JVNDB-2011-002111

[English]
JVNDB-2011-002111
Samba Web Administration Tool におけるクロスサイトスクリプティングの脆弱性
概要
Samba Web Administration Tool (SWAT) には、クロスサイトスクリプティングの脆弱性が存在します。 Samba Web Administration Tool (SWAT) は、Web インタフェース上で Samba の設定変更を行うための製品です。SWAT には、クロスサイトスクリプティングの脆弱性が存在します。なお、SWAT は、Samba の初期設定では無効になっています。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: NTTデータ先端技術株式会社辻伸弘氏

CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 2.6 (注意) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): 全面的可用性への影響(A): なし
影響を受けるシステム
Samba Web Administration Tool (SWAT) を含んでいる以下の製品
Samba Project Samba version 3.5.10 より前のバージョン Samba version 3.4.14 より前のバージョン Samba version 3.3.16 より前のバージョン Samba version 3.0.x から 3.2.15 VMware VMware ESX 3.5 VMware ESX 4.0 VMware ESX 4.1 レッドハット Red Hat Enterprise Linux Server EUS 6.1.z Red Hat Enterprise Linux 5 (server) Red Hat Enterprise Linux 4 (as) Red Hat Enterprise Linux 4 (es) Red Hat Enterprise Linux 4 (ws) Red Hat Enterprise Linux Desktop 4.0 Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux Desktop 5.0 (client) Red Hat Enterprise Linux HPC Node 6 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Workstation 6 RHEL Desktop Workstation 5 (client)

想定される影響
SWAT にログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。開発者によると、JVN#29529126 を対策することで、本脆弱性の影響は受けないとのことです。
対策
[アップデートする] 開発者が提供する情報をもとに最新版へアップデートしてください。 [パッチを適用する] 開発者が提供する情報をもとに各バージョンに対応するパッチを適用してください。
ベンダ情報
Samba Project Samba : Samba 3.3.16 Available for Download Samba : Samba 3.4.14 Available for Download Samba : Samba 3.5.10 Available for Download Samba : Samba3 Release Planning Samba Security Announcement : Cross-Site Scripting vulnerability in SWAT Samba Security Releases : Samba Security Releases 日本 Samba ユーザ会 : Samba-JP VMware VMware Security Advisories : VMSA-2012-0001 オラクル SECURITY BLOG : Multiple vulnerabilities in Samba レッドハット Red Hat Security Advisory : RHSA-2011:1219 Red Hat Security Advisory : RHSA-2011:1220 Red Hat Security Advisory : RHSA-2011:1221
CWEによる脆弱性タイプ一覧 CWEとは?
クロスサイトスクリプティング(CWE-79) [IPA評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2011-2694
参考情報
JVN : JVN#63041502 National Vulnerability Database (NVD) : CVE-2011-2694 Secunia Advisory : SA45393 SecurityFocus : 48901 ISS X-Force Database : 68844 SecurityTracker : 1025852 OPEN SOURCE VULNERABILITY DATABASE (OSVDB) : 74072
更新履歴
[2011年08月18日] 掲載 [2011年08月26日] JVN#63041502 にあわせ、タイトル、概要、影響を受けるシステム、想定される影響、対策、ベンダ情報を更新。CVSS、CWE を IPA 値に変更。 [2011年09月15日] 影響を受けるシステム：レッドハット (RHSA-2011:1219) の情報を追加影響を受けるシステム：レッドハット (RHSA-2011:1220) の情報を追加影響を受けるシステム：レッドハット (RHSA-2011:1221) の情報を追加ベンダ情報：レッドハット (RHSA-2011:1219) を追加ベンダ情報：レッドハット (RHSA-2011:1220) を追加ベンダ情報：レッドハット (RHSA-2011:1221) を追加 [2012年04月16日] ベンダ情報：オラクル (Multiple vulnerabilities in Samba) を追加 [2012年12月26日] 影響を受けるシステム：VMware (VMSA-2012-0001) の情報を追加ベンダ情報：VMware (VMSA-2012-0001) を追加


公表日	2011/07/26
登録日	2011/08/18
最終更新日	2012/12/26

Samba Web Administration Tool におけるクロスサイトスクリプティングの脆弱性