| タイトル | Samba Web Administration Tool におけるクロスサイトスクリプティングの脆弱性 |
|---|---|
| 概要 | Samba Web Administration Tool (SWAT) には、クロスサイトスクリプティングの脆弱性が存在します。 Samba Web Administration Tool (SWAT) は、Web インタフェース上で Samba の設定変更を行うための製品です。SWAT には、クロスサイトスクリプティングの脆弱性が存在します。 なお、SWAT は、Samba の初期設定では無効になっています。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: NTTデータ先端技術株式会社 辻 伸弘 氏 |
| 想定される影響 | SWAT にログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。 開発者によると、JVN#29529126 を対策することで、本脆弱性の影響は受けないとのことです。 |
| 対策 | [アップデートする] 開発者が提供する情報をもとに最新版へアップデートしてください。 [パッチを適用する] 開発者が提供する情報をもとに各バージョンに対応するパッチを適用してください。 |
| 公表日 | 2011年7月26日0:00 |
| 登録日 | 2011年8月18日8:56 |
| 最終更新日 | 2012年12月26日10:27 |
| CVSS2.0 : 注意 | |
| スコア | 2.6 |
|---|---|
| ベクター | AV:N/AC:H/Au:N/C:N/I:C/A:N |
| レッドハット |
| Red Hat Enterprise Linux 4 (as) |
| Red Hat Enterprise Linux 4 (es) |
| Red Hat Enterprise Linux 4 (ws) |
| Red Hat Enterprise Linux 5 (server) |
| Red Hat Enterprise Linux Desktop 4.0 |
| Red Hat Enterprise Linux Desktop 5.0 (client) |
| Red Hat Enterprise Linux Desktop 6 |
| Red Hat Enterprise Linux HPC Node 6 |
| Red Hat Enterprise Linux Server 6 |
| Red Hat Enterprise Linux Server EUS 6.1.z |
| Red Hat Enterprise Linux Workstation 6 |
| RHEL Desktop Workstation 5 (client) |
| Samba Project |
| Samba version 3.0.x から 3.2.15 |
| Samba version 3.3.16 より前のバージョン |
| Samba version 3.4.14 より前のバージョン |
| Samba version 3.5.10 より前のバージョン |
| VMware |
| VMware ESX 3.5 |
| VMware ESX 4.0 |
| VMware ESX 4.1 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2011年08月18日] 掲載 [2011年08月26日] JVN#63041502 にあわせ、タイトル、概要、影響を受けるシステム、 想定される影響、対策、ベンダ情報を更新。CVSS、CWE を IPA 値に変更。 [2011年09月15日] 影響を受けるシステム:レッドハット (RHSA-2011:1219) の情報を追加 影響を受けるシステム:レッドハット (RHSA-2011:1220) の情報を追加 影響を受けるシステム:レッドハット (RHSA-2011:1221) の情報を追加 ベンダ情報:レッドハット (RHSA-2011:1219) を追加 ベンダ情報:レッドハット (RHSA-2011:1220) を追加 ベンダ情報:レッドハット (RHSA-2011:1221) を追加 [2012年04月16日] ベンダ情報:オラクル (Multiple vulnerabilities in Samba) を追加 [2012年12月26日] 影響を受けるシステム:VMware (VMSA-2012-0001) の情報を追加 ベンダ情報:VMware (VMSA-2012-0001) を追加 |
2018年2月17日10:37 |
| 概要 | Cross-site scripting (XSS) vulnerability in the chg_passwd function in web/swat.c in the Samba Web Administration Tool (SWAT) in Samba 3.x before 3.5.10 allows remote authenticated administrators to inject arbitrary web script or HTML via the username parameter to the passwd program (aka the user field to the Change Password page). |
|---|---|
| 公表日 | 2011年7月30日5:55 |
| 登録日 | 2021年1月28日16:39 |
| 最終更新日 | 2024年11月21日10:28 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:samba:samba:*:*:*:*:*:*:*:* | 3.0.0 | 3.3.16 | |||
| cpe:2.3:a:samba:samba:*:*:*:*:*:*:*:* | 3.4.0 | 3.4.14 | |||
| cpe:2.3:a:samba:samba:*:*:*:*:*:*:*:* | 3.5.0 | 3.5.10 | |||
| 構成2 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:canonical:ubuntu_linux:10.10:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:canonical:ubuntu_linux:11.04:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:canonical:ubuntu_linux:8.04:*:*:*:-:*:*:* | |||||
| cpe:2.3:o:canonical:ubuntu_linux:10.04:*:*:*:-:*:*:* | |||||
| 構成3 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:debian:debian_linux:5.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:debian:debian_linux:7.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:debian:debian_linux:6.0:*:*:*:*:*:*:* | |||||