Shibboleth 2.0<2.6 XMLTooling-C DTD処理偽造の脆弱性
medium Nessus プラグイン ID 107267
Language:
概要
リモートホストにはシングルサインオンサービスプロバイダーがインストールされており、ユーザー属性の偽造の脆弱性があります。説明
リモートホストにインストールされているShibboleth Service Providerのバージョンは、2.6より前のバージョン2.0です。その結果、ユーザー属性の偽造による影響を受け、攻撃者が有効なユーザーになりすまして秘密情報にアクセスする可能性があります。注:2.6より上位のバージョンは脆弱ではありませんが、2.6.1.4には影響を受けるライブラリ(XMLTooling-C)用のパッチが含まれており、ベンダーが推奨しています。
ソリューション
Shibboleth Service Providerバージョン2.6.1.4以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: Medium
ID: 107267
ファイル名: shibboleth_sp_secadv_20180112.nasl
バージョン: 1.5
タイプ: local
エージェント: windows
ファミリー: Windows
公開日: 2018/3/9
更新日: 2018/7/27
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 2.5
CVSS v2
リスクファクター: Medium
基本値: 6.4
現状値: 4.7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N
CVSS v3
リスクファクター: Medium
基本値: 6.5
現状値: 5.7
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:shibboleth:service_provider
必要な KB アイテム: SMB/Registry/Enumerated, installed_sw/Shibboleth Service Provider
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2018/1/12
脆弱性公開日: 2018/1/12
参照情報
CVE: CVE-2018-0489
BID: 103172
IAVB: 2018-B-0038