NVD脆弱性詳細

CVE-2010-1406

概要	WebKit in Apple Safari before 5.0 on Mac OS X 10.5 through 10.6 and Windows, and before 4.1 on Mac OS X 10.4, sends an https URL in the Referer header of an http request in certain circumstances involving https to http redirection, which allows remote HTTP servers to obtain potentially sensitive information via standard HTTP logging, a related issue to CVE-2010-0660.
公表日	2010年6月12日3:00
登録日	2021年1月29日10:59
最終更新日	2017年9月19日10:30

CVSS2.0 : MEDIUM
スコア	4.3
ベクター	AV:N/AC:M/Au:N/C:P/I:N/A:N
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	中
攻撃前の認証要否(Au)	不要
機密性への影響(C)	低
完全性への影響(I)	なし
可用性への影響(A)	なし
全ての特権を取得	いいえ
ユーザー権限を取得	いいえ
その他の権限を取得	いいえ
ユーザー操作が必要	はい

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:apple:safari:4.0:::::::*
cpe:2.3:a:apple:safari:4.0.0b:::::::*
cpe:2.3:a:apple:safari:4.0.1:::::::*
cpe:2.3:a:apple:safari:4.0.2:::::::*
cpe:2.3:a:apple:safari:4.0.3:::::::*
cpe:2.3:a:apple:safari:4.0.4:::::::*
cpe:2.3:a:apple:safari::::::::			4.0.5
cpe:2.3:a:apple:webkit::::::::
実行環境
1	cpe:2.3:o:apple:mac_os_x:10.5:::::::*
2	cpe:2.3:o:apple:mac_os_x:10.5.0:::::::*
3	cpe:2.3:o:apple:mac_os_x:10.5.1:::::::*
4	cpe:2.3:o:apple:mac_os_x:10.5.2:::::::*
5	cpe:2.3:o:apple:mac_os_x:10.5.3:::::::*
6	cpe:2.3:o:apple:mac_os_x:10.5.4:::::::*
7	cpe:2.3:o:apple:mac_os_x:10.5.5:::::::*
8	cpe:2.3:o:apple:mac_os_x:10.5.6:::::::*
9	cpe:2.3:o:apple:mac_os_x:10.5.7:::::::*
10	cpe:2.3:o:apple:mac_os_x:10.5.8:::::::*
11	cpe:2.3:o:apple:mac_os_x:10.6.0:::::::*
12	cpe:2.3:o:apple:mac_os_x:10.6.1:::::::*
13	cpe:2.3:o:apple:mac_os_x:10.6.2:::::::*
14	cpe:2.3:o:apple:mac_os_x:10.6.3:::::::*
15	cpe:2.3:o:apple:mac_os_x_server:10.5:::::::*
16	cpe:2.3:o:apple:mac_os_x_server:10.5.0:::::::*
17	cpe:2.3:o:apple:mac_os_x_server:10.5.1:::::::*
18	cpe:2.3:o:apple:mac_os_x_server:10.5.2:::::::*
19	cpe:2.3:o:apple:mac_os_x_server:10.5.3:::::::*
20	cpe:2.3:o:apple:mac_os_x_server:10.5.4:::::::*
21	cpe:2.3:o:apple:mac_os_x_server:10.5.5:::::::*
22	cpe:2.3:o:apple:mac_os_x_server:10.5.6:::::::*
23	cpe:2.3:o:apple:mac_os_x_server:10.5.7:::::::*
24	cpe:2.3:o:apple:mac_os_x_server:10.5.8:::::::*
25	cpe:2.3:o:apple:mac_os_x_server:10.6.0:::::::*
26	cpe:2.3:o:apple:mac_os_x_server:10.6.1:::::::*
27	cpe:2.3:o:apple:mac_os_x_server:10.6.2:::::::*
28	cpe:2.3:o:apple:mac_os_x_server:10.6.3:::::::*
29	cpe:2.3:o:microsoft:windows_7::::::::
30	cpe:2.3:o:microsoft:windows_vista::::::::
31	cpe:2.3:o:microsoft:windows_xp::sp2::::::*
32	cpe:2.3:o:microsoft:windows_xp::sp3::::::*

