NVD脆弱性詳細

CVE-2008-0971

概要	Multiple cross-site scripting (XSS) vulnerabilities in index.cgi in Barracuda Spam Firewall (BSF) before 3.5.12.007, Message Archiver before 1.2.1.002, Web Filter before 3.3.0.052, IM Firewall before 3.1.01.017, and Load Balancer before 2.3.024 allow remote attackers to inject arbitrary web script or HTML via (1) the Policy Name field in Search Based Retention Policy in Message Archiver; unspecified parameters in the (2) IP Configuration, (3) Administration, (4) Journal Accounts, (5) Retention Policy, and (6) GroupWise Sync components in Message Archiver; (7) input to search operations in Web Filter; and (8) input used in error messages and (9) hidden INPUT elements in (a) Spam Firewall, (b) IM Firewall, and (c) Web Filter.
公表日	2008年12月20日2:30
登録日	2021年1月29日13:32
最終更新日	2018年10月16日7:03

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:h:barracuda_networks:barracuda_im_firewall::::::::		3.0.01.008
cpe:2.3:h:barracuda_networks:barracuda_load_balancer::::::::		2.2.006
cpe:2.3:h:barracuda_networks:barracuda_message_archiver::::::::		1.1.0.010
cpe:2.3:h:barracuda_networks:barracuda_spam_firewall::::::::		3.5.11.020
cpe:2.3:h:barracuda_networks:barracuda_web_filter::::::::		3.3.0.038

関連情報、対策とツール

No	URL	refsource	タグ
1	http://dcsl.ul.ie/advisories/03.htm	MISC
2	http://secunia.com/advisories/33164	SECUNIA	Vendor Advisory
3	http://securityreason.com/securityalert/4792	SREASON
4	http://securitytracker.com/id?1021454	SECTRACK
5	http://www.barracudanetworks.com/ns/support/tech_alert.php	CONFIRM	Vendor Advisory
6	http://www.osvdb.org/50709	OSVDB
7	http://www.securityfocus.com/archive/1/499294/100/0/threaded	BUGTRAQ

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html

JVN脆弱性情報

複数の Barracuda 製品の index.cgi におけるクロスサイトスクリプティングの脆弱性

タイトル	複数の Barracuda 製品の index.cgi におけるクロスサイトスクリプティングの脆弱性
概要	複数の Barracuda 製品の index.cgi には、クロスサイトスクリプティングの脆弱性が存在します。
想定される影響	第三者により、以下の処理を介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 (1) Message Archiver の Search Based Retention Policy 内にある Policy Name field (2) IP Configuration 内にあるパラメータ (3) Administration 内にあるパラメータ (4) Journal Accounts 内にあるパラメータ (5) Retention Policy 内にあるパラメータ (6) Message Archiver の GroupWise Sync コンポーネント内にあるパラメータ (7) Web Filter 内にある検索オペレーションの入力値 (8) エラーメッセージで使用される入力値 (9) (a) Spam Firewall、(b) IM Firewall および (c) Web Filter 内にある、input 要素の hidden タイプ
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2008年12月15日0:00
登録日	2011年6月6日14:21
最終更新日	2011年6月6日14:21

影響を受けるシステム

バラクーダネットワークス

Barracuda Spam Firewall 3.5.11.025 未満

Barracuda Web Filter 3.3.0.052 未満

IM Firewall 3.1.01.017 未満

Load Balancer 2.3.024 未満

Message Archiver 1.2.1.002 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2008-0971	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-0971
National Vulnerability Database (NVD)
2	CVE-2008-0971	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0971

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	名前	URL
テクニカルアラート
1	Resolved input field validation and HTML encoding issues in select Barracuda Networks products	http://www.barracudanetworks.com/ns/support/tech_alert.php

その他

No	名前	URL
OPEN SOURCE VULNERABILITY DATABASE (OSVDB)
1	50709	http://osvdb.org/50709
Secunia Advisory
2	SA33164	http://secunia.com/advisories/33164
SecurityTracker
3	1021454	http://securitytracker.com/id?1021454

変更履歴

No	変更内容	変更日
0	[2011年06月06日] 掲載	2018年2月17日10:37