FreeBSD：mod_pubcookie -- 空の認証セキュリティアドバイザリ（1ca8228f-858d-11e0-a76c-000743057ca2）

high Nessus プラグイン ID 54621

Language:

概要

リモートのFreeBSDホストに、セキュリティ関連の更新プログラムがありません。

説明

Pubcookie ProjectのNathan Dors氏による報告：

Pubcookie 認証プロセスで、機能性の悪用の脆弱性が見つかりました。この脆弱性により、攻撃者は、空のユーザー ID が想定外の場合に、このようなユーザー ID を使用することで、自分が認証されたかのように見せることができます。Web コンテンツやアプリケーションに権限もなくアクセスすると、そこは、正常に認証できるユーザーにアクセスが制限されるところであるにもかかわらず、認証後には追加承認を行わないところになる場合があります。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://www.pubcookie.org/news/20061106-empty-auth-secadv.html

http://www.nessus.org/u?d8adb788

プラグインの詳細

深刻度: High

ID: 54621

ファイル名: freebsd_pkg_1ca8228f858d11e0a76c000743057ca2.nasl

バージョン: 1.9

タイプ: local

ファミリー: FreeBSD Local Security Checks

公開日: 2011/5/24

更新日: 2021/1/6

サポートされているセンサー: Nessus

脆弱性情報

CPE: p-cpe:/a:freebsd:freebsd:ap20-mod_pubcookie, cpe:/o:freebsd:freebsd

必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

パッチ公開日: 2011/5/23

脆弱性公開日: 2006/10/4