製品・ソフトウェアに関する情報

JVN脆弱性詳細

NetBSD で使用される bozotic HTTP server における HTTP 認証スキームを回避される脆弱性

タイトル	NetBSD で使用される bozotic HTTP server における HTTP 認証スキームを回避される脆弱性
概要	NetBSD で使用される bozotic HTTP server (別名 bozohttpd) は、.htpasswd 制限をチェックする際、パスを切り捨てるため、HTTP 認証スキームおよびアクセス制限を回避される脆弱性が存在します。
想定される影響	第三者により、過度に長いパスを介して、HTTP 認証スキームおよびアクセス制限を回避される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2014年7月8日0:00
登録日	2014年7月28日18:00
最終更新日	2014年7月28日18:00

CVSS2.0 : 警告
スコア	5
ベクター	AV:N/AC:L/Au:N/C:P/I:N/A:N

影響を受けるシステム

NetBSD

NetBSD 5.1

NetBSD 5.2

NetBSD 6.0

NetBSD 6.1

ETERNA

bozohttpd 20140708 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2014-5015	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-5015
National Vulnerability Database (NVD)
2	CVE-2014-5015	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-5015

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

No	名前	URL
ETERNA
1	bozotic HTTP server	http://www.eterna.com.au/bozohttpd/
2	CHANGES	http://www.eterna.com.au/bozohttpd/CHANGES
NetBSD Security Advisory
3	2014-007	http://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2014-007.txt.asc

変更履歴

No	変更内容	変更日
0	[2014年07月28日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2014-5015

概要	bozotic HTTP server (aka bozohttpd) before 20140708, as used in NetBSD, truncates paths when checking .htpasswd restrictions, which allows remote attackers to bypass the HTTP authentication scheme and access restrictions via a long path.
公表日	2014年7月24日23:55
登録日	2021年1月26日15:13
最終更新日	2024年11月21日11:11

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:o:netbsd:netbsd:5.1:::::::*
cpe:2.3:o:netbsd:netbsd:6.0:::::::*
cpe:2.3:a:eterna:bozohttpd:20090417:::::::*
cpe:2.3:a:eterna:bozohttpd:20080303:::::::*
cpe:2.3:a:eterna:bozohttpd:20030313:::::::*
cpe:2.3:a:eterna:bozohttpd:20100617:::::::*
cpe:2.3:a:eterna:bozohttpd:20000421:::::::*
cpe:2.3:a:eterna:bozohttpd:20000825:::::::*
cpe:2.3:a:eterna:bozohttpd:20100512:::::::*
cpe:2.3:a:eterna:bozohttpd:20021106:::::::*
cpe:2.3:a:eterna:bozohttpd:20060710:::::::*
cpe:2.3:a:eterna:bozohttpd:20020803:::::::*
cpe:2.3:a:eterna:bozohttpd:20020804:::::::*
cpe:2.3:a:eterna:bozohttpd:20050410:::::::*
cpe:2.3:a:eterna:bozohttpd:20100621:::::::*
cpe:2.3:a:eterna:bozohttpd:20090522:::::::*
cpe:2.3:a:eterna:bozohttpd:20040808:::::::*
cpe:2.3:a:eterna:bozohttpd:20020730:::::::*
cpe:2.3:a:eterna:bozohttpd:20030626:::::::*
cpe:2.3:a:eterna:bozohttpd:20030409:::::::*
cpe:2.3:a:eterna:bozohttpd:20100509:::::::*
cpe:2.3:a:eterna:bozohttpd:20010922:::::::*
cpe:2.3:a:eterna:bozohttpd:20020710:::::::*
cpe:2.3:a:eterna:bozohttpd:20111118:::::::*
cpe:2.3:a:eterna:bozohttpd:20000426:::::::*
cpe:2.3:a:eterna:bozohttpd:20031005:::::::*
cpe:2.3:a:eterna:bozohttpd:20040218:::::::*
cpe:2.3:a:eterna:bozohttpd:20140102:::::::*
cpe:2.3:a:eterna:bozohttpd:20000427:::::::*
cpe:2.3:a:eterna:bozohttpd::::::::		20140201
cpe:2.3:a:eterna:bozohttpd:20060517:::::::*
cpe:2.3:a:eterna:bozohttpd:20010812:::::::*
cpe:2.3:a:eterna:bozohttpd:20020913:::::::*
cpe:2.3:a:eterna:bozohttpd:20100920:::::::*
cpe:2.3:a:eterna:bozohttpd:19990519:::::::*
cpe:2.3:a:eterna:bozohttpd:20010610:::::::*
cpe:2.3:o:netbsd:netbsd:5.2:::::::*
cpe:2.3:a:eterna:bozohttpd:20020823:::::::*
cpe:2.3:a:eterna:bozohttpd:20000815:::::::*
cpe:2.3:o:netbsd:netbsd:6.1:::::::*

