NVD脆弱性詳細

CVE-2009-0688

概要	Multiple buffer overflows in the CMU Cyrus SASL library before 2.1.23 might allow remote attackers to execute arbitrary code or cause a denial of service (application crash) via strings that are used as input to the sasl_encode64 function in lib/saslutil.c.
公表日	2009年5月16日0:30
登録日	2021年1月29日13:15
最終更新日	2017年9月29日10:33

CVSS2.0 : HIGH
スコア	7.5
ベクター	AV:N/AC:L/Au:N/C:P/I:P/A:P
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃前の認証要否(Au)	不要
機密性への影響(C)	低
完全性への影響(I)	低
可用性への影響(A)	低
全ての特権を取得	いいえ
ユーザー権限を取得	いいえ
その他の権限を取得	いいえ
ユーザー操作が必要	いいえ

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:1.4.1:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:1.5.0:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:1.5.2:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:1.5.3:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:1.5.5:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:1.5.10:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:1.5.11:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:1.5.13:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:1.5.15:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:1.5.16:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:1.5.20:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:1.5.21:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:1.5.22:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:1.5.23:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:1.5.24:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:1.5.26:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:1.5.27:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:1.5.28:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.0.0:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.0.1:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.0.2:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.0.3:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.0.4:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.0.5:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.1.0:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.1.1:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.1.2:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.1.3:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.1.5:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.1.6:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.1.7:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.1.8:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.1.9:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.1.10:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.1.11:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.1.12:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.1.13:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.1.14:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.1.15:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.1.16:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.1.17:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.1.18:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.1.19:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.1.20:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.1.21:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl::::::::		2.1.22

関連情報、対策とツール

No	URL	refsource	タグ
1	ftp://ftp.andrew.cmu.edu/pub/cyrus-mail/cyrus-sasl-2.1.23.tar.gz	CONFIRM	Patch
2	http://lists.apple.com/archives/security-announce/2010//Mar/msg00001.html	APPLE
3	http://lists.opensuse.org/opensuse-security-announce/2009-06/msg00003.html	SUSE
4	http://osvdb.org/54514	OSVDB
5	http://osvdb.org/54515	OSVDB
6	http://secunia.com/advisories/35094	SECUNIA
7	http://secunia.com/advisories/35097	SECUNIA
8	http://secunia.com/advisories/35102	SECUNIA
9	http://secunia.com/advisories/35206	SECUNIA
10	http://secunia.com/advisories/35239	SECUNIA
11	http://secunia.com/advisories/35321	SECUNIA
12	http://secunia.com/advisories/35416	SECUNIA
13	http://secunia.com/advisories/35497	SECUNIA
14	http://secunia.com/advisories/35746	SECUNIA
15	http://secunia.com/advisories/39428	SECUNIA
16	http://security.gentoo.org/glsa/glsa-200907-09.xml	GENTOO
17	http://slackware.com/security/viewer.php?l=slackware-security&y=2009&m=slackware-security.448834	SLACKWARE
18	http://sunsolve.sun.com/search/document.do?assetkey=1-66-259148-1	SUNALERT
19	http://sunsolve.sun.com/search/document.do?assetkey=1-66-264248-1	SUNALERT
20	http://sunsolve.sun.com/search/document.do?assetkey=1-66-273910-1	SUNALERT
21	http://sunsolve.sun.com/search/document.do?assetkey=1-77-1020755.1-1	SUNALERT
22	http://sunsolve.sun.com/search/document.do?assetkey=1-77-1021699.1-1	SUNALERT
23	http://support.apple.com/kb/HT4077	CONFIRM
24	http://support.avaya.com/elmodocs2/security/ASA-2009-184.htm	CONFIRM
25	http://wiki.rpath.com/wiki/Advisories:rPSA-2009-0091	CONFIRM
26	http://www.debian.org/security/2009/dsa-1807	DEBIAN
27	http://www.kb.cert.org/vuls/id/238019	CERT-VN	Patch US Government Resource
28	http://www.mandriva.com/security/advisories?name=MDVSA-2009:113	MANDRIVA
29	http://www.oracle.com/technetwork/topics/security/cpuapr2010-099504.html	CONFIRM
30	http://www.redhat.com/support/errata/RHSA-2009-1116.html	REDHAT
31	http://www.securityfocus.com/bid/34961	BID	Patch
32	http://www.securitytracker.com/id?1022231	SECTRACK
33	http://www.ubuntu.com/usn/usn-790-1	UBUNTU
34	http://www.us-cert.gov/cas/techalerts/TA10-103B.html	CERT	US Government Resource
35	http://www.vupen.com/english/advisories/2009/1313	VUPEN
36	http://www.vupen.com/english/advisories/2009/2012	VUPEN
37	https://exchange.xforce.ibmcloud.com/vulnerabilities/50554	XF
38	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A10687	OVAL
39	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A6136	OVAL

