検出

プラグイン

Nessus ファミリー

WAS ファミリー

プラグインファミリーについて

インジケーター

攻撃インジケーター

露出インジケーター

CGI 汎用パディングオラクル

medium Nessus プラグイン ID 50413

Language:

概要

リモートサーバーでホストされている Web アプリケーションは、パディングオラクル攻撃に脆弱な可能性があります。

説明

暗号化された文字列のパディングを操作することで、Nessus は「パディングオラクル」のように見える脆弱性を示すエラーメッセージを生成することができました。このような脆弱性は、ASP.net、Java Server Faces、Mono の一部のバージョンなどで、暗号化を使用するアプリケーションやフレームワークに不適切な影響を及ぼす可能性があります。

攻撃者がこの問題を悪用し、データを復号し、暗号化キーを復元し、機密データを表示し、修正する可能性があります。

注意：このプラグインは、CustomErrors が有効にされている場合、ASP.net で MS10-070 パディングオラクルの脆弱性を検出する必要があります。

ソリューション

影響を受けるサーバーソフトウェアを更新するか、CGI スクリプトを修正し、復号化を試行する前に、暗号化データを適切に検証できるようにしてください。

参考資料

http://netifera.com/research/

http://www.nessus.org/u?57f0ffe8

https://www.mono-project.com/Vulnerabilities/#ASP.NET_Padding_Oracle

https://bugzilla.redhat.com/show_bug.cgi?id=623799

プラグインの詳細

深刻度: Medium

ID: 50413

ファイル名: padding_oracle.nasl

バージョン: 1.19

タイプ: remote

ファミリー: CGI abuses

公開日: 2010/10/29

更新日: 2023/7/17

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.5

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.9

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

CVSS スコアのソース: CVE-2010-3332

脆弱性情報

必要な KB アイテム: Settings/enable_web_app_tests

エクスプロイトの容易さ: No exploit is required

パッチ公開日: 2010/9/28

脆弱性公開日: 2010/9/17

参照情報

CVE: CVE-2010-3332

BID: 43316, 44285

MSFT: MS10-070

MSKB: 2416447, 2416451, 2416468, 2416469, 2416470, 2416471, 2416472, 2416473, 2416474, 2418240, 2418241