JVNDB-2012-002168

JVNDB-2012-002168
Bugzilla におけるロックアウトポリシーを回避される脆弱性
概要
Bugzilla は、inbound_proxies オプションが有効である場合、X-Forwarded-For HTTP ヘッダを適切に検証しないため、ロックアウトポリシーを回避される脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)
基本値: 4.3 (警告) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 中攻撃前の認証要否: 不要機密性への影響(C): 部分的完全性への影響(I): なし可用性への影響(A): なし

影響を受けるシステム

Mozilla Foundation Bugzilla 3.5.x Bugzilla 3.6.9 未満の 3.6.x Bugzilla 3.7.x Bugzilla 4.0.6 未満の 4.0.x Bugzilla 4.1.x Bugzilla 4.2.1 未満の 4.2.x

想定される影響
第三者により、当該のヘッダが (1) 異なる IP アドレス、または (2) 過度に長い文字列である一連の認証要求を介して、ロックアウトポリシーを回避される可能性があります。
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
Fedora Project Fedora Update Notification : FEDORA-2012-6282 Fedora Update Notification : FEDORA-2012-6368 Fedora Update Notification : FEDORA-2012-6396 Mozilla Foundation Mozilla Foundation : Bug 728639 Mozilla Foundation : 4.2, 4.0.5, and 3.6.8 Security Advisory
CWEによる脆弱性タイプ一覧 CWEとは?
認可・権限・アクセス制御(CWE-264) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2012-0465
参考情報
National Vulnerability Database (NVD) : CVE-2012-0465
更新履歴
[2012年05月01日] 掲載 [2012年09月03日] ベンダ情報：Fedora Project (FEDORA-2012-6282) を追加ベンダ情報：Fedora Project (FEDORA-2012-6368) を追加ベンダ情報：Fedora Project (FEDORA-2012-6396) を追加


公表日	2012/04/27
登録日	2012/05/01
最終更新日	2012/09/03

Bugzilla におけるロックアウトポリシーを回避される脆弱性