製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

Quassel IRC の Quassel core における他のユーザのバックログを読まれる脆弱性

タイトル	Quassel IRC の Quassel core における他のユーザのバックログを読まれる脆弱性
概要	Quassel IRC の Quassel core (サーバデーモン) は、ユーザバックログへのアクセス時にユーザ ID を適切に検証しないため、他のユーザのバックログを読まれる脆弱性が存在します。
想定される影響	リモート認証されたユーザにより、core/SQL/PostgreSQL/ の (1) 16/select_buffer_by_id.sql、(2) 16/select_buffer_by_id.sql、および (3) 16/select_buffer_by_id.sql の bufferid を介して、他のユーザのバックログを読まれる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2013年11月26日0:00
登録日	2013年12月11日19:53
最終更新日	2013年12月11日19:53

CVSS2.0 : 警告
スコア	4
ベクター	AV:N/AC:L/Au:S/C:P/I:N/A:N

影響を受けるシステム

Quassel IRC

Quassel IRC 0.9.2 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2013-6404	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6404
National Vulnerability Database (NVD)
2	CVE-2013-6404	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6404

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

No	名前	URL
GitHub
1	Make sure that clients can't access buffers belonging to other users	https://github.com/quassel/quassel/commit/a1a24da
Quassel IRC
2	Yet Another Important Update: Quassel 0.9.2	http://quassel-irc.org/node/123

変更履歴

No	変更内容	変更日
0	[2013年12月11日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2013-6404

概要	Quassel core (server daemon) in Quassel IRC before 0.9.2 does not properly verify the user ID when accessing user backlogs, which allows remote authenticated users to read other users' backlogs via the bufferid in (1) 16/select_buffer_by_id.sql, (2) 16/select_buffer_by_id.sql, and (3) 16/select_buffer_by_id.sql in core/SQL/PostgreSQL/.
公表日	2013年12月10日1:36
登録日	2021年1月26日15:47
最終更新日	2024年11月21日10:59

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:quassel-irc:quassel_irc::::::::			0.9.1
cpe:2.3:a:quassel-irc:quassel_irc:0.9.0:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	http://lists.opensuse.org/opensuse-updates/2013-12/msg00092.html
2	http://lists.opensuse.org/opensuse-updates/2013-12/msg00092.html
3	http://lists.opensuse.org/opensuse-updates/2014-01/msg00078.html
4	http://lists.opensuse.org/opensuse-updates/2014-01/msg00078.html
5	http://osvdb.org/100432
6	http://osvdb.org/100432
7	http://quassel-irc.org/node/123		Patch Vendor Advisory
8	http://quassel-irc.org/node/123		Patch Vendor Advisory
9	http://secunia.com/advisories/55640		Vendor Advisory
10	http://secunia.com/advisories/55640		Vendor Advisory
11	http://www.openwall.com/lists/oss-security/2013/11/28/8
12	http://www.openwall.com/lists/oss-security/2013/11/28/8
13	https://exchange.xforce.ibmcloud.com/vulnerabilities/89377
14	https://exchange.xforce.ibmcloud.com/vulnerabilities/89377
15	https://github.com/quassel/quassel/commit/a1a24da		Exploit Patch
16	https://github.com/quassel/quassel/commit/a1a24da		Exploit Patch

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-264	認可・権限・アクセス制御	https://cwe.mitre.org/data/definitions/264.html