製品・ソフトウェアに関する情報

JVN脆弱性詳細

Blue Coat ProxySG に脆弱性

Title	Blue Coat ProxySG に脆弱性
Summary	Blue Coat が提供する ProxySG には、認証情報の変更から反映までに時差がある脆弱性が存在します。 Blue Coat が提供する ProxySG には、古い認証情報がキャッシュに保存されていることにより、認証情報の変更から反映までに最大15分程度の時差がある脆弱性 (CWE-361) が存在します。なお、新たなアカウントでのログインや間違ったパスワードによる認証拒否など、他のパスワード関連の処理が行われた場合、この時差は縮まるとのことです。 CWE-361: Time and State https://cwe.mitre.org/data/definitions/361.html
Possible impacts	認証情報を変更しても、最大15分間は古いアカウントでログインされる可能性があります。
Solution	[パッチを適用する] 開発者が提供する情報をもとに、対応するパッチを適用してください。 [ワークアラウンドを実施する] パッチを適用するまでの間、次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。　* パスワードを変更後、ただちに新しいパスワードでログインするか、間違ったパスワードで認証失敗する　* アカウントを無効にした後、ただちに無効にしたアカウントで間違ったパスワードを入力し、認証失敗する　* LDAP, Certificate, SAML など、ProxySG アプライアンスのローカルでない認証を使用する
Publication Date	Feb. 28, 2014, midnight
Registration Date	March 4, 2014, 4:58 p.m.
Last Update	March 4, 2014, 4:58 p.m.

CVSS2.0 : 危険
Score	7.9
Vector	AV:A/AC:M/Au:N/C:C/I:C/A:C

Affected System

ブルーコートシステムズ

ProxySG (SGOS) 6.5.4 より前のバージョン

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2014-2033	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2033
National Vulnerability Database (NVD)
2	CVE-2014-2033	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2033

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html
2	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	Name	URL
Blue Coat Systems, Inc.
1	Bluecoat Knowledge Base - Changes to ProxySG local users are delayed	https://kb.bluecoat.com/index?page=content&id=SA77

その他

No	Name	URL
JVN
1	JVNVU#93097036	http://jvn.jp/vu/JVNVU93097036/index.html
US-CERT Vulnerability Note
2	VU#221620	http://www.kb.cert.org/vuls/id/221620

Change Log

No	Changed Details	Date of change
0	[2014年03月04日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2014-2033

Summary	The caching feature in SGOS in Blue Coat ProxySG 5.5 through 5.5.11.3, 6.1 through 6.1.6.3, 6.2 through 6.2.15.3, 6.4 through 6.4.6.1, and 6.3 and 6.5 before 6.5.4 allows remote authenticated users to bypass intended access restrictions during a time window after account deletion or modification by leveraging knowledge of previously valid credentials.
Publication Date	March 3, 2014, 2:55 a.m.
Registration Date	Jan. 26, 2021, 3:07 p.m.
Last Update	Nov. 21, 2024, 11:05 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:o:bluecoat:proxysgos:6.3:::::::*
cpe:2.3:o:bluecoat:proxysgos::::::::	5.5	5.5.11.3
cpe:2.3:o:bluecoat:proxysgos::::::::	6.1	6.1.6.3
cpe:2.3:o:bluecoat:proxysgos::::::::	6.2	6.2.15.3
cpe:2.3:o:bluecoat:proxysgos::::::::	6.4	6.4.6.1
cpe:2.3:o:bluecoat:proxysgos::::::::	6.5			6.5.4

Related information, measures and tools

No	URL	タグ
1	http://www.kb.cert.org/vuls/id/221620	US Government Resource
2	http://www.kb.cert.org/vuls/id/221620	US Government Resource
3	https://kb.bluecoat.com/index?page=content&id=SA77	Vendor Advisory
4	https://kb.bluecoat.com/index?page=content&id=SA77	Vendor Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-264	認可・権限・アクセス制御	https://cwe.mitre.org/data/definitions/264.html