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-119	バッファエラー	https://cwe.mitre.org/data/definitions/118.html

JVN脆弱性情報

Cyrus SASL ライブラリにおけるバッファオーバーフローの脆弱性

タイトル	Cyrus SASL ライブラリにおけるバッファオーバーフローの脆弱性
概要	Cyrus SASL ライブラリにはバッファオーバーフローの脆弱性が存在します。 SASL (Simple Authentication and Security Layer) は、様々なプロトコルに対して、認証機能を提供するための仕組みです。SASL は、一般的にメールサーバとクライアント間での認証を行うために使用されています。 SASL を実装している、Cyrus SASL ライブラリには、sasl_encode64() の処理に問題があり、バッファオーバーフローの脆弱性が存在します。
想定される影響	遠隔の第三者によって、任意のコードを実行されたり、SASL を利用しているプログラムをクラッシュされたりする可能性があります。
対策	[アップデートする] 開発者が提供する情報をもとに最新版へアップデートしてください。
公表日	2009年5月15日0:00
登録日	2009年6月30日12:03
最終更新日	2010年5月14日18:37

影響を受けるシステム

サン・マイクロシステムズ

OpenSolaris (sparc)

OpenSolaris (x86)

Sun Solaris 10 (sparc)

Sun Solaris 10 (x86)

Sun Solaris 8 (sparc)

Sun Solaris 9 (sparc)

Sun Solaris 9 (x86)

レッドハット

Red Hat Enterprise Linux 4 (as)

Red Hat Enterprise Linux 4 (es)

Red Hat Enterprise Linux 4 (ws)

Red Hat Enterprise Linux 4.8 (as)

Red Hat Enterprise Linux 4.8 (es)

Red Hat Enterprise Linux 5 (server)

Red Hat Enterprise Linux Desktop 4.0

Red Hat Enterprise Linux EUS 5.3.z (server)

RHEL Desktop Workstation 5 (client)

オラクル

Oracle Sun Product Suite 5.2

Oracle Sun Product Suite 6.0

Oracle Sun Product Suite 6.1

Oracle Sun Product Suite 6.2

Oracle Sun Product Suite 6.3

Oracle Sun Product Suite 6.3.1

サイバートラスト株式会社

Asianux Server 3 (x86)

Asianux Server 3 (x86-64)

Asianux Server 4.0

Asianux Server 4.0 (x86-64)

アップル

Apple Mac OS X v10.5.8

Apple Mac OS X Server v10.5.8

Carnegie Mellon University (Project Cyrus)

Cyrus SASL 2.1.22 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-0688	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0688
National Vulnerability Database (NVD)
2	CVE-2009-0688	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-0688

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-119	https://jvndb.jvn.jp/ja/cwe/CWE-119.html

