NVD脆弱性詳細

CVE-2015-5346

概要	Session fixation vulnerability in Apache Tomcat 7.x before 7.0.66, 8.x before 8.0.30, and 9.x before 9.0.0.M2, when different session settings are used for deployments of multiple versions of the same web application, might allow remote attackers to hijack web sessions by leveraging use of a requestedSessionSSL field for an unintended request, related to CoyoteAdapter.java and Request.java.
公表日	2016年2月25日10:59
登録日	2021年1月26日14:52
最終更新日	2024年11月21日11:32

CVSS3.0 : HIGH
スコア	8.1
ベクター	CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	高
攻撃に必要な特権レベル(PR)	不要
利用者の関与(UI)	不要
影響の想定範囲(S)	変更なし
機密性への影響(C)	高
完全性への影響(I)	高
可用性への影響(A)	高

CVSS2.0 : MEDIUM
スコア	6.8
ベクター	AV:N/AC:M/Au:N/C:P/I:P/A:P
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	中
攻撃前の認証要否(Au)	不要
機密性への影響(C)	低
完全性への影響(I)	低
可用性への影響(A)	低
全ての特権を取得	いいえ
ユーザー権限を取得	いいえ
その他の権限を取得	いいえ
ユーザー操作が必要	いいえ

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:apache:tomcat:7.0.2:beta::::::
cpe:2.3:a:apache:tomcat:7.0.12:::::::*
cpe:2.3:a:apache:tomcat:7.0.62:::::::*
cpe:2.3:a:apache:tomcat:8.0.17:::::::*
cpe:2.3:a:apache:tomcat:7.0.53:::::::*
cpe:2.3:a:apache:tomcat:7.0.20:::::::*
cpe:2.3:a:apache:tomcat:7.0.34:::::::*
cpe:2.3:a:apache:tomcat:8.0.26:::::::*
cpe:2.3:a:apache:tomcat:7.0.55:::::::*
cpe:2.3:a:apache:tomcat:7.0.4:beta::::::
cpe:2.3:a:apache:tomcat:7.0.63:::::::*
cpe:2.3:a:apache:tomcat:8.0.20:::::::*
cpe:2.3:a:apache:tomcat:7.0.22:::::::*
cpe:2.3:a:apache:tomcat:7.0.39:::::::*
cpe:2.3:a:apache:tomcat:7.0.26:::::::*
cpe:2.3:a:apache:tomcat:7.0.28:::::::*
cpe:2.3:a:apache:tomcat:8.0.1:::::::*
cpe:2.3:a:apache:tomcat:8.0.0:rc3::::::
cpe:2.3:a:apache:tomcat:7.0.59:::::::*
cpe:2.3:a:apache:tomcat:7.0.65:::::::*
cpe:2.3:a:apache:tomcat:7.0.50:::::::*
cpe:2.3:a:apache:tomcat:7.0.6:::::::*
cpe:2.3:a:apache:tomcat:8.0.12:::::::*
cpe:2.3:a:apache:tomcat:7.0.14:::::::*
cpe:2.3:a:apache:tomcat:8.0.27:::::::*
cpe:2.3:a:apache:tomcat:8.0.15:::::::*
cpe:2.3:a:apache:tomcat:7.0.11:::::::*
cpe:2.3:a:apache:tomcat:8.0.0:rc1::::::
cpe:2.3:a:apache:tomcat:7.0.23:::::::*
cpe:2.3:a:apache:tomcat:7.0.0:beta::::::
cpe:2.3:a:apache:tomcat:8.0.22:::::::*
cpe:2.3:a:apache:tomcat:8.0.29:::::::*
cpe:2.3:a:apache:tomcat:7.0.52:::::::*
cpe:2.3:a:apache:tomcat:7.0.42:::::::*
cpe:2.3:a:apache:tomcat:7.0.37:::::::*
cpe:2.3:a:apache:tomcat:7.0.29:::::::*
cpe:2.3:a:apache:tomcat:8.0.11:::::::*
cpe:2.3:a:apache:tomcat:8.0.24:::::::*
cpe:2.3:a:apache:tomcat:8.0.0:rc10::::::
cpe:2.3:a:apache:tomcat:8.0.23:::::::*
cpe:2.3:a:apache:tomcat:7.0.47:::::::*
cpe:2.3:a:apache:tomcat:7.0.5:beta::::::
cpe:2.3:a:apache:tomcat:8.0.21:::::::*
cpe:2.3:a:apache:tomcat:7.0.41:::::::*
cpe:2.3:a:apache:tomcat:7.0.30:::::::*
cpe:2.3:a:apache:tomcat:7.0.19:::::::*
cpe:2.3:a:apache:tomcat:7.0.16:::::::*
cpe:2.3:a:apache:tomcat:7.0.10:::::::*
cpe:2.3:a:apache:tomcat:8.0.18:::::::*
cpe:2.3:a:apache:tomcat:7.0.25:::::::*
cpe:2.3:a:apache:tomcat:7.0.54:::::::*
cpe:2.3:a:apache:tomcat:7.0.35:::::::*
cpe:2.3:a:apache:tomcat:7.0.61:::::::*
cpe:2.3:a:apache:tomcat:8.0.3:::::::*
cpe:2.3:a:apache:tomcat:7.0.57:::::::*
cpe:2.3:a:apache:tomcat:8.0.14:::::::*
cpe:2.3:a:apache:tomcat:8.0.0:rc5::::::
cpe:2.3:a:apache:tomcat:7.0.32:::::::*
cpe:2.3:a:apache:tomcat:7.0.21:::::::*
cpe:2.3:a:apache:tomcat:7.0.27:::::::*
cpe:2.3:a:apache:tomcat:7.0.40:::::::*
cpe:2.3:a:apache:tomcat:7.0.56:::::::*
cpe:2.3:a:apache:tomcat:8.0.28:::::::*
cpe:2.3:a:apache:tomcat:7.0.64:::::::*
cpe:2.3:a:apache:tomcat:7.0.33:::::::*
cpe:2.3:a:apache:tomcat:9.0.0:milestone1::::::

