JVNDB-2011-002110

[English]
JVNDB-2011-002110
Samba Web Administration Tool におけるクロスサイトリクエストフォージェリの脆弱性
概要
Samba Web Administration Tool (SWAT) には、クロスサイトリクエストフォージェリの脆弱性が存在します。 Samba Web Administration Tool (SWAT) は、Web インタフェース上で Samba の設定変更を行うための製品です。SWAT には、クロスサイトリクエストフォージェリの脆弱性が存在します。なお、SWAT は、Samba の初期設定では無効になっています。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: 株式会社ラック石川芳浩氏

CVSS による深刻度 (CVSS とは?)
基本値: 4.0 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): 部分的

影響を受けるシステム
Samba Web Administration Tool (SWAT) を含んでいる以下の製品
Samba Project Samba version 3.5.10 より前のバージョン Samba version 3.4.14 より前のバージョン Samba version 3.3.16 より前のバージョン Samba version 3.0.x から 3.2.15 VMware VMware ESX 3.5 VMware ESX 4.0 VMware ESX 4.1 レッドハット Red Hat Enterprise Linux Server EUS (v. 6.1.z) Red Hat Desktop (v.4) Red Hat Enterprise Linux (v.5 server) Red Hat Enterprise Linux AS (v.4) Red Hat Enterprise Linux Desktop (v. 6) Red Hat Enterprise Linux Desktop (v.5 client) Red Hat Enterprise Linux ES (v.4) Red Hat Enterprise Linux HPC Node (v. 6) Red Hat Enterprise Linux Server (v. 6) Red Hat Enterprise Linux Workstation (v. 6) Red Hat Enterprise Linux WS (v.4) RHEL Desktop Workstation (v.5 client)

想定される影響
ユーザが、当該製品に root 権限でログインした状態で悪意あるページを読み込んだ場合、Samba の設定を変更される可能性があります。
対策
[アップデートする] 開発者が提供する情報をもとに最新版へアップデートしてください。 [パッチを適用する] 開発者が提供する情報をもとに各バージョンに対応するパッチを適用してください。
ベンダ情報
Samba Project Samba : Samba 3.3.16 Available for Download Samba : Samba 3.4.14 Available for Download Samba : Samba 3.5.10 Available for Download Samba : Samba3 Release Planning Samba Security Announcement : Cross-Site Request Forgery in SWAT Samba Security Releases : Samba Security Releases 日本 Samba ユーザ会 : Samba-JP VMware VMware Security Advisories : VMSA-2012-0001 オラクル SECURITY BLOG : Multiple vulnerabilities in Samba レッドハット Red Hat Security Advisory : RHSA-2011:1219 Red Hat Security Advisory : RHSA-2011:1220 Red Hat Security Advisory : RHSA-2011:1221
CWEによる脆弱性タイプ一覧 CWEとは?
クロスサイトリクエストフォージェリ(CWE-352) [IPA評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2011-2522
参考情報
JVN : JVN#29529126 National Vulnerability Database (NVD) : CVE-2011-2522 Secunia Advisory : SA45393 SecurityFocus : 48899 ISS X-Force Database : 68843 SecurityTracker : 1025852 OPEN SOURCE VULNERABILITY DATABASE (OSVDB) : 74071
更新履歴
[2011年08月18日] 掲載 [2011年08月26日] JVN#29529126 にあわせ、タイトル、概要、影響を受けるシステム、想定される影響、対策、ベンダ情報を更新。CVSS、CWE を IPA 値に変更。 [2011年09月15日] 影響を受けるシステム：レッドハット (RHSA-2011:1219) の情報を追加影響を受けるシステム：レッドハット (RHSA-2011:1220) の情報を追加影響を受けるシステム：レッドハット (RHSA-2011:1221) の情報を追加ベンダ情報：レッドハット (RHSA-2011:1219) を追加ベンダ情報：レッドハット (RHSA-2011:1220) を追加ベンダ情報：レッドハット (RHSA-2011:1221) を追加 [2012年04月16日] ベンダ情報：オラクル (Multiple vulnerabilities in Samba) を追加 [2012年12月21日] 影響を受けるシステム：VMware (VMSA-2012-0001) の情報を追加ベンダ情報：VMware (VMSA-2012-0001) を追加


公表日	2011/07/26
登録日	2011/08/18
最終更新日	2012/12/21

Samba Web Administration Tool におけるクロスサイトリクエストフォージェリの脆弱性