Asset Coordinator 6 サポート情報
動作環境に関して
CODE:sys12 OS:ALL
DATE:2012/01/17
Question
Asset Coordinator 6は、2009.6.9に発見されたTomcat における情報漏えいの脆弱性の影響を受けますか?
Answer
参照URL:http://jvn.jp/jp/JVN63832775/index.html
報告者のベンダ情報によれば、以下の条件を満たさない場合は本脆弱性の影響を受けないと説明されています。
条件: (以下1~3全ての条件にあてはまらなければ、影響は受けません)
1)Webアプリケーションが、以下のいずれかの Servlet API、または JSP アクションを呼び出している。
・javax.servlet.ServletContext#getRequestDispatcher(path)で取得したオブジェクトの forward または include メソッド
・javax.servlet.ServletRequest#getRequestDispatcher(path)で取得したオブジェクトの forward または include メソッド
・JSP の <jsp:forward page="path"> アクション
・JSP の <jsp:include page="path"> アクション
2)上記1)の引数 path が '?' で始まるクエリ文字列を含む。
3)クライアントから送信されたデータを2)のクエリ文字列に含めている。
Asset Coordinator 6は2)を満たさないため、現時点では当脆弱性の影響を受けないと判断しております。
以降、当脆弱性について新たな情報が入手できましたらご報告いたします。
報告者のベンダ情報によれば、以下の条件を満たさない場合は本脆弱性の影響を受けないと説明されています。
条件: (以下1~3全ての条件にあてはまらなければ、影響は受けません)
1)Webアプリケーションが、以下のいずれかの Servlet API、または JSP アクションを呼び出している。
・javax.servlet.ServletContext#getRequestDispatcher(path)で取得したオブジェクトの forward または include メソッド
・javax.servlet.ServletRequest#getRequestDispatcher(path)で取得したオブジェクトの forward または include メソッド
・JSP の <jsp:forward page="path"> アクション
・JSP の <jsp:include page="path"> アクション
2)上記1)の引数 path が '?' で始まるクエリ文字列を含む。
3)クライアントから送信されたデータを2)のクエリ文字列に含めている。
Asset Coordinator 6は2)を満たさないため、現時点では当脆弱性の影響を受けないと判断しております。
以降、当脆弱性について新たな情報が入手できましたらご報告いたします。