NVD脆弱性詳細

CVE-2009-2964

概要	Multiple cross-site request forgery (CSRF) vulnerabilities in SquirrelMail 1.4.19 and earlier, and NaSMail before 1.7, allow remote attackers to hijack the authentication of unspecified victims via features such as send message and change preferences, related to (1) functions/mailbox_display.php, (2) src/addrbook_search_html.php, (3) src/addressbook.php, (4) src/compose.php, (5) src/folders.php, (6) src/folders_create.php, (7) src/folders_delete.php, (8) src/folders_rename_do.php, (9) src/folders_rename_getname.php, (10) src/folders_subscribe.php, (11) src/move_messages.php, (12) src/options.php, (13) src/options_highlight.php, (14) src/options_identities.php, (15) src/options_order.php, (16) src/search.php, and (17) src/vcard.php.
公表日	2009年8月26日2:30
登録日	2021年1月29日13:22
最終更新日	2017年9月19日10:29

CVSS2.0 : MEDIUM
スコア	6.8
ベクター	AV:N/AC:M/Au:N/C:P/I:P/A:P
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	中
攻撃前の認証要否(Au)	不要
機密性への影響(C)	低
完全性への影響(I)	低
可用性への影響(A)	低
全ての特権を取得	いいえ
ユーザー権限を取得	いいえ
その他の権限を取得	いいえ
ユーザー操作が必要	はい

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:squirrelmail:squirrelmail:0.1.1:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:0.1.2:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.0:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.0.1:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.0.2:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.0.3:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.0.4:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.0.5:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.0.6:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.0pre1:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.0pre2:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.0pre3:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.1.0:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.1.1:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.1.2:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.1.3:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.2:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.2.0:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.2.0:rc3::::::
cpe:2.3:a:squirrelmail:squirrelmail:1.2.0_rc3:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.2.1:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.2.2:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.2.3:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.2.4:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.2.5:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.2.6:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.2.6-rc1:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.2.7:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.2.8:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.2.9:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.2.10:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.2.11:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.3.0:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.3.1:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.3.2:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4:rc1::::::
cpe:2.3:a:squirrelmail:squirrelmail:1.4.0:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.0:rc1::::::
cpe:2.3:a:squirrelmail:squirrelmail:1.4.0:rc2a::::::
cpe:2.3:a:squirrelmail:squirrelmail:1.4.0-r1:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.0_rc1:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.0_rc2a:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.1:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.2:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.2-r1:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.2-r2:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.2-r3:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.2-r4:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.2-r5:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.3:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.3:r3::::::
cpe:2.3:a:squirrelmail:squirrelmail:1.4.3:rc1::::::
cpe:2.3:a:squirrelmail:squirrelmail:1.4.3_r3:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.3_rc1:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.3_rc1:r1::::::
cpe:2.3:a:squirrelmail:squirrelmail:1.4.3a:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.3aa:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.4:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.4:rc1::::::
cpe:2.3:a:squirrelmail:squirrelmail:1.4.4_rc1:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.5:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.5_rc1:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.6:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.6:rc1::::::
cpe:2.3:a:squirrelmail:squirrelmail:1.4.6_cvs:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.6_rc1:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.7:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.8:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.8.4fc6:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.9:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.9a:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.10:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.10a:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.11:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.12:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.13:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.15:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.15:rc1::::::
cpe:2.3:a:squirrelmail:squirrelmail:1.4.15_rc1:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.15rc1:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.16:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.17:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.18:::::::*
cpe:2.3:a:squirrelmail:squirrelmail::::::::		1.4.19
cpe:2.3:a:squirrelmail:squirrelmail:1.4_rc1:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=543818	CONFIRM
2	http://download.gna.org/nasmail/nasmail-1.7.zip	CONFIRM
3	http://jvn.jp/en/jp/JVN30881447/index.html	JVN
4	http://jvndb.jvn.jp/ja/contents/2009/JVNDB-2009-002207.html	JVNDB
5	http://lists.apple.com/archives/security-announce/2010//Jun/msg00001.html	APPLE
6	http://osvdb.org/60469	OSVDB
7	http://secunia.com/advisories/34627	SECUNIA	Vendor Advisory
8	http://secunia.com/advisories/36363	SECUNIA	Vendor Advisory
9	http://secunia.com/advisories/37415	SECUNIA
10	http://secunia.com/advisories/40220	SECUNIA
11	http://secunia.com/advisories/40964	SECUNIA
12	http://squirrelmail.svn.sourceforge.net/viewvc/squirrelmail/branches/SM-1_4-STABLE/squirrelmail/doc/ChangeLog?revision=13818&view=markup&pathrev=13818	CONFIRM	Patch
13	http://squirrelmail.svn.sourceforge.net/viewvc/squirrelmail?view=rev&revision=13818	CONFIRM	Patch
14	http://support.apple.com/kb/HT4188	CONFIRM
15	http://www.debian.org/security/2010/dsa-2091	DEBIAN
16	http://www.mandriva.com/security/advisories?name=MDVSA-2009:222	MANDRIVA
17	http://www.osvdb.org/57001	OSVDB
18	http://www.securityfocus.com/bid/36196	BID
19	http://www.squirrelmail.org/security/issue/2009-08-12	CONFIRM	Patch Vendor Advisory
20	http://www.vupen.com/english/advisories/2009/2262	VUPEN	Patch Vendor Advisory
21	http://www.vupen.com/english/advisories/2009/3315	VUPEN
22	http://www.vupen.com/english/advisories/2010/1481	VUPEN
23	http://www.vupen.com/english/advisories/2010/2080	VUPEN
24	https://bugzilla.redhat.com/show_bug.cgi?id=517312	CONFIRM	Patch
25	https://exchange.xforce.ibmcloud.com/vulnerabilities/52406	XF
26	https://gna.org/forum/forum.php?forum_id=2146	CONFIRM
27	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A10668	OVAL
28	https://www.redhat.com/archives/fedora-package-announce/2009-August/msg00927.html	FEDORA
29	https://www.redhat.com/archives/fedora-package-announce/2009-August/msg00954.html	FEDORA