構成2		以上	以下	より上	未満
cpe:2.3:a:apple:safari:4.0:::::::*
cpe:2.3:a:apple:safari:4.0.0b:::::::*
cpe:2.3:a:apple:safari:4.0.1:::::::*
cpe:2.3:a:apple:safari:4.0.2:::::::*
cpe:2.3:a:apple:safari:4.0.3:::::::*
cpe:2.3:a:apple:safari:4.0.4:::::::*
cpe:2.3:a:apple:safari::::::::			4.0.5
cpe:2.3:a:apple:webkit::::::::
実行環境
1	cpe:2.3:o:apple:mac_os_x:10.4:::::::*
2	cpe:2.3:o:apple:mac_os_x:10.4.0:::::::*
3	cpe:2.3:o:apple:mac_os_x:10.4.1:::::::*
4	cpe:2.3:o:apple:mac_os_x:10.4.2:::::::*
5	cpe:2.3:o:apple:mac_os_x:10.4.3:::::::*
6	cpe:2.3:o:apple:mac_os_x:10.4.4:::::::*
7	cpe:2.3:o:apple:mac_os_x:10.4.5:::::::*
8	cpe:2.3:o:apple:mac_os_x:10.4.6:::::::*
9	cpe:2.3:o:apple:mac_os_x:10.4.7:::::::*
10	cpe:2.3:o:apple:mac_os_x:10.4.8:::::::*
11	cpe:2.3:o:apple:mac_os_x:10.4.9:::::::*
12	cpe:2.3:o:apple:mac_os_x:10.4.10:::::::*
13	cpe:2.3:o:apple:mac_os_x:10.4.11:::::::*
14	cpe:2.3:o:apple:mac_os_x_server:10.4:::::::*
15	cpe:2.3:o:apple:mac_os_x_server:10.4.0:::::::*
16	cpe:2.3:o:apple:mac_os_x_server:10.4.1:::::::*
17	cpe:2.3:o:apple:mac_os_x_server:10.4.2:::::::*
18	cpe:2.3:o:apple:mac_os_x_server:10.4.3:::::::*
19	cpe:2.3:o:apple:mac_os_x_server:10.4.4:::::::*
20	cpe:2.3:o:apple:mac_os_x_server:10.4.5:::::::*
21	cpe:2.3:o:apple:mac_os_x_server:10.4.6:::::::*
22	cpe:2.3:o:apple:mac_os_x_server:10.4.7:::::::*
23	cpe:2.3:o:apple:mac_os_x_server:10.4.8:::::::*
24	cpe:2.3:o:apple:mac_os_x_server:10.4.9:::::::*
25	cpe:2.3:o:apple:mac_os_x_server:10.4.10:::::::*
26	cpe:2.3:o:apple:mac_os_x_server:10.4.11:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	http://lists.apple.com/archives/security-announce/2010/Jun/msg00000.html	APPLE	Patch Vendor Advisory
2	http://lists.apple.com/archives/security-announce/2010/Jun/msg00003.html	APPLE
3	http://lists.opensuse.org/opensuse-security-announce/2011-01/msg00006.html	SUSE
4	http://secunia.com/advisories/40105	SECUNIA	Vendor Advisory
5	http://secunia.com/advisories/41856	SECUNIA
6	http://secunia.com/advisories/43068	SECUNIA
7	http://securitytracker.com/id?1024067	SECTRACK
8	http://support.apple.com/kb/HT4196	CONFIRM	Vendor Advisory
9	http://support.apple.com/kb/HT4225	CONFIRM
10	http://www.mandriva.com/security/advisories?name=MDVSA-2011:039	MANDRIVA
11	http://www.securityfocus.com/bid/40620	BID	Patch
12	http://www.ubuntu.com/usn/USN-1006-1	UBUNTU
13	http://www.vupen.com/english/advisories/2010/1373	VUPEN	Patch Vendor Advisory
14	http://www.vupen.com/english/advisories/2010/2722	VUPEN
15	http://www.vupen.com/english/advisories/2011/0212	VUPEN
16	http://www.vupen.com/english/advisories/2011/0552	VUPEN
17	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A7197	OVAL