構成1	以上	以下	より上	未満
cpe:2.3:o:netbsd:netbsd:5.1:::::::*
cpe:2.3:o:netbsd:netbsd:6.0:::::::*
cpe:2.3:a:eterna:bozohttpd:20090417:::::::*
cpe:2.3:a:eterna:bozohttpd:20080303:::::::*
cpe:2.3:a:eterna:bozohttpd:20030313:::::::*
cpe:2.3:a:eterna:bozohttpd:20100617:::::::*
cpe:2.3:a:eterna:bozohttpd:20000421:::::::*
cpe:2.3:a:eterna:bozohttpd:20000825:::::::*
cpe:2.3:a:eterna:bozohttpd:20100512:::::::*
cpe:2.3:a:eterna:bozohttpd:20021106:::::::*
cpe:2.3:a:eterna:bozohttpd:20060710:::::::*
cpe:2.3:a:eterna:bozohttpd:20020803:::::::*
cpe:2.3:a:eterna:bozohttpd:20020804:::::::*
cpe:2.3:a:eterna:bozohttpd:20050410:::::::*
cpe:2.3:a:eterna:bozohttpd:20100621:::::::*
cpe:2.3:a:eterna:bozohttpd:20090522:::::::*
cpe:2.3:a:eterna:bozohttpd:20040808:::::::*
cpe:2.3:a:eterna:bozohttpd:20020730:::::::*
cpe:2.3:a:eterna:bozohttpd:20030626:::::::*
cpe:2.3:a:eterna:bozohttpd:20030409:::::::*
cpe:2.3:a:eterna:bozohttpd:20100509:::::::*
cpe:2.3:a:eterna:bozohttpd:20010922:::::::*
cpe:2.3:a:eterna:bozohttpd:20020710:::::::*
cpe:2.3:a:eterna:bozohttpd:20111118:::::::*
cpe:2.3:a:eterna:bozohttpd:20000426:::::::*
cpe:2.3:a:eterna:bozohttpd:20031005:::::::*
cpe:2.3:a:eterna:bozohttpd:20040218:::::::*
cpe:2.3:a:eterna:bozohttpd:20140102:::::::*
cpe:2.3:a:eterna:bozohttpd:20000427:::::::*
cpe:2.3:a:eterna:bozohttpd::::::::		20140201
cpe:2.3:a:eterna:bozohttpd:20060517:::::::*
cpe:2.3:a:eterna:bozohttpd:20010812:::::::*
cpe:2.3:a:eterna:bozohttpd:20020913:::::::*
cpe:2.3:a:eterna:bozohttpd:20100920:::::::*
cpe:2.3:a:eterna:bozohttpd:19990519:::::::*
cpe:2.3:a:eterna:bozohttpd:20010610:::::::*
cpe:2.3:o:netbsd:netbsd:5.2:::::::*
cpe:2.3:a:eterna:bozohttpd:20020823:::::::*
cpe:2.3:a:eterna:bozohttpd:20000815:::::::*
cpe:2.3:o:netbsd:netbsd:6.1:::::::*

No	URL	タグ
1	ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2014-007.txt.asc	Vendor Advisory
2	ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2014-007.txt.asc	Vendor Advisory
3	http://seclists.org/oss-sec/2014/q3/180
4	http://seclists.org/oss-sec/2014/q3/180
5	http://www.eterna.com.au/bozohttpd/	Patch
6	http://www.eterna.com.au/bozohttpd/	Patch
7	http://www.eterna.com.au/bozohttpd/CHANGES
8	http://www.eterna.com.au/bozohttpd/CHANGES
9	http://www.osvdb.org/109283
10	http://www.osvdb.org/109283
11	http://www.securityfocus.com/bid/68752
12	http://www.securityfocus.com/bid/68752
13	https://exchange.xforce.ibmcloud.com/vulnerabilities/94751
14	https://exchange.xforce.ibmcloud.com/vulnerabilities/94751