JVNDB-2013-001456

JVNDB-2013-001456
Rack の Rack::Session::Cookie におけるセッション cookie を推測される脆弱性
概要
Rack の Rack::Session::Cookie には、セッション cookie を推測される、権限を取得される、および任意のコードを実行される脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 5.1 (警告) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃前の認証要否: 不要機密性への影響(C): 部分的完全性への影響(I): 部分的可用性への影響(A): 部分的
影響を受けるシステム

Rack Rack 1.5.2 未満の 1.5.x Rack 1.4.5 未満の 1.4.x Rack 1.3.10 未満の 1.3.x Rack 1.2.8 未満の 1.2.x Rack 1.1.6 未満の 1.1.x

想定される影響
第三者により、一定の時間において実行されない HMAC 比較機能に関連したタイミング攻撃を介して、セッション cookie を推測される、権限を取得される、および任意のコードを実行される可能性があります。
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
Debian Debian Security Advisory : DSA-2783 Novell opensuse-updates : openSUSE-SU-2013:0462 Rack GitHub : Add secure_compare to Rack::Utils GitHub : Use secure_compare for hmac comparison GitHub : Top Page Google Groups : [SEC][ANN] Rack 1.5.2, a modular Ruby webserver interface Google Groups : [SEC][ANN] Rack 1.2.8, a modular Ruby webserver interface Google Groups : [SEC][ANN] Rack 1.4.5, a modular Ruby webserver interface Google Groups : [SEC][ANN] Rack 1.1.6, a modular Ruby webserver interface Google Groups : [SEC][ANN] Rack 1.3.10, a modular Ruby webserver interface レッドハット Red Hat Bugzilla : Bug 909071 Red Hat Security Advisory : RHSA-2013:0686
CWEによる脆弱性タイプ一覧 CWEとは?
情報不足(CWE-noinfo) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2013-0263
参考情報
National Vulnerability Database (NVD) : CVE-2013-0263
更新履歴
[2013年02月12日] 掲載 [2013年04月05日] ベンダ情報：レッドハット (RHSA-2013:0686) を追加 [2013年05月17日] ベンダ情報：Novell (openSUSE-SU-2013:0462) を追加 [2013年11月12日] ベンダ情報：Debian (DSA-2783) を追加


公表日	2013/02/07
登録日	2013/02/12
最終更新日	2013/11/12

Rack の Rack::Session::Cookie におけるセッション cookie を推測される脆弱性