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-200	情報漏えい	https://cwe.mitre.org/data/definitions/200.html

JVN脆弱性情報

Apple Safari の WebKit における重要な情報を取得される脆弱性

タイトル	Apple Safari の WebKit における重要な情報を取得される脆弱性
概要	Apple Safari の WebKit には、https から http へリダイレクトされる際、http リクエストの Referer ヘッダが https の URL を送付するため、重要な情報を取得される脆弱性が存在します。本問題は、CVE-2010-0660 と関連する問題です。
想定される影響	第三者により、HTTP ログを介して、重要な情報を取得される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2010年6月10日0:00
登録日	2010年6月25日18:50
最終更新日	2010年7月14日16:38

影響を受けるシステム

アップル

Apple Mac OS X v10.4.11

Apple Mac OS X v10.5.8

Apple Mac OS X v10.6.2 以降

Apple Mac OS X Server v10.4.11

Apple Mac OS X Server v10.5.8

Apple Mac OS X Server v10.6.2 以降

iOS 2.0 から 3.1.3

iOS for iPod touch 2.1 から 3.1.3

iPhone

iPod touch

Safari 4

Safari 5

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2010-1406	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1406
National Vulnerability Database (NVD)
2	CVE-2010-1406	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-1406

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-200	https://jvndb.jvn.jp/ja/cwe/CWE-200.html

ベンダー情報

No	名前	URL
Apple Security Updates
1	HT4196	http://support.apple.com/kb/HT4196
2	HT4225	http://support.apple.com/kb/HT4225
Apple セキュリティアップデート
3	HT4196	http://support.apple.com/kb/HT4196?viewlocale=ja_JP
4	HT4225	http://support.apple.com/kb/HT4225?viewlocale=ja_JP

その他

No	名前	URL
Secunia Advisory
1	SA40105	http://secunia.com/advisories/40105
SecurityTracker
2	1024067	http://securitytracker.com/id?1024067
VUPEN Security
3	VUPEN/ADV-2010-1373	http://www.vupen.com/english/advisories/2010/1373

変更履歴

No	変更内容	変更日
0	[2010年06月25日] 掲載 [2010年07月14日] 影響を受けるシステム：アップル (HT4225) の情報を追加ベンダ情報：アップル (HT4225) を追加	2018年2月17日10:37

構成1		以上	以下	より上	未満
cpe:2.3:a:apple:safari:4.0:::::::*
cpe:2.3:a:apple:safari:4.0.0b:::::::*
cpe:2.3:a:apple:safari:4.0.1:::::::*
cpe:2.3:a:apple:safari:4.0.2:::::::*
cpe:2.3:a:apple:safari:4.0.3:::::::*
cpe:2.3:a:apple:safari:4.0.4:::::::*
cpe:2.3:a:apple:safari::::::::			4.0.5
cpe:2.3:a:apple:webkit::::::::
実行環境
1	cpe:2.3:o:apple:mac_os_x:10.5:::::::*
2	cpe:2.3:o:apple:mac_os_x:10.5.0:::::::*
3	cpe:2.3:o:apple:mac_os_x:10.5.1:::::::*
4	cpe:2.3:o:apple:mac_os_x:10.5.2:::::::*
5	cpe:2.3:o:apple:mac_os_x:10.5.3:::::::*
6	cpe:2.3:o:apple:mac_os_x:10.5.4:::::::*
7	cpe:2.3:o:apple:mac_os_x:10.5.5:::::::*
8	cpe:2.3:o:apple:mac_os_x:10.5.6:::::::*
9	cpe:2.3:o:apple:mac_os_x:10.5.7:::::::*
10	cpe:2.3:o:apple:mac_os_x:10.5.8:::::::*
11	cpe:2.3:o:apple:mac_os_x:10.6.0:::::::*
12	cpe:2.3:o:apple:mac_os_x:10.6.1:::::::*
13	cpe:2.3:o:apple:mac_os_x:10.6.2:::::::*
14	cpe:2.3:o:apple:mac_os_x:10.6.3:::::::*
15	cpe:2.3:o:apple:mac_os_x_server:10.5:::::::*
16	cpe:2.3:o:apple:mac_os_x_server:10.5.0:::::::*
17	cpe:2.3:o:apple:mac_os_x_server:10.5.1:::::::*
18	cpe:2.3:o:apple:mac_os_x_server:10.5.2:::::::*
19	cpe:2.3:o:apple:mac_os_x_server:10.5.3:::::::*
20	cpe:2.3:o:apple:mac_os_x_server:10.5.4:::::::*
21	cpe:2.3:o:apple:mac_os_x_server:10.5.5:::::::*
22	cpe:2.3:o:apple:mac_os_x_server:10.5.6:::::::*
23	cpe:2.3:o:apple:mac_os_x_server:10.5.7:::::::*
24	cpe:2.3:o:apple:mac_os_x_server:10.5.8:::::::*
25	cpe:2.3:o:apple:mac_os_x_server:10.6.0:::::::*
26	cpe:2.3:o:apple:mac_os_x_server:10.6.1:::::::*
27	cpe:2.3:o:apple:mac_os_x_server:10.6.2:::::::*
28	cpe:2.3:o:apple:mac_os_x_server:10.6.3:::::::*
29	cpe:2.3:o:microsoft:windows_7::::::::
30	cpe:2.3:o:microsoft:windows_vista::::::::
31	cpe:2.3:o:microsoft:windows_xp::sp2::::::*
32	cpe:2.3:o:microsoft:windows_xp::sp3::::::*

