製品・ソフトウェアに関する情報

JVN脆弱性詳細

Drupal の OpenID モジュールにおける認証を回避される脆弱性

Title	Drupal の OpenID モジュールにおける認証を回避される脆弱性
Summary	Drupal の OpenID モジュールには、フィールドの署名を確認しない不備があり、OpenID 2.0 プロトコルの仕様違反があるため、OpenID プロバイダから肯定アサーションを取得され、認証を回避される脆弱性が存在します。
Possible impacts	第三者により、OpenID プロバイダから肯定アサーションを取得されることにより、認証を回避される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Aug. 11, 2010, midnight
Registration Date	Oct. 7, 2010, 4:40 p.m.
Last Update	Oct. 7, 2010, 4:40 p.m.

Affected System

サイバートラスト株式会社

Asianux Server 3 (x86)

Asianux Server 3 (x86-64)

Drupal

Drupal 5.23 未満

Drupal 6.19 未満

OpenID 5.x-1.4 以前

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2010-3686	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3686
National Vulnerability Database (NVD)
2	CVE-2010-3686	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-3686

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-287	https://jvndb.jvn.jp/ja/cwe/CWE-287.html

ベンダー情報

No	Name	URL
Asianux Technical Support Network
1	drupal-6.19-1.AXS3	https://tsn.miraclelinux.com/tsn_local/index.php?m=errata&a=detail&eid=1239
Drupal Security announcements
2	DRUPAL-SA-CONTRIB-2010-084	http://drupal.org/node/880480
3	DRUPAL-SA-CORE-2010-002	http://drupal.org/node/880476

Change Log

No	Changed Details	Date of change
0	[2010年10月07日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2010-3686

Summary	The OpenID module in Drupal 6.x before 6.18, and the OpenID module 5.x before 5.x-1.4 for Drupal, violates the OpenID 2.0 protocol by not ensuring that fields are signed, which allows remote attackers to bypass authentication by leveraging an assertion from an OpenID provider.
Publication Date	Sept. 30, 2010, 2 a.m.
Registration Date	Jan. 29, 2021, 11:06 a.m.
Last Update	Nov. 21, 2024, 10:19 a.m.

Affected software configurations

Configuration2	or higher	or less	more than	less than
cpe:2.3:a:peter_wolanin:openid:5.x-1.1:::::::*
cpe:2.3:a:peter_wolanin:openid:5.x-1.0:::::::*
cpe:2.3:a:peter_wolanin:openid:5.x-1.2:::::::*
cpe:2.3:a:peter_wolanin:openid:5.x-1.3:::::::*
cpe:2.3:a:peter_wolanin:openid:5.x-1.x:dev::::::

Related information, measures and tools

No	URL	タグ
1	http://drupal.org/node/880476	Patch Vendor Advisory
2	http://drupal.org/node/880476	Patch Vendor Advisory
3	http://drupal.org/node/880480	Patch Vendor Advisory
4	http://drupal.org/node/880480	Patch Vendor Advisory
5	http://marc.info/?l=oss-security&m=128418560705305&w=2
6	http://marc.info/?l=oss-security&m=128418560705305&w=2
7	http://marc.info/?l=oss-security&m=128440896914512&w=2
8	http://marc.info/?l=oss-security&m=128440896914512&w=2
9	http://www.debian.org/security/2010/dsa-2113
10	http://www.debian.org/security/2010/dsa-2113
11	http://www.securityfocus.com/bid/42388
12	http://www.securityfocus.com/bid/42388

Common Vulnerabilities List