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-352	クロスサイト・リクエスト・フォージェリ（CSRF）	https://cwe.mitre.org/data/definitions/352.html
2	CWE-352	同一生成元ポリシー違反	https://cwe.mitre.org/data/definitions/346.html

JVN脆弱性情報

SquirrelMail におけるクロスサイトリクエストフォージェリの脆弱性

タイトル	SquirrelMail におけるクロスサイトリクエストフォージェリの脆弱性
概要	SquirrelMail には、クロスサイトリクエストフォージェリの脆弱性が存在します。 SquirrelMail Project が提供する SquirrelMail はウェブメールです。SquirrelMail には、メッセージ送信や設定変更に関する処理に問題があり、クロスサイトリクエストフォージェリの脆弱性が存在します。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: 福森大喜氏
想定される影響	遠隔の第三者によって、ユーザの意図しないメールが送信されたり、設定を変更されたりする可能性があります。
対策	[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。なお、本脆弱性は SquirrelMail 1.4.20 で対策されています。
公表日	2009年8月12日0:00
登録日	2009年11月12日11:21
最終更新日	2011年1月7日11:03

影響を受けるシステム

レッドハット

Red Hat Enterprise Linux 3 (as)

Red Hat Enterprise Linux 3 (es)

Red Hat Enterprise Linux 3 (ws)

Red Hat Enterprise Linux 4 (as)

Red Hat Enterprise Linux 4 (es)

Red Hat Enterprise Linux 4 (ws)

Red Hat Enterprise Linux 4.8 (as)

Red Hat Enterprise Linux 4.8 (es)

Red Hat Enterprise Linux 5 (server)

Red Hat Enterprise Linux Desktop 3.0

Red Hat Enterprise Linux Desktop 4.0

Red Hat Enterprise Linux EUS 5.4.z (server)

RHEL Desktop Workstation 5 (client)

サイバートラスト株式会社

Asianux Server 3 (x86)

Asianux Server 3 (x86-64)

アップル

Apple Mac OS X v10.5.8

Apple Mac OS X v10.6 から v10.6.3

Apple Mac OS X Server v10.5.8

Apple Mac OS X Server v10.6 から v10.6.3

SquirrelMail Project

SquirrelMail 1.4.19 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-2964	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2964
National Vulnerability Database (NVD)
2	CVE-2009-2964	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-2964

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-352	https://jvndb.jvn.jp/ja/cwe/CWE-352.html