構成2	以上	以下	より上	未満
cpe:2.3:o:canonical:ubuntu_linux:12.04::::lts:::
cpe:2.3:o:canonical:ubuntu_linux:16.04::::lts:::
cpe:2.3:o:canonical:ubuntu_linux:15.10:::::::*
cpe:2.3:o:canonical:ubuntu_linux:14.04::::lts:::

構成3	以上	以下	より上	未満
cpe:2.3:o:debian:debian_linux:8.0:::::::*
cpe:2.3:o:debian:debian_linux:7.0:::::::*

関連情報、対策とツール

No	URL	タグ
1	http://lists.opensuse.org/opensuse-security-announce/2016-03/msg00047.html
2	http://lists.opensuse.org/opensuse-security-announce/2016-03/msg00047.html
3	http://lists.opensuse.org/opensuse-security-announce/2016-03/msg00069.html
4	http://lists.opensuse.org/opensuse-security-announce/2016-03/msg00069.html
5	http://lists.opensuse.org/opensuse-security-announce/2016-03/msg00085.html
6	http://lists.opensuse.org/opensuse-security-announce/2016-03/msg00085.html
7	http://packetstormsecurity.com/files/135890/Apache-Tomcat-Session-Fixation.html
8	http://packetstormsecurity.com/files/135890/Apache-Tomcat-Session-Fixation.html
9	http://rhn.redhat.com/errata/RHSA-2016-1089.html
10	http://rhn.redhat.com/errata/RHSA-2016-1089.html
11	http://rhn.redhat.com/errata/RHSA-2016-2046.html
12	http://rhn.redhat.com/errata/RHSA-2016-2046.html
13	http://rhn.redhat.com/errata/RHSA-2016-2807.html
14	http://rhn.redhat.com/errata/RHSA-2016-2807.html
15	http://rhn.redhat.com/errata/RHSA-2016-2808.html
16	http://rhn.redhat.com/errata/RHSA-2016-2808.html
17	http://seclists.org/bugtraq/2016/Feb/143
18	http://seclists.org/bugtraq/2016/Feb/143
19	http://svn.apache.org/viewvc?view=revision&revision=1713184
20	http://svn.apache.org/viewvc?view=revision&revision=1713184
21	http://svn.apache.org/viewvc?view=revision&revision=1713185
22	http://svn.apache.org/viewvc?view=revision&revision=1713185
23	http://svn.apache.org/viewvc?view=revision&revision=1713187
24	http://svn.apache.org/viewvc?view=revision&revision=1713187
25	http://svn.apache.org/viewvc?view=revision&revision=1723414
26	http://svn.apache.org/viewvc?view=revision&revision=1723414
27	http://svn.apache.org/viewvc?view=revision&revision=1723506
28	http://svn.apache.org/viewvc?view=revision&revision=1723506
29	http://tomcat.apache.org/security-7.html	Vendor Advisory
30	http://tomcat.apache.org/security-7.html	Vendor Advisory
31	http://tomcat.apache.org/security-8.html	Vendor Advisory
32	http://tomcat.apache.org/security-8.html	Vendor Advisory
33	http://tomcat.apache.org/security-9.html	Vendor Advisory
34	http://tomcat.apache.org/security-9.html	Vendor Advisory
35	http://www.debian.org/security/2016/dsa-3530
36	http://www.debian.org/security/2016/dsa-3530
37	http://www.debian.org/security/2016/dsa-3552
38	http://www.debian.org/security/2016/dsa-3552
