/38346/
SecurityFocus
4	37942	http://www.securityfocus.com/bid/37942
5	37944	http://www.securityfocus.com/bid/37944
SecurityTracker
6	1023503	http://securitytracker.com/id?1023503
VUPEN Security
7	VUPEN/ADV-2010-0213	http://www.vupen.com/english/advisories/2010/0213

変更履歴

No	変更内容	変更日
0	[2010年02月23日] 掲載 [2010年04月26日] 影響を受けるシステム：アップル (HT4077) の情報を追加ベンダ情報：アップル (HT4077) を追加 [2011年03月01日] 影響を受けるシステム：VMware (VMSA-2011-0003) の情報を追加ベンダ情報：VMware (VMSA-2011-0003) を追加 [2012年09月28日] ベンダ情報：オラクル (Multiple vulnerabilities in Oracle Java Web Console) を追加 [2015年03月23日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：ヒューレット・パッカード (HPSBST02955 SSRT101157) を追加ベンダ情報：アップル（APPLE-SA-2010-03-29-1 Security Update 2010-002 / Mac OS X v10.6.3）を追加ベンダ情報：VMware（VMware vCenter Server 4.1 Update 1 Release Notes）を追加	2018年2月17日10:37

構成1	以上	以下	より上	未満
cpe:2.3:a:apache:tomcat:5.5.27:::::::*
cpe:2.3:a:apache:tomcat:5.5.18:::::::*
cpe:2.3:a:apache:tomcat:6.0.6:::::::*
cpe:2.3:a:apache:tomcat:6.0.11:::::::*
cpe:2.3:a:apache:tomcat:5.5.12:::::::*
cpe:2.3:a:apache:tomcat:5.5.14:::::::*
cpe:2.3:a:apache:tomcat:5.5.10:::::::*
cpe:2.3:a:apache:tomcat:5.5.4:::::::*
cpe:2.3:a:apache:tomcat:5.5.7:::::::*
cpe:2.3:a:apache:tomcat:5.5.1:::::::*
cpe:2.3:a:apache:tomcat:6.0.7:::::::*
cpe:2.3:a:apache:tomcat:5.5.11:::::::*
cpe:2.3:a:apache:tomcat:5.5.28:::::::*
cpe:2.3:a:apache:tomcat:6.0.4:::::::*
cpe:2.3:a:apache:tomcat:5.5.6:::::::*
cpe:2.3:a:apache:tomcat:5.5.26:::::::*
cpe:2.3:a:apache:tomcat:5.5.20:::::::*
cpe:2.3:a:apache:tomcat:5.5.15:::::::*
cpe:2.3:a:apache:tomcat:5.5.5:::::::*
cpe:2.3:a:apache:tomcat:6.0.15:::::::*
cpe:2.3:a:apache:tomcat:5.5.21:::::::*
cpe:2.3:a:apache:tomcat:5.5.22:::::::*
cpe:2.3:a:apache:tomcat:6.0.20:::::::*
cpe:2.3:a:apache:tomcat:6.0.10:::::::*
cpe:2.3:a:apache:tomcat:6.0.3:::::::*
cpe:2.3:a:apache:tomcat:6.0.9:::::::*
cpe:2.3:a:apache:tomcat:5.5.3:::::::*
cpe:2.3:a:apache:tomcat:6.0.17:::::::*
cpe:2.3:a:apache:tomcat:6.0:::::::*
cpe:2.3:a:apache:tomcat:5.5.9:::::::*
cpe:2.3:a:apache:tomcat:5.5.25:::::::*
cpe:2.3:a:apache:tomcat:6.0.0:::::::*
cpe:2.3:a:apache:tomcat:6.0.14:::::::*
cpe:2.3:a:apache:tomcat:5.5.2:::::::*
cpe:2.3:a:apache:tomcat:5.5.0:::::::*
cpe:2.3:a:apache:tomcat:5.5.13:::::::*
cpe:2.3:a:apache:tomcat:6.0.1:::::::*
cpe:2.3:a:apache:tomcat:6.0.12:::::::*
cpe:2.3:a:apache:tomcat:5.5.24:::::::*
cpe:2.3:a:apache:tomcat:6.0.18:::::::*
cpe:2.3:a:apache:tomcat:5.5.8:::::::*
cpe:2.3:a:apache:tomcat:5.5.16:::::::*
cpe:2.3:a:apache:tomcat:6.0.5:::::::*
cpe:2.3:a:apache:tomcat:5.5.17:::::::*
cpe:2.3:a:apache:tomcat:5.5.19:::::::*
cpe:2.3:a:apache:tomcat:6.0.2:::::::*
cpe:2.3:a:apache:tomcat:6.0.13:::::::*
cpe:2.3:a:apache:tomcat:5.5.23:::::::*
cpe:2.3:a:apache:tomcat:6.0.19:::::::*
cpe:2.3:a:apache:tomcat:6.0.16:::::::*
cpe:2.3:a:apache:tomcat:6.0.8:::::::*