JVNDB-2014-005464
|
libcurl の curl_easy_duphandle 関数における重要なメモリ情報を読まれる脆弱性
|
|
libcurl の curl_easy_duphandle 関数は、CURLOPT_COPYPOSTFIELDS オプションを設定して稼働している場合、easy ハンドルに対して HTTP POST データを適切にコピーしないため、out-of-bounds read を誘発されることで、重要なメモリ情報を読まれる脆弱性が存在します。
|
|
CVSS v2 による深刻度
基本値: 4.3 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): なし
- 可用性への影響(A): なし
|
|
|
Haxx
アップル
- Apple Mac OS X 10.10 から 10.10.4
オラクル
- MySQL Enterprise Monitor 2.3.20 およびそれ以前
- MySQL Enterprise Monitor 3.0.22 およびそれ以前
- Oracle Hyperion Essbase 11.1.2.2
- Oracle Hyperion Essbase 11.1.2.3
|
|
|
リモートの WEB サーバにより、重要なメモリ情報を読まれる可能性があります。
|
|
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
|
|
Haxx
アップル
オラクル
|
|
- 情報漏えい(CWE-200) [NVD評価]
|
|
- CVE-2014-3707
|
|
- JVN : JVNVU#95860308
- National Vulnerability Database (NVD) : CVE-2014-3707
- ICS-CERT ADVISORY : ICSA-22-242-03
|
|
- [2014年11月18日]
掲載
[2014年12月25日]
ベンダ情報:オラクル (CVE-2014-3707 Information Disclosure vulnerability in Libcurl) を追加
[2015年07月29日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2015) を追加
ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - July 2015 Risk Matrices) を追加
ベンダ情報:オラクル (July 2015 Critical Patch Update Released) を追加
[2015年08月31日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:アップル (HT205031) を追加
ベンダ情報:アップル (APPLE-SA-2015-08-13-2 OS X Yosemite v10.10.5 and Security Update 2015-006) を追加
[2015年11月06日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - October 2015) を追加
ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - October 2015 Risk Matrices) を追加
ベンダ情報:オラクル (October 2015 Critical Patch Update Released) を追加
- [2022年09月01日]
参考情報:JVN (JVNVU#95860308) を追加
参考情報:ICS-CERT ADVISORY (ICSA-22-242-03) を追加
|
