製品・ソフトウェアに関する情報

JVN脆弱性詳細

SEP の Symantec Reporting Server におけるログイン画面に任意のテキストを挿入される脆弱性

タイトル	SEP の Symantec Reporting Server におけるログイン画面に任意のテキストを挿入される脆弱性
概要	Symantec Endpoint Protection (SEP) の Symantec AntiVirus (SAV) Corporate Edition、Symantec Client Security (SCS)、および Symantec Endpoint Protection Manager (SEPM) コンポーネントで使用される Symantec Reporting Server は、URL が適切に処理されないため、ログイン画面に任意のテキストを挿入される、およびフィッシング攻撃を実行される脆弱性が存在します。
想定される影響	第三者により、ログインスクリーンに任意のテキストを挿入される、およびフィッシング攻撃を実行される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2009年4月28日0:00
登録日	2012年12月20日19:10
最終更新日	2012年12月20日19:10

影響を受けるシステム

シマンテック

antivirus central quarantine server

client security 3.1 MR8 未満

Symantec AntiVirus 10.1 MR8 未満の Corporate Edition 10.1 および 10.2 MR2 未満の 10.2

Symantec Endpoint Protection 11.0 MR2 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-1432	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1432
National Vulnerability Database (NVD)
2	CVE-2009-1432	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-1432

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

ベンダー情報

No	名前	URL
Symantec Corporation
1	SYM09-008	http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2009&suid=20090428_00

変更履歴

No	変更内容	変更日
0	[2012年12月20日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2009-1432

概要	Symantec Reporting Server, as used in Symantec AntiVirus (SAV) Corporate Edition 10.1 before 10.1 MR8 and 10.2 before 10.2 MR2, Symantec Client Security (SCS) before 3.1 MR8, and the Symantec Endpoint Protection Manager (SEPM) component in Symantec Endpoint Protection (SEP) before 11.0 MR2, allows remote attackers to inject arbitrary text into the login screen, and possibly conduct phishing attacks, via vectors involving a URL that is not properly handled.
公表日	2009年5月1日5:30
登録日	2021年1月29日13:17
最終更新日	2019年7月26日23:02

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:symantec:antivirus:10.1:-:::corporate:::*
cpe:2.3:a:symantec:antivirus:10.1:maintenance_release7:::corporate:::*
cpe:2.3:a:symantec:antivirus:10.2:-:::corporate:::*
cpe:2.3:a:symantec:antivirus:10.2:maintenance_release1:::corporate:::*
cpe:2.3:a:symantec:client_security:3.1:-::::::
cpe:2.3:a:symantec:client_security:3.1:maintenance_release7::::::
cpe:2.3:a:symantec:endpoint_protection:11.0:-::::::
cpe:2.3:a:symantec:endpoint_protection:11.0:maintenance_release1::::::

関連情報、対策とツール

No	URL	refsource	タグ
1	http://secunia.com/advisories/34856	SECUNIA	Third Party Advisory
2	http://secunia.com/advisories/34935	SECUNIA	Third Party Advisory
3	http://securitytracker.com/id?1022136	SECTRACK	Third Party Advisory VDB Entry
4	http://securitytracker.com/id?1022137	SECTRACK	Third Party Advisory VDB Entry
5	http://securitytracker.com/id?1022138	SECTRACK	Third Party Advisory VDB Entry
6	http://www.securityfocus.com/bid/34668	BID	Third Party Advisory VDB Entry
7	http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2009&suid=20090428_00	CONFIRM	Vendor Advisory
8	http://www.vupen.com/english/advisories/2009/1202	VUPEN	Third Party Advisory
9	http://www.vupen.com/english/advisories/2009/1204	VUPEN	Third Party Advisory
10	https://exchange.xforce.ibmcloud.com/vulnerabilities/50172	XF	Third Party Advisory VDB Entry

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html

構成1	以上	以下	より上	未満
cpe:2.3:a:symantec:antivirus:10.1:-:::corporate:::*
cpe:2.3:a:symantec:antivirus:10.1:maintenance_release7:::corporate:::*
cpe:2.3:a:symantec:antivirus:10.2:-:::corporate:::*
cpe:2.3:a:symantec:antivirus:10.2:maintenance_release1:::corporate:::*
cpe:2.3:a:symantec:client_security:3.1:-::::::
cpe:2.3:a:symantec:client_security:3.1:maintenance_release7::::::
cpe:2.3:a:symantec:endpoint_protection:11.0:-::::::
cpe:2.3:a:symantec:endpoint_protection:11.0:maintenance_release1::::::