39	http://www.debian.org/security/2016/dsa-3609
40	http://www.debian.org/security/2016/dsa-3609
41	http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html
42	http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html
43	http://www.oracle.com/technetwork/topics/security/bulletinjan2016-2867206.html
44	http://www.oracle.com/technetwork/topics/security/bulletinjan2016-2867206.html
45	http://www.oracle.com/technetwork/topics/security/linuxbulletinoct2016-3090545.html
46	http://www.oracle.com/technetwork/topics/security/linuxbulletinoct2016-3090545.html
47	http://www.securityfocus.com/bid/83323
48	http://www.securityfocus.com/bid/83323
49	http://www.securitytracker.com/id/1035069
50	http://www.securitytracker.com/id/1035069
51	http://www.ubuntu.com/usn/USN-3024-1
52	http://www.ubuntu.com/usn/USN-3024-1
53	https://access.redhat.com/errata/RHSA-2016:1087
54	https://access.redhat.com/errata/RHSA-2016:1087
55	https://access.redhat.com/errata/RHSA-2016:1088
56	https://access.redhat.com/errata/RHSA-2016:1088
57	https://bto.bluecoat.com/security-advisory/sa118
58	https://bto.bluecoat.com/security-advisory/sa118
59	https://bz.apache.org/bugzilla/show_bug.cgi?id=58809
60	https://bz.apache.org/bugzilla/show_bug.cgi?id=58809
61	https://h20566.www2.hpe.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c05150442
62	https://h20566.www2.hpe.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c05150442
63	https://h20566.www2.hpe.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c05158626
64	https://h20566.www2.hpe.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c05158626
65	https://lists.apache.org/thread.html/r9136ff5b13e4f1941360b5a309efee2c114a14855578c3a2cbe5d19c%40%3Cdev.tomcat.apache.org%3E
66	https://lists.apache.org/thread.html/r9136ff5b13e4f1941360b5a309efee2c114a14855578c3a2cbe5d19c%40%3Cdev.tomcat.apache.org%3E
67	https://security.gentoo.org/glsa/201705-09
68	https://security.gentoo.org/glsa/201705-09
69	https://security.netapp.com/advisory/ntap-20180531-0001/
70	https://security.netapp.com/advisory/ntap-20180531-0001/

共通脆弱性一覧

JVN脆弱性情報

Apache Tomcat における Web セッションをハイジャックされる脆弱性

タイトル	Apache Tomcat における Web セッションをハイジャックされる脆弱性
概要	Apache Tomcat には、同一の Web アプリケーションの複数バージョンの配置に異なるセッション設定が使用される場合、CoyoteAdapter.java および Request.java に関する処理に不備があるため、Web セッションをハイジャックされる脆弱性が存在します。補足情報 : CWE による脆弱性タイプは、CWE-384: Session Fixation (セッションの固定化) と識別されています。 http://cwe.mitre.org/data/definitions/384.html
想定される影響	第三者により、意図しないリクエストの requestedSessionSSL フィールドを利用されることで、Web セッションをハイジャックされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2015年12月10日0:00
登録日	2016年3月2日15:58
最終更新日	2016年12月5日17:01