ベンダー情報

No	名前	URL
Apple Security Updates
1	HT4077	http://support.apple.com/kb/HT4077
Apple セキュリティアップデート
2	HT4077	http://support.apple.com/kb/HT4077?viewlocale=ja_JP
Asianux Technical Support Network
3	cyrus-imapd-2.3.7-2AXS3.2	https://tsn.miraclelinux.com/tsn_local/index.php?m=errata&a=detail&eid=448
Critical Patch Updates and Security Alerts
4	cpuapr2010	http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2010.html
MIRACLE LINUX アップデート情報
5	1734	http://www.miraclelinux.com/support/index.php?q=node/99&errata_id=1734
Project Cyrus
6	Project Cyrus: Downloads	http://cyrusimap.web.cmu.edu/downloads.html#sasl
Red Hat Security Advisory
7	RHSA-2009:1116	https://rhn.redhat.com/errata/RHSA-2009-1116.html
Sun Alert Notification
8	259148	http://sunsolve.sun.com/search/document.do?assetkey=1-66-259148-1
9	264248	http://sunsolve.sun.com/search/document.do?assetkey=1-66-264248-1
オラクル・セキュリティ・アラート
10	100416_90	http://www.oracle.com/technology/global/jp/security/100416_90/top.html
レッドハットセキュリティーアップデート
11	RHSA-2009:1116	https://www.jp.redhat.com/support/errata/RHSA/RHSA-2009-1116J.html
富士通セキュリティ情報
12	TA10-103B	http://software.fujitsu.com/jp/security/vulnerabilities/ta10-103b.html

その他

No	名前	URL
IETF
1	RFC 4422	http://www.ietf.org/rfc/rfc4422.txt
ISS X-Force Database
2	50554	http://xforce.iss.net/xforce/xfdb/50554
JVN
3	JVNTA10-103B	http://jvn.jp/cert/JVNTA10-103B/
4	JVNVU#238019	http://jvn.jp/cert/JVNVU238019/index.html
JVN Status Tracking Notes
5	JVNTR-2010-12	http://jvn.jp/tr/JVNTR-2010-12/
OPEN SOURCE VULNERABILITY DATABASE (OSVDB)
6	54514	http://osvdb.org/54514
7	54515	http://osvdb.org/54515
Secunia Advisory
8	SA35094	http://secunia.com/advisories/35094
9	SA35102	http://secunia.com/advisories/35102
10	SA35497	http://secunia.com/advisories/35497
SecurityFocus
11	34961	http://www.securityfocus.com/bid/34961
SecurityTracker
12	1022231	http://www.securitytracker.com/id?1022231
US-CERT Technical Cyber Security Alert
13	TA10-103B	http://www.us-cert.gov/cas/techalerts/TA10-103B.html
US-CERT Vulnerability Note
14	VU#238019	http://www.kb.cert.org/vuls/id/238019
VUPEN Security
15	VUPEN/ADV-2009-1313	http://www.vupen.com/english/advisories/2009/1313

変更履歴

No	変更内容	変更日
0	[2009年06月30日] 掲載 [2009年08月11日] 影響を受けるシステム：サン・マイクロシステムズ (264248) の情報を追加影響を受けるシステム：ミラクル・リナックス (cyrus-imapd-2.3.7-2AXS3.2) の情報を追加ベンダ情報：サン・マイクロシステムズ (264248) を追加ベンダ情報：ミラクル・リナックス (cyrus-imapd-2.3.7-2AXS3.2) を追加 [2010年04月13日] 影響を受けるシステム：アップル (HT4077) の情報を追加ベンダ情報：アップル (HT4077) を追加 [2010年05月14日] 影響を受けるシステム：オラクル (cpuapr2010) の情報を追加ベンダ情報：オラクル (cpuapr2010) を追加ベンダ情報：富士通 (TA10-103B) を追加	2018年2月17日10:37

構成1	以上	以下	より上	未満
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:1.4.1:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:1.5.0:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:1.5.2:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:1.5.3:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:1.5.5:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:1.5.10:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:1.5.11:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:1.5.13:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:1.5.15:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:1.5.16:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:1.5.20:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:1.5.21:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:1.5.22:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:1.5.23:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:1.5.24:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:1.5.26:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:1.5.27:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:1.5.28:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.0.0:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.0.1:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.0.2:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.0.3:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.0.4:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.0.5:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.1.0:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.1.1:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.1.2:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.1.3:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.1.5:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.1.6:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.1.7:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.1.8:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.1.9:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.1.10:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.1.11:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.1.12:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.1.13:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.1.14:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.1.15:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.1.16:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.1.17:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.1.18:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.1.19:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.1.20:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl:2.1.21:::::::*
cpe:2.3:a:carnegie_mellon_university:cyrus-sasl::::::::		2.1.22