| タイトル | Blue Coat ProxySG に脆弱性 |
|---|---|
| 概要 | Blue Coat が提供する ProxySG には、認証情報の変更から反映までに時差がある脆弱性が存在します。 Blue Coat が提供する ProxySG には、古い認証情報がキャッシュに保存されていることにより、認証情報の変更から反映までに最大15分程度の時差がある脆弱性 (CWE-361) が存在します。 なお、新たなアカウントでのログインや間違ったパスワードによる認証拒否など、他のパスワード関連の処理が行われた場合、この時差は縮まるとのことです。 CWE-361: Time and State https://cwe.mitre.org/data/definitions/361.html |
| 想定される影響 | 認証情報を変更しても、最大15分間は古いアカウントでログインされる可能性があります。 |
| 対策 | [パッチを適用する] 開発者が提供する情報をもとに、対応するパッチを適用してください。 [ワークアラウンドを実施する] パッチを適用するまでの間、次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。 * パスワードを変更後、ただちに新しいパスワードでログインするか、間違ったパスワードで認証失敗する * アカウントを無効にした後、ただちに無効にしたアカウントで間違ったパスワードを入力し、認証失敗する * LDAP, Certificate, SAML など、ProxySG アプライアンスのローカルでない認証を使用する |
| 公表日 | 2014年2月28日0:00 |
| 登録日 | 2014年3月4日16:58 |
| 最終更新日 | 2014年3月4日16:58 |
| CVSS2.0 : 危険 | |
| スコア | 7.9 |
|---|---|
| ベクター | AV:A/AC:M/Au:N/C:C/I:C/A:C |
| ブルーコートシステムズ |
| ProxySG (SGOS) 6.5.4 より前のバージョン |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2014年03月04日] 掲載 |
2018年2月17日10:37 |
| 概要 | The caching feature in SGOS in Blue Coat ProxySG 5.5 through 5.5.11.3, 6.1 through 6.1.6.3, 6.2 through 6.2.15.3, 6.4 through 6.4.6.1, and 6.3 and 6.5 before 6.5.4 allows remote authenticated users to bypass intended access restrictions during a time window after account deletion or modification by leveraging knowledge of previously valid credentials. |
|---|---|
| 公表日 | 2014年3月3日2:55 |
| 登録日 | 2021年1月26日15:07 |
| 最終更新日 | 2024年11月21日11:05 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:bluecoat:proxysgos:6.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:bluecoat:proxysgos:*:*:*:*:*:*:*:* | 5.5 | 5.5.11.3 | |||
| cpe:2.3:o:bluecoat:proxysgos:*:*:*:*:*:*:*:* | 6.1 | 6.1.6.3 | |||
| cpe:2.3:o:bluecoat:proxysgos:*:*:*:*:*:*:*:* | 6.2 | 6.2.15.3 | |||
| cpe:2.3:o:bluecoat:proxysgos:*:*:*:*:*:*:*:* | 6.4 | 6.4.6.1 | |||
| cpe:2.3:o:bluecoat:proxysgos:*:*:*:*:*:*:*:* | 6.5 | 6.5.4 | |||