|
[English]
|
JVNDB-2008-000076
|
sISAPILocation における HTTP ヘッダ書き換え回避の脆弱性
|
|
ISAPI (Internet Server Application Program Interface) フィルタである sISAPILocation には、HTTP ヘッダの書き換え機能が回避される脆弱性が存在します。
sISAPILocation は IIS (Internet Information Services) 上で動作する個人開発の ISAPI フィルタです。sISAPILocation には HTTP ヘッダの書き換え機能が回避される脆弱性が存在します。
|
|
基本値:
4.3 (警告)
[IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): なし
- 完全性への影響(I): 部分的
- 可用性への影響(A): なし
|
|
佐名木 智貴
- sISAPILocation Ver1.0.2.1 およびそれ以前
|
|
sISAPILocation で文字コードの指定や Cookie の secure フラグなどの設定を行っている場合、それらの設定が回避される可能性があります。
|
|
[アップデートする]
開発者が提供する情報をもとに最新版へアップデートしてください。
[ワークアラウンドを実施する]
アップデートまでの回避策として IIS 側の Keep-Alive 機能を停止してください。
|
|
佐名木 智貴
|
|
- JVN : JVN#67060882
- National Vulnerability Database (NVD) : CVE-2008-6298
- Common Vulnerabilities and Exposures (CVE) : CVE-2008-6298
- Secunia Advisory : SA32581
- SecurityFocus : 32247
- VUPEN Security : VUPEN/ADV-2008-3105
- 共通脆弱性タイプ一覧 (CWE) : 不十分な入力確認 (CWE-20) [IPA評価]
- JVN iPedia (English) : JVNDB-2008-000076
|
|
[2008年11月06日]
掲載
|
|
| 2008/11/06 |
| 2008/11/06 |
| 2008/11/06 |
|
