製品・ソフトウェアに関する情報

JVN脆弱性詳細

Microsoft Windows のインターネット認証サービスにおけるネットワークリソースにアクセスされる脆弱性

タイトル	Microsoft Windows のインターネット認証サービスにおけるネットワークリソースにアクセスされる脆弱性
概要	Microsoft Windows のインターネット認証サービスには、MS-CHAP v2 を使用する PEAP 認証リクエストの認証情報が適切に検証されないため、ネットワークリソースにアクセスされる可能性があります。
想定される影響	リモートの攻撃者により、不正なリクエストを介して、ネットワークリソースにアクセスされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2009年12月8日0:00
登録日	2010年1月22日10:24
最終更新日	2010年1月22日10:24

影響を受けるシステム

マイクロソフト

Microsoft Windows 2000

Microsoft Windows Server 2003

Microsoft Windows Server 2003 (itanium)

Microsoft Windows Server 2003 (x64)

Microsoft Windows Server 2008 (itanium)

Microsoft Windows Server 2008 (x64)

Microsoft Windows Server 2008 (x86)

Microsoft Windows Vista

Microsoft Windows Vista (x64)

Microsoft Windows XP (x64)

Microsoft Windows XP sp3

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-3677	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3677
National Vulnerability Database (NVD)
2	CVE-2009-3677	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3677

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-255	https://jvndb.jvn.jp/ja/cwe/CWE-255.html
2	CWE-94	https://jvndb.jvn.jp/ja/cwe/CWE-94.html

ベンダー情報

No	名前	URL
Microsoft Security Bulletin
1	MS09-071	http://www.microsoft.com/technet/security/bulletin/ms09-071.mspx
マイクロソフトセキュリティ情報
2	MS09-071	http://www.microsoft.com/japan/technet/security/bulletin/ms09-071.mspx
富士通セキュリティ情報
3	TA09-342A	http://software.fujitsu.com/jp/security/vulnerabilities/ta09-342a.html
絵でみるセキュリティ情報
4	MS09-071e	http://www.microsoft.com/japan/security/bulletins/ms09-071e.mspx

その他

No	名前	URL
JPCERT 緊急報告
1	JPCERT-AT-2009-0025	http://www.jpcert.or.jp/at/2009/at090025.txt
JVN
2	JVNTA09-342A	http://jvn.jp/cert/JVNTA09-342A
JVN Status Tracking Notes
3	JVNTR-2009-27	http://jvn.jp/tr/JVNTR-2009-27/index.html
Secunia Advisory
4	SA37543	http://secunia.com/advisories/37543/
SecurityFocus
5	37198	http://www.securityfocus.com/bid/37198
US-CERT Cyber Security Alerts
6	SA09-342A	http://www.us-cert.gov/cas/alerts/SA09-342A.html
US-CERT Technical Cyber Security Alert
7	TA09-342A	http://www.us-cert.gov/cas/techalerts/TA09-342A.html
VUPEN Security
8	VUPEN/ADV-2009-3435	http://www.vupen.com/english/advisories/2009/3435
警察庁 @police
9	マイクロソフト社のセキュリティ修正プログラムについて(MS09-069,070,071,072,073,074)	http://www.npa.go.jp/cyberpolice/#topics

変更履歴

No	変更内容	変更日
0	[2010年01月22日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2009-3677

概要	The Internet Authentication Service (IAS) in Microsoft Windows 2000 SP4, XP SP2 and SP3, Server 2003 SP2, Vista Gold and SP1, and Server 2008 Gold does not properly verify the credentials in an MS-CHAP v2 Protected Extensible Authentication Protocol (PEAP) authentication request, which allows remote attackers to access network resources via a malformed request, aka "MS-CHAP Authentication Bypass Vulnerability."
公表日	2009年12月10日3:30
登録日	2021年1月29日13:24
最終更新日	2023年12月8日3:38

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:o:microsoft:windows_xp::sp2::::::*
cpe:2.3:o:microsoft:windows_xp:-:sp2:x64:::::*
cpe:2.3:o:microsoft:windows_vista::::::::
cpe:2.3:o:microsoft:windows_2000::sp4::::::*
cpe:2.3:o:microsoft:windows_server_2008:::x32:::::*
cpe:2.3:o:microsoft:windows_server_2008:::x64:::::*
cpe:2.3:o:microsoft:windows_xp::sp3::::::*
cpe:2.3:o:microsoft:windows_vista:::x64:::::*
cpe:2.3:o:microsoft:windows_vista::sp1::::::*
cpe:2.3:o:microsoft:windows_server_2003::sp2::::::*
cpe:2.3:o:microsoft:windows_server_2008:::itanium:::::*

構成1	以上	以下	より上	未満
cpe:2.3:o:microsoft:windows_xp::sp2::::::*
cpe:2.3:o:microsoft:windows_xp:-:sp2:x64:::::*
cpe:2.3:o:microsoft:windows_vista::::::::
cpe:2.3:o:microsoft:windows_2000::sp4::::::*
cpe:2.3:o:microsoft:windows_server_2008:::x32:::::*
cpe:2.3:o:microsoft:windows_server_2008:::x64:::::*
cpe:2.3:o:microsoft:windows_xp::sp3::::::*
cpe:2.3:o:microsoft:windows_vista:::x64:::::*
cpe:2.3:o:microsoft:windows_vista::sp1::::::*
cpe:2.3:o:microsoft:windows_server_2003::sp2::::::*
cpe:2.3:o:microsoft:windows_server_2008:::itanium:::::*

No	URL	refsource	タグ
1	http://www.us-cert.gov/cas/techalerts/TA09-342A.html	CERT	US Government Resource
2	http://www.securitytracker.com/id?1023291	SECTRACK
3	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A6209	OVAL
4	https://docs.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-071	MS

No	CWE	名前	URL
1	CWE-94	コード・インジェクション	https://cwe.mitre.org/data/definitions/94.html
2	CWE-255	証明書・パスワード管理	https://cwe.mitre.org/data/definitions/255.html