影響を受けるシステム

Apache Software Foundation

Apache Tomcat 7.0.67 未満の 7.x

Apache Tomcat 8.0.32 未満の 8.x

Apache Tomcat 9.0.0.M3 未満の 9.x

Debian

Debian GNU/Linux

Canonical

Ubuntu

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2015-5346	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5346
National Vulnerability Database (NVD)
2	CVE-2015-5346	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5346

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	名前	URL
Apache Bugzilla
1	Bug 58809	https://bz.apache.org/bugzilla/show_bug.cgi?id=58809
Apache Tomcat
2	Fixed in Apache Tomcat 7.0.67	http://tomcat.apache.org/security-7.html
3	Fixed in Apache Tomcat 8.0.32	http://tomcat.apache.org/security-8.html
4	Fixed in Apache Tomcat 9.0.0.M3	http://tomcat.apache.org/security-9.html
Apache-SVN
5	Revision 1713184	http://svn.apache.org/viewvc?view=revision&revision=1713184
6	Revision 1713185	http://svn.apache.org/viewvc?view=revision&revision=1713185
7	Revision 1713187	http://svn.apache.org/viewvc?view=revision&revision=1713187
8	Revision 1723414	http://svn.apache.org/viewvc?view=revision&revision=1723414
9	Revision 1723506	http://svn.apache.org/viewvc?view=revision&revision=1723506
Debian Security Advisory
10	DSA-3530	http://www.debian.org/security/2016/dsa-3530
11	DSA-3552	http://www.debian.org/security/2016/dsa-3552
12	DSA-3609	http://www.debian.org/security/2016/dsa-3609
HPE Security Bulletin
13	HPSBOV03615	https://h20566.www2.hpe.com/hpsc/doc/public/display?docId=emr_na-c05158626
14	HPSBUX03606	https://h20566.www2.hpe.com/hpsc/doc/public/display?docId=emr_na-c05150442
Oracle Technology Network
15	Oracle Linux Bulletin - October 2016	http://www.oracle.com/technetwork/topics/security/linuxbulletinoct2016-3090545.html
16	Oracle Solaris Third Party Bulletin - January 2016	http://www.oracle.com/technetwork/topics/security/bulletinjan2016-2867206.html
Red Hat Security Advisory
17	RHSA-2016:1087	https://access.redhat.com/errata/RHSA-2016:1087
18	RHSA-2016:1088	https://access.redhat.com/errata/RHSA-2016:1088
19	RHSA-2016:1089	http://rhn.redhat.com/errata/RHSA-2016-1089.html
20	RHSA-2016:2046	http://rhn.redhat.com/errata/RHSA-2016-2046.html
Ubuntu Security Notice
21	USN-3024-1	http://www.ubuntu.com/usn/USN-3024-1

その他

No	名前	URL
JVN
1	JVNVU#94679988	http://jvn.jp/vu/JVNVU94679988/

変更履歴

No	変更内容	変更日
0	[2016年03月02日] 掲載 [2016年06月24日] ベンダ情報：ヒューレット・パッカード・エンタープライズ (HPSBUX03606) を追加ベンダ情報：ヒューレット・パッカード・エンタープライズ (HPSBOV03615) を追加 [2016年12月05日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：レッドハット (RHSA-2016:2046) を追加ベンダ情報：オラクル (Oracle Linux Bulletin - October 2016) を追加ベンダ情報：オラクル (Oracle Solaris Third Party Bulletin - January 2016) を追加ベンダ情報：Canonical (USN-3024-1) を追加ベンダ情報：Debian (DSA-3530) を追加ベンダ情報：Debian (DSA-3552) を追加ベンダ情報：Debian (DSA-3609) を追加	2018年2月17日10:37

