NVD Vulnerability Detail

CVE-2012-2671

Summary	The Rack::Cache rubygem 0.3.0 through 1.1 caches Set-Cookie and other sensitive headers, which allows attackers to obtain sensitive cookie information, hijack web sessions, or have other unspecified impact by accessing the cache.
Publication Date	June 17, 2012, 12:41 p.m.
Registration Date	Jan. 28, 2021, 2:58 p.m.
Last Update	Nov. 21, 2024, 10:39 a.m.

Affected software configurations

Related information, measures and tools

No	URL	refsource	タグ
1	http://lists.fedoraproject.org/pipermail/package-announce/2012-June/081812.html
2	http://lists.fedoraproject.org/pipermail/package-announce/2012-June/081812.html
3	http://www.openwall.com/lists/oss-security/2012/06/06/4
4	http://www.openwall.com/lists/oss-security/2012/06/06/4
5	http://www.openwall.com/lists/oss-security/2012/06/06/8
6	http://www.openwall.com/lists/oss-security/2012/06/06/8
7	https://bugzilla.novell.com/show_bug.cgi?id=763650
8	https://bugzilla.novell.com/show_bug.cgi?id=763650
9	https://bugzilla.redhat.com/show_bug.cgi?id=824520
10	https://bugzilla.redhat.com/show_bug.cgi?id=824520
11	https://github.com/rtomayko/rack-cache/blob/master/CHANGES
12	https://github.com/rtomayko/rack-cache/blob/master/CHANGES
13	https://github.com/rtomayko/rack-cache/commit/2e3a64d07daac4c757cc57620f2288e865a09b90
14	https://github.com/rtomayko/rack-cache/commit/2e3a64d07daac4c757cc57620f2288e865a09b90
15	https://github.com/rtomayko/rack-cache/pull/52
16	https://github.com/rtomayko/rack-cache/pull/52

Common Vulnerabilities List

JVN Vulnerability Information

Rack::Cache rubygem における重要なクッキー情報を取得される脆弱性

Title	Rack::Cache rubygem における重要なクッキー情報を取得される脆弱性
Summary	Rack::Cache rubygem は、Set-Cookie およびその他の慎重に扱うべきヘッダをキャッシュするため、重要なクッキー情報を取得される、Web セッションをハイジャックされる、またはその他の不特定の影響を受ける脆弱性が存在します。
Possible impacts	攻撃者により、キャッシュにアクセスされることで、重要なクッキー情報を取得される、Web セッションをハイジャックされる、またはその他の不特定の影響を受ける可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 17, 2012, midnight
Registration Date	June 20, 2012, 10:19 a.m.
Last Update	June 20, 2012, 10:19 a.m.

Affected System

Ryan Tomayko

Rack::Cache 0.3.0 から 1.1

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2012-2671	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2671
National Vulnerability Database (NVD)
2	CVE-2012-2671	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-2671

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-DesignError	https://www.ipa.go.jp/security/vuln/CWE.html#CWEDesignError

ベンダー情報

No	Name	URL
Bugzilla
1	Bug 763650	https://bugzilla.novell.com/show_bug.cgi?id=763650
Fedora Update Notification
2	FEDORA-2012-8439	http://lists.fedoraproject.org/pipermail/package-announce/2012-June/081812.html
GitHub
3	Merge pull request #52 from rmm5t/strip_set_cookie	https://github.com/rtomayko/rack-cache/commit/2e3a64d07daac4c757cc57620f2288e865a09b90
4	rack-cache / CHANGES	https://github.com/rtomayko/rack-cache/blob/master/CHANGES
5	Rack::Cache caches Set-Cookie response headers yielding potential security holes in apps	https://github.com/rtomayko/rack-cache/pull/52
Red Hat Bugzilla
6	Bug 824520	https://bugzilla.redhat.com/show_bug.cgi?id=824520
RubyGems
7	rack-cache 1.2	http://rubygems.org/gems/rack-cache

Change Log

No	Changed Details	Date of change
0	[2012年06月20日] 掲載	Feb. 17, 2018, 10:37 a.m.