NVD脆弱性詳細

CVE-2008-4247

概要	ftpd in OpenBSD 4.3, FreeBSD 7.0, NetBSD 4.0, Solaris, and possibly other operating systems interprets long commands from an FTP client as multiple commands, which allows remote attackers to conduct cross-site request forgery (CSRF) attacks and execute arbitrary FTP commands via a long ftp:// URI that leverages an existing session from the FTP client implementation in a web browser.
公表日	2008年9月26日4:25
登録日	2021年1月29日13:42
最終更新日	2012年10月23日11:53

影響を受けるソフトウェアの構成

関連情報、対策とツール

No	URL	refsource	タグ
1	ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2008-014.txt.asc	NETBSD
2	http://bugs.proftpd.org/show_bug.cgi?id=3115	MISC
3	http://secunia.com/advisories/32068	SECUNIA
4	http://secunia.com/advisories/32070	SECUNIA
5	http://secunia.com/advisories/33341	SECUNIA
6	http://security.FreeBSD.org/advisories/FreeBSD-SA-08:12.ftpd.asc	FREEBSD
7	http://securityreason.com/achievement_securityalert/56	SREASONRES
8	http://securityreason.com/securityalert/4313	SREASON
9	http://www.openbsd.org/cgi-bin/cvsweb/src/libexec/ftpd/ftpcmd.y	CONFIRM
10	http://www.openbsd.org/cgi-bin/cvsweb/src/libexec/ftpd/ftpcmd.y.diff?r1=1.51&r2=1.52&f=h	CONFIRM	Exploit
11	http://www.openbsd.org/cgi-bin/cvsweb/src/libexec/ftpd/ftpd.c	CONFIRM
12	http://www.openbsd.org/cgi-bin/cvsweb/src/libexec/ftpd/ftpd.c.diff?r1=1.183&r2=1.184&f=h	CONFIRM	Exploit
13	http://www.oracle.com/technetwork/topics/security/cpuoct2010-175626.html	CONFIRM
14	http://www.securitytracker.com/id?1020946	SECTRACK
15	http://www.securitytracker.com/id?1021112	SECTRACK

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-352	クロスサイト・リクエスト・フォージェリ（CSRF）	https://cwe.mitre.org/data/definitions/352.html
2	CWE-352	同一生成元ポリシー違反	https://cwe.mitre.org/data/definitions/346.html

JVN脆弱性情報

複数の製品の ftpd におけるクロスサイトリクエストフォージェリの脆弱性

タイトル	複数の製品の ftpd におけるクロスサイトリクエストフォージェリの脆弱性
概要	複数の製品の ftpd には、FTP クライアントからの長大なコマンドの読み取りに関する処理に不備があるため、クロスサイトリクエストフォージェリ攻撃を誘発される、および任意の FTP コマンドを実行される脆弱性が存在します。
想定される影響	第三者により、長大な ftp:// URI を介して、クロスサイトリクエストフォージェリ攻撃を誘発される、および任意の FTP コマンドを実行される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2008年9月25日0:00
登録日	2010年8月3日19:19
最終更新日	2010年8月3日19:19

影響を受けるシステム

オラクル

OpenSolaris

Oracle Solaris 10

Oracle Solaris 8

Oracle Solaris 9

OpenBSD

OpenBSD 4.3

FreeBSD

FreeBSD 7.0

NetBSD

NetBSD 3.0

NetBSD 3.1

NetBSD 4.0

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2008-4247	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4247
National Vulnerability Database (NVD)
2	CVE-2008-4247	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-4247

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-352	https://jvndb.jvn.jp/ja/cwe/CWE-352.html

ベンダー情報

No	名前	URL
Critical Patch Updates and Security Alerts
1	cpujul2010	http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2010.html
FreeBSD Security Advisory
2	FreeBSD-SA-08:12.ftpd	http://security.freebsd.org/advisories/FreeBSD-SA-08:12.ftpd.asc
NetBSD Security Advisory
3	NetBSD-SA2008-014	ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2008-014.txt.asc
OpenBSD
4	Top Page	http://openbsd.org/index.html
オラクル・セキュリティ・アラート
5	100716_91	http://www.oracle.com/technology/global/jp/security/100716_91/top.html
富士通セキュリティ情報
6	TA10-194B	http://software.fujitsu.com/jp/security/vulnerabilities/ta10-194b.html

その他

No	名前	URL
JVN
1	JVNTA10-194B	http://jvn.jp/cert/JVNTA10-194B
Secunia Advisory
2	SA32068	http://secunia.com/advisories/32068
3	SA32070	http://secunia.com/advisories/32070
4	SA33341	http://secunia.com/advisories/33341
5	SA40602	http://secunia.com/advisories/40602
SecurityFocus
6	31289	http://www.securityfocus.com/bid/31289
SecurityTracker
7	1020946	http://www.securitytracker.com/id?1020946
8	1021112	http://www.securitytracker.com/id?1021112
US-CERT Technical Cyber Security Alert
9	TA10-194B	http://www.us-cert.gov/cas/techalerts/TA10-194B.html
VUPEN Security
10	VUPEN/ADV-2010-1815	http://www.vupen.com/english/advisories/2010/1815

変更履歴

No	変更内容	変更日
0	[2010年08月03日] 掲載	2018年2月17日10:37