JVNDB-2015-002882

JVNDB-2015-002882
Blue Coat SSL Visibility Appliance 製品の WebUI コンポーネントにおけるクリックジャッキング攻撃を実行される脆弱性
概要
Blue Coat SSL Visibility Appliance SV800、SV1800、SV2800、および SV3800 の WebUI コンポーネントは、制限されていない X-Frame-Options HTTP ヘッダを送信するため、クリックジャッキング攻撃を実行される脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 4.3 (警告) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 中攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): なし
影響を受けるシステム

ブルーコートシステムズ SSL Visibility Appliance SV1800 ファームウェア 3.6.x から 3.8.4 未満の 3.8.x SSL Visibility Appliance SV2800 ファームウェア 3.6.x から 3.8.4 未満の 3.8.x SSL Visibility Appliance SV3800 ファームウェア 3.6.x から 3.8.4 未満の 3.8.x SSL Visibility Appliance SV800 ファームウェア 3.6.x から 3.8.4 未満の 3.8.x SSL Visibility Appliance SV1800 SSL Visibility Appliance SV2800 SSL Visibility Appliance SV3800 SSL Visibility Appliance SV800

想定される影響
第三者により、IFRAME 要素に関する問題によって、クリックジャッキング攻撃を実行される可能性があります。
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
ブルーコートシステムズ Security Advisories : SA96
CWEによる脆弱性タイプ一覧 CWEとは?
不適切な入力確認(CWE-20) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2015-2854
参考情報
JVN : JVNVU#97084421 National Vulnerability Database (NVD) : CVE-2015-2854 US-CERT Vulnerability Note : VU#498348
更新履歴
[2015年06月03日] 掲載


公表日	2015/05/29
登録日	2015/06/03
最終更新日	2015/06/03

Blue Coat SSL Visibility Appliance 製品の WebUI コンポーネントにおけるクリックジャッキング攻撃を実行される脆弱性