ベンダー情報

No	名前	URL
Apple Security Updates
1	HT4188	http://support.apple.com/kb/HT4188
Apple セキュリティアップデート
2	HT4188	http://support.apple.com/kb/HT4188?viewlocale=ja_JP
Asianux Technical Support Network
3	squirrelmail-1.4.8-5.10AXS3	https://tsn.miraclelinux.com/tsn_local/index.php?m=errata&a=detail&eid=760
Red Hat Security Advisory
4	RHSA-2009:1490	https://rhn.redhat.com/errata/RHSA-2009-1490.html
SquirrelMail
5	SquirrelMail Downloads	http://squirrelmail.org/download.php
SquirrelMail Security
6	2009-08-12	http://www.squirrelmail.org/security/issue/2009-08-12
レッドハットセキュリティーアップデート
7	RHSA-2009:1490	https://www.jp.redhat.com/support/errata/RHSA/RHSA-2009-1490J.html

その他

No	名前	URL
ISS X-Force Database
1	52406	http://xforce.iss.net/xforce/xfdb/52406
JVN
2	JVN#30881447	http://jvn.jp/jp/JVN30881447/index.html
OPEN SOURCE VULNERABILITY DATABASE (OSVDB)
3	57001	http://www.osvdb.org/57001
Secunia Advisory
4	SA34627	http://secunia.com/advisories/34627
SecurityFocus
5	36196	http://www.securityfocus.com/bid/36196
VUPEN Security
6	VUPEN/ADV-2009-2262	http://www.vupen.com/english/advisories/2009/2262

変更履歴

No	変更内容	変更日
0	[2009年11月12日] 掲載 [2010年07月06日] 影響を受けるシステム：アップル (HT4188) の情報を追加ベンダ情報：アップル (HT4188) を追加 [2011年01月07日] JVN#30881447 にあわせ、概要、想定される影響、対策を更新。CVSS、 CWE を IPA 値に変更。	2018年2月17日10:37

構成1	以上	以下	より上	未満
cpe:2.3:a:squirrelmail:squirrelmail:0.1.1:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:0.1.2:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.0:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.0.1:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.0.2:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.0.3:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.0.4:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.0.5:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.0.6:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.0pre1:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.0pre2:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.0pre3:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.1.0:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.1.1:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.1.2:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.1.3:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.2:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.2.0:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.2.0:rc3::::::
cpe:2.3:a:squirrelmail:squirrelmail:1.2.0_rc3:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.2.1:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.2.2:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.2.3:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.2.4:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.2.5:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.2.6:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.2.6-rc1:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.2.7:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.2.8:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.2.9:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.2.10:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.2.11:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.3.0:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.3.1:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.3.2:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4:rc1::::::
cpe:2.3:a:squirrelmail:squirrelmail:1.4.0:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.0:rc1::::::
cpe:2.3:a:squirrelmail:squirrelmail:1.4.0:rc2a::::::
cpe:2.3:a:squirrelmail:squirrelmail:1.4.0-r1:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.0_rc1:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.0_rc2a:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.1:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.2:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.2-r1:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.2-r2:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.2-r3:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.2-r4:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.2-r5:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.3:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.3:r3::::::
cpe:2.3:a:squirrelmail:squirrelmail:1.4.3:rc1::::::
cpe:2.3:a:squirrelmail:squirrelmail:1.4.3_r3:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.3_rc1:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.3_rc1:r1::::::
cpe:2.3:a:squirrelmail:squirrelmail:1.4.3a:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.3aa:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.4:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.4:rc1::::::
cpe:2.3:a:squirrelmail:squirrelmail:1.4.4_rc1:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.5:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.5_rc1:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.6:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.6:rc1::::::
cpe:2.3:a:squirrelmail:squirrelmail:1.4.6_cvs:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.6_rc1:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.7:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.8:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.8.4fc6:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.9:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.9a:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.10:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.10a:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.11:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.12:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.13:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.15:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.15:rc1::::::
cpe:2.3:a:squirrelmail:squirrelmail:1.4.15_rc1:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.15rc1:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.16:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.17:::::::*
cpe:2.3:a:squirrelmail:squirrelmail:1.4.18:::::::*
cpe:2.3:a:squirrelmail:squirrelmail::::::::		1.4.19
cpe:2.3:a:squirrelmail:squirrelmail:1.4_rc1:::::::*