Web サーバー HTTP ヘッダー内部 IP の漏洩

low Nessus プラグイン ID 10759
New! Vulnerability Priority Rating (VPR)

Tenable では、すべての脆弱性に対して動的な VPR が計算されます。VPR は脆弱性の情報を、脅威インテリジェンスや機械学習アルゴリズムと組み合わせて、攻撃時に最も悪用される可能性の高い脆弱性を予測します。詳細は、 「VPR とは何で、CVSS とはどう違うのか」を参照してください。

VPR スコア : 2.2

概要

この Web サーバーは、HTTP ヘッダーを介して非公開の IP アドレスを漏洩します。

説明

これにより、通常は非表示になっているか、ネットワークアドレス変換(NAT)ファイアウォールまたはプロキシサーバーの背後にマスクされている内部 IP アドレスが、公開されることがあります。

デフォルト構成でこれを行う Microsoft IIS 4.0 で、既知の問題があります。これは、他の Web サーバー、Web アプリケーション、Web プロキシ、ロードバランサに影響し、リダイレクトに関連するさまざまな構成ミスを通して影響を与える可能性もあります。

ソリューション

なし

関連情報

http://www.nessus.org/u?fe24f941

https://support.microsoft.com/en-us/help/218180

http://www.nessus.org/u?4eedfe2d

プラグインの詳細

深刻度: Low

ID: 10759

ファイル名: iis_nat.nasl

バージョン: 1.61

タイプ: remote

ファミリー: Web Servers

公開日: 2001/9/14

更新日: 2019/6/24

依存関係: http_version.nasl, find_service1.nasl, www_fingerprinting_hmap.nasl

リスク情報

リスクファクター: Low

VPR スコア: 2.2

CVSS スコアのソース: CVE-2000-0649

CVSS v2.0

Base Score: 2.6

Temporal Score: 2

ベクトル: CVSS2#AV:N/AC:H/Au:N/C:P/I:N/A:N

現状ベクトル: CVSS2#E:POC/RL:OF/RC:C

CVSS v3.0

Base Score: 3.1

Temporal Score: 2.8

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性の情報

CPE: cpe:2.3:a:microsoft:iis:*:*:*:*:*:*:*:*

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

脆弱性公開日: 2000/7/13

参照情報

CVE: CVE-2000-0649

BID: 1499

CWE: 200