このページには、Apache Tomcat® 3.x のリリースバージョンで修正されたすべてのセキュリティ脆弱性がリストされています。各脆弱性には、Apache Tomcat セキュリティチームによってセキュリティ影響度評価が与えられています。この評価はプラットフォームによって異なる場合があることに注意してください。また、この脆弱性が影響することが知られている Apache Tomcat のバージョンもリストされており、脆弱性が確認されていない場合は疑問符付きでバージョンがリストされています。
Tomcat 3 はサポート対象外となりました。3.x ブランチのさらなる脆弱性は修正されません。セキュリティ修正を取得するには、8.5.x 以降にアップグレードする必要があります。
これらの脆弱性に関するコメントや修正は、Tomcat セキュリティチームまでお送りください。
重要: サービス拒否 CVE-2005-0808
Tomcat 3.x は、AJP12 プロトコルポート(デフォルトでは TCP 8007)に適切なバイトシーケンスを送信する接続によって、リモートからクラッシュまたはシャットダウンさせられる可能性があります。Tomcat 3.x ユーザーは、このポートがリモート攻撃者からアクセスできないように、適切にファイアウォールで保護されていることを確認することをお勧めします。この問題に対する Tomcat 3.x のアップデートを発行する予定はありません。
影響: 3.0, 3.1-3.1.1, 3.2-3.2.4, 3.3a-3.3.2
低: セッションハイジャック CVE-2007-3382
Tomcat はクッキー値内のシングルクォーテーション文字(')を区切り文字として誤って扱いました。特定の状況下で、これによりセッションIDなどの情報が攻撃者に漏洩する可能性がありました。
影響: 3.3-3.3.2
低: クロスサイトスクリプティング CVE-2007-3384
エラーメッセージを報告する際、Tomcat は表示前にユーザーが提供したデータをフィルタリングしません。これにより XSS 攻撃が可能になります。ソースパッチはアーカイブから入手可能です。
影響: 3.3-3.3.2
低: セッションハイジャック CVE-2007-3385
Tomcat はクッキー値内の文字シーケンス \" を誤って処理しました。特定の状況下で、これによりセッションIDなどの情報が攻撃者に漏洩する可能性がありました。
影響: 3.3-3.3.2
中: クロスサイトスクリプティング CVE-2003-0044
ルートウェブアプリケーションと例のウェブアプリケーションには、いくつかのクロスサイトスクリプティング脆弱性が含まれていました。例のウェブアプリケーションは本番サーバーにインストールしないことを推奨します。
影響: 3.0, 3.1-3.1.1, 3.2-3.2.4, 3.3a-3.3.1a
重要: 情報漏洩 CVE-2003-0043
JDK 1.3.1 以前のバージョンで使用した場合、web.xml ファイルは信頼された権限で読み込まれるため、セキュリティマネージャーが動作している場合でも、ウェブアプリケーション外のファイルが読み取られる可能性がありました。
影響: 3.0, 3.1-3.1.1, 3.2-3.2.4, 3.3a-3.3.1
重要: 情報漏洩 CVE-2003-0042
ヌル文字を含むURLは、ウェルカムファイルが定義されている場合でも、ファイルの内容が返されたり、ディレクトリリストが返されたりする可能性がありました。
影響: 3.0, 3.1-3.1.1, 3.2-3.2.4, 3.3a-3.3.1
重要: サービス拒否 CVE-2003-0045
aux.jsp のような Windows DOS デバイス名と一致する JSP ページ名は、リクエストを処理するスレッドを応答不能にすることがあります。そのようなリクエストが連続して発生すると、すべてのリクエスト処理スレッド、ひいては Tomcat が応答不能になる可能性があります。
影響: 3.0, 3.1-3.1.1, 3.2-3.2.4, 3.3a
中: 情報漏洩 CVE-2002-2007
デフォルトでインストールされているサンプルアプリケーションへの非標準のリクエストにより、予期しないディレクトリリストが表示されたり、JSP の完全なファイルシステムパスが公開されたりする可能性がありました。
影響: 3.2.3-3.2.4
低: 情報漏洩 CVE-2002-2006, CVE-2000-0760
例の一部としてインストールされる snoop サーブレットには、Tomcat のインストールパスを識別する出力が含まれています。この問題に対する Tomcat 3.x のアップデートを発行する予定はありません。
影響: 3.1-3.1.1, 3.2-3.2.4
中: 情報漏洩 CVE-2001-1563
この脆弱性レポートには詳細が提供されていません。これは 3.2.x に対して報告された他の問題の要約である可能性があります。
影響: 3.2?, 3.2.1, 3.2.2-3.2.3?
中: クロスサイトスクリプティング CVE-2001-0829
デフォルトの 404 エラーページは URL をエスケープしません。これにより、特別に作成された URL を使用した XSS 攻撃が可能になります。
影響: 3.0, 3.1-3.1.1, 3.2-3.2.1
中: 情報漏洩 CVE-2001-0590
特別に作成されたURLを使用してJSPのソースを取得できます。
影響: 3.0, 3.1-3.1.1, 3.2-3.2.1
低: 情報漏洩 CVE-2000-0759
存在しない JSP を要求すると、現在のコンテキストの完全なファイルシステムページを含むエラーページが返されます。
影響: 3.1
重要: 情報漏洩 CVE-2000-0672
admin コンテキストへのアクセスが保護されていません。このコンテキストにより、攻撃者は任意のファイルシステムパスをコンテキストとしてマウントできます。これにより、Tomcat が実行されているアカウントからこのファイルシステムパスにアクセス可能なファイルが、攻撃者から見えるようになります。
影響: 3.1
重要: 情報漏洩 CVE-2000-1210
例の一部として提供される source.jsp は、source.jsp の引数に .. (ドットドット) を使用することで、攻撃者が任意のファイルを読み取れるようにします。
影響: 3.0