製品・ソフトウェアに関する情報

JVN脆弱性詳細

MyBB の inc/functions_time.php におけるサービス運用妨害 (DoS) の脆弱性

Title	MyBB の inc/functions_time.php におけるサービス運用妨害 (DoS) の脆弱性
Summary	MyBB の inc/functions_time.php には、サービス運用妨害 (CPU 消費) 状態となる脆弱性が存在します。
Possible impacts	第三者により、過度に大きい year 値を伴う巧妙に細工された要求を介して、member.php およびその他の要因を通して到達可能な過度に長いループを誘発され、サービス運用妨害 (CPU 消費) 状態にされる可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Dec. 19, 2009, midnight
Registration Date	Sept. 25, 2012, 5:38 p.m.
Last Update	Sept. 25, 2012, 5:38 p.m.

Affected System

mybboard

mybb 1.4.10 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-4448	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-4448
National Vulnerability Database (NVD)
2	CVE-2009-4448	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-4448

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-399	https://jvndb.jvn.jp/ja/cwe/CWE-399.html

ベンダー情報

No	Name	URL
mybboard
1	600	http://dev.mybb.com/issues/600

Change Log

No	Changed Details	Date of change
0	[2012年09月25日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2009-4448

Summary	inc/functions_time.php in MyBB (aka MyBulletinBoard) 1.4.10, and possibly earlier versions, allows remote attackers to cause a denial of service (CPU consumption) via a crafted request with a large year value, which triggers a long loop, as reachable through member.php and possibly other vectors.
Publication Date	Dec. 30, 2009, 5:41 a.m.
Registration Date	Jan. 29, 2021, 1:27 p.m.
Last Update	Jan. 4, 2011, 3:37 p.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:mybboard:mybb:1.4.10:::::::*

Related information, measures and tools

No	URL	refsource	タグ
1	http://blog.mybboard.net/2009/12/29/mybb-1-4-11-released-minor-patch-security-update/	CONFIRM	Patch
2	http://dev.mybboard.net/issues/600	CONFIRM	Patch
3	http://dev.mybboard.net/projects/mybb/repository/revisions/4613/diff/branches/1.4-stable/inc/functions_time.php	CONFIRM
4	http://openwall.com/lists/oss-security/2010/10/08/7	MLIST
5	http://openwall.com/lists/oss-security/2010/10/11/8	MLIST
6	http://openwall.com/lists/oss-security/2010/12/06/2	MLIST
7	http://secunia.com/advisories/37906	SECUNIA	Vendor Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-399	リソース管理の問題	https://cwe.mitre.org/data/definitions/399.html