| Title | Samba Web Administration Tool におけるクロスサイトリクエストフォージェリの脆弱性 |
|---|---|
| Summary | Samba Web Administration Tool (SWAT) には、クロスサイトリクエストフォージェリの脆弱性が存在します。 Samba Web Administration Tool (SWAT) は、Web インタフェース上で Samba の設定変更を行うための製品です。SWAT には、クロスサイトリクエストフォージェリの脆弱性が存在します。 なお、SWAT は、Samba の初期設定では無効になっています。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 株式会社ラック 石川 芳浩 氏 |
| Possible impacts | ユーザが、当該製品に root 権限でログインした状態で悪意あるページを読み込んだ場合、Samba の設定を変更される可能性があります。 |
| Solution | [アップデートする] 開発者が提供する情報をもとに最新版へアップデートしてください。 [パッチを適用する] 開発者が提供する情報をもとに各バージョンに対応するパッチを適用してください。 |
| Publication Date | July 26, 2011, midnight |
| Registration Date | Aug. 18, 2011, 8:55 a.m. |
| Last Update | Dec. 21, 2012, 5:34 p.m. |
| CVSS2.0 : 警告 | |
| Score | 4 |
|---|---|
| Vector | AV:N/AC:H/Au:N/C:N/I:P/A:P |
| レッドハット |
| Red Hat Enterprise Linux 4 (as) |
| Red Hat Enterprise Linux 4 (es) |
| Red Hat Enterprise Linux 4 (ws) |
| Red Hat Enterprise Linux 5 (server) |
| Red Hat Enterprise Linux Desktop 4.0 |
| Red Hat Enterprise Linux Desktop 5.0 (client) |
| Red Hat Enterprise Linux Desktop 6 |
| Red Hat Enterprise Linux HPC Node 6 |
| Red Hat Enterprise Linux Server 6 |
| Red Hat Enterprise Linux Server EUS 6.1.z |
| Red Hat Enterprise Linux Workstation 6 |
| RHEL Desktop Workstation 5 (client) |
| Samba Project |
| Samba version 3.0.x から 3.2.15 |
| Samba version 3.3.16 より前のバージョン |
| Samba version 3.4.14 より前のバージョン |
| Samba version 3.5.10 より前のバージョン |
| VMware |
| VMware ESX 3.5 |
| VMware ESX 4.0 |
| VMware ESX 4.1 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2011年08月18日] 掲載 [2011年08月26日] JVN#29529126 にあわせ、タイトル、概要、影響を受けるシステム、 想定される影響、対策、ベンダ情報を更新。CVSS、CWE を IPA 値に変更。 [2011年09月15日] 影響を受けるシステム:レッドハット (RHSA-2011:1219) の情報を追加 影響を受けるシステム:レッドハット (RHSA-2011:1220) の情報を追加 影響を受けるシステム:レッドハット (RHSA-2011:1221) の情報を追加 ベンダ情報:レッドハット (RHSA-2011:1219) を追加 ベンダ情報:レッドハット (RHSA-2011:1220) を追加 ベンダ情報:レッドハット (RHSA-2011:1221) を追加 [2012年04月16日] ベンダ情報:オラクル (Multiple vulnerabilities in Samba) を追加 [2012年12月21日] 影響を受けるシステム:VMware (VMSA-2012-0001) の情報を追加 ベンダ情報:VMware (VMSA-2012-0001) を追加 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | Multiple cross-site request forgery (CSRF) vulnerabilities in the Samba Web Administration Tool (SWAT) in Samba 3.x before 3.5.10 allow remote attackers to hijack the authentication of administrators for requests that (1) shut down daemons, (2) start daemons, (3) add shares, (4) remove shares, (5) add printers, (6) remove printers, (7) add user accounts, or (8) remove user accounts, as demonstrated by certain start, stop, and restart parameters to the status program. |
|---|---|
| Publication Date | July 30, 2011, 5:55 a.m. |
| Registration Date | Jan. 28, 2021, 4:38 p.m. |
| Last Update | Nov. 21, 2024, 10:28 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:samba:samba:*:*:*:*:*:*:*:* | 3.0.0 | 3.3.16 | |||
| cpe:2.3:a:samba:samba:*:*:*:*:*:*:*:* | 3.4.0 | 3.4.14 | |||
| cpe:2.3:a:samba:samba:*:*:*:*:*:*:*:* | 3.5.0 | 3.5.10 | |||
| Configuration2 | or higher | or less | more than | less than | |
| cpe:2.3:o:debian:debian_linux:5.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:debian:debian_linux:7.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:debian:debian_linux:6.0:*:*:*:*:*:*:* | |||||
| Configuration3 | or higher | or less | more than | less than | |
| cpe:2.3:o:canonical:ubuntu_linux:10.10:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:canonical:ubuntu_linux:11.04:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:canonical:ubuntu_linux:8.04:*:*:*:-:*:*:* | |||||
| cpe:2.3:o:canonical:ubuntu_linux:10.04:*:*:*:-:*:*:* | |||||