JVNVU#97084421
Blue Coat SSL Visibility Appliance に複数の脆弱性
Blue Coat SSL Visibility Appliance には複数の脆弱性が存在します。
- Blue Coat SSL Visibility Appliance ファミリー (SV800、SV1800、SV2800、SV3800) バージョン 3.6.x から 3.8.3 まで
クロスサイトリクエストフォージェリ (CWE-352) - CVE-2015-2852
被害者であるユーザのセッションがアクティブな状態で、細工されたリクエストを送信するようユーザに仕向けることが可能な場合、攻撃者は、ユーザと同等の権限で機器に対する操作を行うことが可能です。
セッションの固定化 (CWE-384) - CVE-2015-2853
ユーザのセッション ID は認証前に設定され、また、認証時に無効にされたり変更されたりすることはありません。セッション ID を取得・設定できる攻撃者は、ユーザのセッションを乗っ取ることが可能です。
不適切な入力確認 (CWE-20) - CVE-2015-2854
X-Frame-Options HTTP レスポンスヘッダの指定による同一生成元ポリシーに基づく制限が行われていないため、細工されたウェブページを介してクリックジャッキング攻撃を行うことが可能です。
情報漏えい (CWE-200) - CVE-2015-2855
Cookie に Secure フラグまたは HttpOnly フラグが設定されていません。HTTP 通信の内容を傍受可能な攻撃者は、ユーザのセッション ID の傍受や変更を行うことが可能です。
遠隔の攻撃者によって、他のユーザの ID を取得されたり、ユーザのセッションを偽装されたり、ユーザと同等の権限で機器に対する操作を実行されたりする可能性があります。
アップデートする
本脆弱性はバージョン 3.8.4 で修正されています。
開発者が提供する情報をもとに、最新版へアップデートしてください。
| ベンダ | リンク |
| Blue Coat Systems, Inc. | SSL Visibility Appliance web based vulnerabilities |
-
CERT/CC Vulnerability Note VU#498348
Blue Coat SSL Visibility Appliance contains multiple vulnerabilities
2015.06.01における脆弱性分析結果(CVSS Base Metrics)
| 評価尺度 | 評価値 | 説明 | ||
|---|---|---|---|---|
| 攻撃元区分(AV) | ローカル (L) | 隣接 (A) | ネットワーク (N) | ネットワーク経由でリモートから攻撃可能 |
| 攻撃条件の複雑さ(AC) | 高 (H) | 中 (M) | 低 (L) | 攻撃成立に何らかの条件が必要 |
| 攻撃前の認証要否(Au) | 複数 (M) | 単一 (S) | 不要 (N) | 認証は不要 |
| 機密性への影響(C) | なし (N) | 部分的 (P) | 全面的 (C) | 一部の情報が漏えいする |
| 完全性への影響(I) | なし (N) | 部分的 (P) | 全面的 (C) | 情報の正確さや完全さが部分的に損なわれる |
| 可用性への影響(A) | なし (N) | 部分的 (P) | 全面的 (C) | システムの使用が部分的に阻害される |
Base Score:6.8
分析結果のコメント
この CVSS は CVE-2015-2852 を評価したものです。
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2015-2852 |
|
CVE-2015-2853 |
|
|
CVE-2015-2854 |
|
|
CVE-2015-2855 |
|
| JVN iPedia |