構成1	以上	以下	より上	未満
cpe:2.3:a:apache:tomcat:7.0.2:beta::::::
cpe:2.3:a:apache:tomcat:7.0.12:::::::*
cpe:2.3:a:apache:tomcat:7.0.62:::::::*
cpe:2.3:a:apache:tomcat:8.0.17:::::::*
cpe:2.3:a:apache:tomcat:7.0.53:::::::*
cpe:2.3:a:apache:tomcat:7.0.20:::::::*
cpe:2.3:a:apache:tomcat:7.0.34:::::::*
cpe:2.3:a:apache:tomcat:8.0.26:::::::*
cpe:2.3:a:apache:tomcat:7.0.55:::::::*
cpe:2.3:a:apache:tomcat:7.0.4:beta::::::
cpe:2.3:a:apache:tomcat:7.0.63:::::::*
cpe:2.3:a:apache:tomcat:8.0.20:::::::*
cpe:2.3:a:apache:tomcat:7.0.22:::::::*
cpe:2.3:a:apache:tomcat:7.0.39:::::::*
cpe:2.3:a:apache:tomcat:7.0.26:::::::*
cpe:2.3:a:apache:tomcat:7.0.28:::::::*
cpe:2.3:a:apache:tomcat:8.0.1:::::::*
cpe:2.3:a:apache:tomcat:8.0.0:rc3::::::
cpe:2.3:a:apache:tomcat:7.0.59:::::::*
cpe:2.3:a:apache:tomcat:7.0.65:::::::*
cpe:2.3:a:apache:tomcat:7.0.50:::::::*
cpe:2.3:a:apache:tomcat:7.0.6:::::::*
cpe:2.3:a:apache:tomcat:8.0.12:::::::*
cpe:2.3:a:apache:tomcat:7.0.14:::::::*
cpe:2.3:a:apache:tomcat:8.0.27:::::::*
cpe:2.3:a:apache:tomcat:8.0.15:::::::*
cpe:2.3:a:apache:tomcat:7.0.11:::::::*
cpe:2.3:a:apache:tomcat:8.0.0:rc1::::::
cpe:2.3:a:apache:tomcat:7.0.23:::::::*
cpe:2.3:a:apache:tomcat:7.0.0:beta::::::
cpe:2.3:a:apache:tomcat:8.0.22:::::::*
cpe:2.3:a:apache:tomcat:8.0.29:::::::*
cpe:2.3:a:apache:tomcat:7.0.52:::::::*
cpe:2.3:a:apache:tomcat:7.0.42:::::::*
cpe:2.3:a:apache:tomcat:7.0.37:::::::*
cpe:2.3:a:apache:tomcat:7.0.29:::::::*
cpe:2.3:a:apache:tomcat:8.0.11:::::::*
cpe:2.3:a:apache:tomcat:8.0.24:::::::*
cpe:2.3:a:apache:tomcat:8.0.0:rc10::::::
cpe:2.3:a:apache:tomcat:8.0.23:::::::*
cpe:2.3:a:apache:tomcat:7.0.47:::::::*
cpe:2.3:a:apache:tomcat:7.0.5:beta::::::
cpe:2.3:a:apache:tomcat:8.0.21:::::::*
cpe:2.3:a:apache:tomcat:7.0.41:::::::*
cpe:2.3:a:apache:tomcat:7.0.30:::::::*
cpe:2.3:a:apache:tomcat:7.0.19:::::::*
cpe:2.3:a:apache:tomcat:7.0.16:::::::*
cpe:2.3:a:apache:tomcat:7.0.10:::::::*
cpe:2.3:a:apache:tomcat:8.0.18:::::::*
cpe:2.3:a:apache:tomcat:7.0.25:::::::*
cpe:2.3:a:apache:tomcat:7.0.54:::::::*
cpe:2.3:a:apache:tomcat:7.0.35:::::::*
cpe:2.3:a:apache:tomcat:7.0.61:::::::*
cpe:2.3:a:apache:tomcat:8.0.3:::::::*
cpe:2.3:a:apache:tomcat:7.0.57:::::::*
cpe:2.3:a:apache:tomcat:8.0.14:::::::*
cpe:2.3:a:apache:tomcat:8.0.0:rc5::::::
cpe:2.3:a:apache:tomcat:7.0.32:::::::*
cpe:2.3:a:apache:tomcat:7.0.21:::::::*
cpe:2.3:a:apache:tomcat:7.0.27:::::::*
cpe:2.3:a:apache:tomcat:7.0.40:::::::*
cpe:2.3:a:apache:tomcat:7.0.56:::::::*
cpe:2.3:a:apache:tomcat:8.0.28:::::::*
cpe:2.3:a:apache:tomcat:7.0.64:::::::*
cpe:2.3:a:apache:tomcat:7.0.33:::::::*
cpe:2.3:a:apache:tomcat:9.0.0:milestone1::::::