製品・ソフトウェアに関する情報
Vulnerability Search
Samba Web Administration Tool におけるクロスサイトスクリプティングの脆弱性
Title Samba Web Administration Tool におけるクロスサイトスクリプティングの脆弱性
Summary

Samba Web Administration Tool (SWAT) には、クロスサイトスクリプティングの脆弱性が存在します。 Samba Web Administration Tool (SWAT) は、Web インタフェース上で Samba の設定変更を行うための製品です。SWAT には、クロスサイトスクリプティングの脆弱性が存在します。 なお、SWAT は、Samba の初期設定では無効になっています。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: NTTデータ先端技術株式会社 辻 伸弘 氏

Possible impacts SWAT にログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。  開発者によると、JVN#29529126 を対策することで、本脆弱性の影響は受けないとのことです。
Solution

[アップデートする] 開発者が提供する情報をもとに最新版へアップデートしてください。 [パッチを適用する] 開発者が提供する情報をもとに各バージョンに対応するパッチを適用してください。
Publication Date July 26, 2011, midnight
Registration Date Aug. 18, 2011, 8:56 a.m.
Last Update Dec. 26, 2012, 10:27 a.m.
CVSS2.0 : 注意
Score 2.6
Vector AV:N/AC:H/Au:N/C:N/I:C/A:N
Affected System
レッドハット
Red Hat Enterprise Linux 4 (as)
Red Hat Enterprise Linux 4 (es)
Red Hat Enterprise Linux 4 (ws)
Red Hat Enterprise Linux 5 (server)
Red Hat Enterprise Linux Desktop 4.0
Red Hat Enterprise Linux Desktop 5.0 (client)
Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux HPC Node 6
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux Server EUS 6.1.z
Red Hat Enterprise Linux Workstation 6
RHEL Desktop Workstation 5 (client)
Samba Project
Samba version 3.0.x から 3.2.15
Samba version 3.3.16 より前のバージョン
Samba version 3.4.14 より前のバージョン
Samba version 3.5.10 より前のバージョン
VMware
VMware ESX 3.5
VMware ESX 4.0
VMware ESX 4.1
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
0 [2011年08月18日]
  掲載
[2011年08月26日]
  JVN#63041502 にあわせ、タイトル、概要、影響を受けるシステム、
  想定される影響、対策、ベンダ情報を更新。CVSS、CWE を IPA 値に変更。
[2011年09月15日]
  影響を受けるシステム:レッドハット (RHSA-2011:1219) の情報を追加
  影響を受けるシステム:レッドハット (RHSA-2011:1220) の情報を追加
  影響を受けるシステム:レッドハット (RHSA-2011:1221) の情報を追加
  ベンダ情報:レッドハット (RHSA-2011:1219) を追加
  ベンダ情報:レッドハット (RHSA-2011:1220) を追加
  ベンダ情報:レッドハット (RHSA-2011:1221) を追加
[2012年04月16日]
  ベンダ情報:オラクル (Multiple vulnerabilities in Samba) を追加
[2012年12月26日]
  影響を受けるシステム:VMware (VMSA-2012-0001) の情報を追加
  ベンダ情報:VMware (VMSA-2012-0001) を追加		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2011-2694
Summary

Cross-site scripting (XSS) vulnerability in the chg_passwd function in web/swat.c in the Samba Web Administration Tool (SWAT) in Samba 3.x before 3.5.10 allows remote authenticated administrators to inject arbitrary web script or HTML via the username parameter to the passwd program (aka the user field to the Change Password page).

Publication Date July 30, 2011, 5:55 a.m.
Registration Date Jan. 28, 2021, 4:39 p.m.
Last Update Nov. 21, 2024, 10:28 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:samba:samba:*:*:*:*:*:*:*:* 3.0.0 3.3.16
cpe:2.3:a:samba:samba:*:*:*:*:*:*:*:* 3.4.0 3.4.14
cpe:2.3:a:samba:samba:*:*:*:*:*:*:*:* 3.5.0 3.5.10
Configuration2 or higher or less more than less than
cpe:2.3:o:canonical:ubuntu_linux:10.10:*:*:*:*:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:11.04:*:*:*:*:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:8.04:*:*:*:-:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:10.04:*:*:*:-:*:*:*
Configuration3 or higher or less more than less than
cpe:2.3:o:debian:debian_linux:5.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:7.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:6.0:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List