NVD脆弱性詳細

CVE-2011-4675

概要	The pathname canonicalization functionality in io/filesystem/filesystem.cc in Widelands before 15.1 expands leading ~ (tilde) characters to home-directory pathnames but does not restrict use of these characters in strings received from the network, which might allow remote attackers to conduct absolute path traversal attacks and overwrite arbitrary files via a ~ in a pathname that is used for a file transfer in an Internet game, a different vulnerability than CVE-2011-1932.
公表日	2011年12月5日20:55
登録日	2021年1月28日16:39
最終更新日	2024年11月21日10:32

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:widelands:widelands:-:build1::::::
cpe:2.3:a:widelands:widelands:-:build2::::::
cpe:2.3:a:widelands:widelands:-:build3::::::
cpe:2.3:a:widelands:widelands:-:build4::::::
cpe:2.3:a:widelands:widelands:-:build5::::::
cpe:2.3:a:widelands:widelands:-:build6::::::
cpe:2.3:a:widelands:widelands:-:build7::::::
cpe:2.3:a:widelands:widelands:-:build8::::::
cpe:2.3:a:widelands:widelands:-:build9::::::
cpe:2.3:a:widelands:widelands:-:build10::::::
cpe:2.3:a:widelands:widelands:-:build10_release_candidate::::::
cpe:2.3:a:widelands:widelands:-:build11::::::
cpe:2.3:a:widelands:widelands:-:build11_release_candidate::::::
cpe:2.3:a:widelands:widelands:-:build12::::::
cpe:2.3:a:widelands:widelands:-:build12_release_candidate::::::
cpe:2.3:a:widelands:widelands:-:build13::::::
cpe:2.3:a:widelands:widelands:-:build13_release_candidate::::::
cpe:2.3:a:widelands:widelands:-:build13_release_candidate2::::::
cpe:2.3:a:widelands:widelands:-:build14::::::
cpe:2.3:a:widelands:widelands:-:build14_release_candidate::::::

関連情報、対策とツール

No	URL	タグ
1	http://bazaar.launchpad.net/~widelands-dev/widelands/build-15/revision/5021	Patch Release Notes Third Party Advisory
2	http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=617960	Issue Tracking Third Party Advisory
3	https://exchange.xforce.ibmcloud.com/vulnerabilities/71626	Third Party Advisory VDB Entry
4	http://bazaar.launchpad.net/~widelands-dev/widelands/build-15/revision/5021	Patch Release Notes Third Party Advisory
5	https://exchange.xforce.ibmcloud.com/vulnerabilities/71626	Third Party Advisory VDB Entry
6	http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=617960	Issue Tracking Third Party Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-22	パス・トラバーサル	https://cwe.mitre.org/data/definitions/22.html

JVN脆弱性情報

Widelands におけるパストラバーサル攻撃を誘発される脆弱性

タイトル	Widelands におけるパストラバーサル攻撃を誘発される脆弱性
概要	Widelands の io/filesystem/filesystem.cc 内のパス名正規化機能は、ネットワーク経由で受け取った ~ (チルダ) で始まる文字列の、ホームディレクトリパス名への使用を制限しないため、パストラバーサル攻撃を誘発する、または任意のファイルを上書きされる脆弱性が存在します。本脆弱性は、CVE-2011-1932 とは異なる脆弱性です。
想定される影響	第三者により、インターネットゲームにおけるファイル転送に使用されるパス名に含まれる ~ (チルダ) の文字を介して、パストラバーサル攻撃を誘発される、または任意のファイルを上書きされる可能性があります。
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
公表日	2011年12月5日0:00
登録日	2011年12月6日16:31
最終更新日	2011年12月12日18:21

影響を受けるシステム

Widelands

Widelands 15.1 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2011-4675	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-4675
National Vulnerability Database (NVD)
2	CVE-2011-4675	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-4675

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-22	https://jvndb.jvn.jp/ja/cwe/CWE-22.html

ベンダー情報

No	名前	URL
Widelands
1	Top Page	http://widelands.org

変更履歴

No	変更内容	変更日
0	[2011年12月06日] 掲載 [2011年12月12日] CVSS による深刻度：基本値および機密性への影響を変更	2018年2月17日10:37

構成1	以上	以下	より上	未満
cpe:2.3:a:widelands:widelands:-:build1::::::
cpe:2.3:a:widelands:widelands:-:build2::::::
cpe:2.3:a:widelands:widelands:-:build3::::::
cpe:2.3:a:widelands:widelands:-:build4::::::
cpe:2.3:a:widelands:widelands:-:build5::::::
cpe:2.3:a:widelands:widelands:-:build6::::::
cpe:2.3:a:widelands:widelands:-:build7::::::
cpe:2.3:a:widelands:widelands:-:build8::::::
cpe:2.3:a:widelands:widelands:-:build9::::::
cpe:2.3:a:widelands:widelands:-:build10::::::
cpe:2.3:a:widelands:widelands:-:build10_release_candidate::::::
cpe:2.3:a:widelands:widelands:-:build11::::::
cpe:2.3:a:widelands:widelands:-:build11_release_candidate::::::
cpe:2.3:a:widelands:widelands:-:build12::::::
cpe:2.3:a:widelands:widelands:-:build12_release_candidate::::::
cpe:2.3:a:widelands:widelands:-:build13::::::
cpe:2.3:a:widelands:widelands:-:build13_release_candidate::::::
cpe:2.3:a:widelands:widelands:-:build13_release_candidate2::::::
cpe:2.3:a:widelands:widelands:-:build14::::::
cpe:2.3:a:widelands:widelands:-:build14_release_candidate::::::