構成2		以上	以下	より上	未満
cpe:2.3:a:apple:safari:4.0:::::::*
cpe:2.3:a:apple:safari:4.0.0b:::::::*
cpe:2.3:a:apple:safari:4.0.1:::::::*
cpe:2.3:a:apple:safari:4.0.2:::::::*
cpe:2.3:a:apple:safari:4.0.3:::::::*
cpe:2.3:a:apple:safari:4.0.4:::::::*
cpe:2.3:a:apple:safari::::::::			4.0.5
cpe:2.3:a:apple:webkit::::::::
実行環境
1	cpe:2.3:o:apple:mac_os_x:10.4:::::::*
2	cpe:2.3:o:apple:mac_os_x:10.4.0:::::::*
3	cpe:2.3:o:apple:mac_os_x:10.4.1:::::::*
4	cpe:2.3:o:apple:mac_os_x:10.4.2:::::::*
5	cpe:2.3:o:apple:mac_os_x:10.4.3:::::::*
6	cpe:2.3:o:apple:mac_os_x:10.4.4:::::::*
7	cpe:2.3:o:apple:mac_os_x:10.4.5:::::::*
8	cpe:2.3:o:apple:mac_os_x:10.4.6:::::::*
9	cpe:2.3:o:apple:mac_os_x:10.4.7:::::::*
10	cpe:2.3:o:apple:mac_os_x:10.4.8:::::::*
11	cpe:2.3:o:apple:mac_os_x:10.4.9:::::::*
12	cpe:2.3:o:apple:mac_os_x:10.4.10:::::::*
13	cpe:2.3:o:apple:mac_os_x:10.4.11:::::::*
14	cpe:2.3:o:apple:mac_os_x_server:10.4:::::::*
15	cpe:2.3:o:apple:mac_os_x_server:10.4.0:::::::*
16	cpe:2.3:o:apple:mac_os_x_server:10.4.1:::::::*
17	cpe:2.3:o:apple:mac_os_x_server:10.4.2:::::::*
18	cpe:2.3:o:apple:mac_os_x_server:10.4.3:::::::*
19	cpe:2.3:o:apple:mac_os_x_server:10.4.4:::::::*
20	cpe:2.3:o:apple:mac_os_x_server:10.4.5:::::::*
21	cpe:2.3:o:apple:mac_os_x_server:10.4.6:::::::*
22	cpe:2.3:o:apple:mac_os_x_server:10.4.7:::::::*
23	cpe:2.3:o:apple:mac_os_x_server:10.4.8:::::::*
24	cpe:2.3:o:apple:mac_os_x_server:10.4.9:::::::*
25	cpe:2.3:o:apple:mac_os_x_server:10.4.10:::::::*
26	cpe:2.3:o:apple:mac_os_x_server:10.4.11:::::::*