公開日:2014/03/03 最終更新日:2014/03/03

JVNVU#93097036
Blue Coat ProxySG に脆弱性

概要

Blue Coat が提供する ProxySG には、認証情報の変更から反映までに時差がある脆弱性が存在します。

影響を受けるシステム

  • ProxySG 6.5.4 より前のバージョン

詳細情報

Blue Coat が提供する ProxySG には、古い認証情報がキャッシュに保存されていることにより、認証情報の変更から反映までに最大15分程度の時差がある脆弱性 (CWE-361) が存在します。
なお、新たなアカウントでのログインや間違ったパスワードによる認証拒否など、他のパスワード関連の処理が行われた場合、この時差は縮まるとのことです。

想定される影響

認証情報を変更しても、最大15分間は古いアカウントでログインされる可能性があります。

対策方法

パッチを適用する
開発者が提供する情報をもとに、対応するパッチを適用してください。

ワークアラウンドを実施する
パッチを適用するまでの間、次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。

  • パスワードを変更後、ただちに新しいパスワードでログインするか、間違ったパスワードで認証失敗する
  • アカウントを無効にした後、ただちに無効にしたアカウントで間違ったパスワードを入力し、認証失敗する
  • LDAP, Certificate, SAML など、ProxySG アプライアンスのローカルでない認証を使用する

ベンダ情報

ベンダ リンク
Blue Coat Systems, Inc. Bluecoat Knowledge Base – Changes to ProxySG local users are delayed

参考情報

  1. CERT/CC Vulnerability Note VU#221620
    Blue Coat ProxySG local user changes contain a time and state vulnerability

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2014-2033
JVN iPedia