製品・ソフトウェアに関する情報

JVN脆弱性詳細

Apple Mac OS の SMB サブシステムにおけるファイル共有の制限を回避される脆弱性

Title	Apple Mac OS の SMB サブシステムにおけるファイル共有の制限を回避される脆弱性
Summary	Apple Mac OS の SMB サブシステムには、Windows ファイル共有が有効な場合に、パス名解決のエラーの処理に不備があるため、ファイル共有の制限を回避され、ファイルの読み込み、作成、または更新が可能な脆弱性が存在します。
Possible impacts	リモート認証されたユーザにより、ファイル共有の制限を回避され、ファイルの読み込み、作成、または更新をされる可能性がります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Sept. 10, 2009, midnight
Registration Date	Oct. 23, 2009, 10:47 a.m.
Last Update	July 20, 2010, 6:01 p.m.

CVSS2.0 : 警告
Score	6
Vector	AV:N/AC:M/Au:S/C:P/I:P/A:P

Affected System

サン・マイクロシステムズ

OpenSolaris (sparc)

OpenSolaris (x86)

Sun Solaris 10 (sparc)

Sun Solaris 10 (x86)

Sun Solaris 9 (sparc)

Sun Solaris 9 (x86)

レッドハット

Red Hat Enterprise Linux 4 (as)

Red Hat Enterprise Linux 4 (es)

Red Hat Enterprise Linux 4 (ws)

Red Hat Enterprise Linux 4.8 (as)

Red Hat Enterprise Linux 4.8 (es)

Red Hat Enterprise Linux 5 (server)

Red Hat Enterprise Linux Desktop 4.0

Red Hat Enterprise Linux Desktop 5.0 (client)

Red Hat Enterprise Linux EUS 5.4.z (server)

ヒューレット・パッカード

HP-UX 11.11

HP-UX 11.23

HP-UX 11.31

Samba Project

Samba 3.0.37 未満

Samba 3.2.15 未満

Samba 3.3.8 未満

Samba 3.4.2 未満

ターボリナックス

Turbolinux Appliance Server 2.0

Turbolinux Appliance Server 3.0

Turbolinux Appliance Server 3.0 (x64)

Turbolinux Client 2008

Turbolinux FUJI (延長メンテナンス)

Turbolinux Server 10

Turbolinux Server 10 (x64)

Turbolinux Server 11

Turbolinux Server 11 (x64)

サイバートラスト株式会社

Asianux Server 3 (x86)

Asianux Server 3 (x86-64)

Asianux Server 3.0

Asianux Server 3.0 (x86-64)

Asianux Server 4.0

Asianux Server 4.0 (x86-64)

アップル

Apple Mac OS X v10.5.8

Apple Mac OS X Server v10.5.8

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-2813	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2813
National Vulnerability Database (NVD)
2	CVE-2009-2813	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-2813
Samba Security Announcement
3	CVE-2009-2813	http://www.samba.org/samba/security/CVE-2009-2813.html

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

No	Name	URL
Apple Security Updates
1	HT3865	http://support.apple.com/kb/HT3865
Apple セキュリティアップデート
2	HT3865	http://support.apple.com/kb/HT3865?viewlocale=ja_JP
Asianux Technical Support Network
3	samba-3.0.33-3.15.1AXS3	https://tsn.miraclelinux.com/tsn_local/index.php?m=errata&a=detail&eid=768
HP Security Bulletin
4	HPSBUX02479	http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?lang=en&cc=us&objectID=c01940841
MIRACLE LINUX アップデート情報
5	1812	http://www.miraclelinux.com/support/index.php?q=node/99&errata_id=1812
Red Hat Security Advisory
6	RHSA-2009:1529	https://rhn.redhat.com/errata/RHSA-2009-1529.html
Sun Alert Notification
7	271069	http://sunsolve.sun.com/search/document.do?assetkey=1-66-271069-1
レッドハットセキュリティーアップデート
8	RHSA-2009:1529	https://www.jp.redhat.com/support/errata/RHSA/RHSA-2009-1529J.html
製品セキュリティ情報
9	TLSA-2010-23	http://www.turbolinux.co.jp/security/2010/TLSA-2010-23j.txt

その他

No	Name	URL
Secunia Advisory
1	SA36701	http://secunia.com/advisories/36701

Change Log

No	Changed Details	Date of change
0	[2009年10月23日] 掲載 [2009年11月17日] 影響を受けるシステム：ミラクル・リナックス (samba-3.0.33-3.15.1AXS3) の情報を追加影響を受けるシステム：ミラクル・リナックス (1812) の情報を追加影響を受けるシステム：レッドハット (RHSA-2009:1529) の情報を追加ベンダ情報：ミラクル・リナックス (samba-3.0.33-3.15.1AXS3) を追加ベンダ情報：ミラクル・リナックス (1812) を追加ベンダ情報：レッドハット (RHSA-2009:1529) を追加 [2009年12月28日] 影響を受けるシステム：Samba Project (CVE-2009-2813) の情報を追加影響を受けるシステム：サン・マイクロシステムズ (271069) の情報を追加ベンダ情報：Samba Project (CVE-2009-2813) を追加ベンダ情報：サン・マイクロシステムズ (271069) を追加 [2010年02月18日] 影響を受けるシステム：ヒューレット・パッカード (HPSBUX02479) の情報を追加ベンダ情報：ヒューレット・パッカード (HPSBUX02479) を追加 [2010年07月20日] 影響を受けるシステム：ターボリナックス (TLSA-2010-23) の情報を追加ベンダ情報：ターボリナックス (TLSA-2010-23) を追加	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2009-2813

Summary	Samba 3.4 before 3.4.2, 3.3 before 3.3.8, 3.2 before 3.2.15, and 3.0.12 through 3.0.36, as used in the SMB subsystem in Apple Mac OS X 10.5.8 when Windows File Sharing is enabled, Fedora 11, and other operating systems, does not properly handle errors in resolving pathnames, which allows remote authenticated users to bypass intended sharing restrictions, and read, create, or modify files, in certain circumstances involving user accounts that lack home directories.
Publication Date	Sept. 15, 2009, 1:30 a.m.
Registration Date	Jan. 29, 2021, 1:21 p.m.
Last Update	Oct. 11, 2018, 4:42 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:samba:samba:3.0.12:::::::*
cpe:2.3:a:samba:samba:3.0.13:::::::*
cpe:2.3:a:samba:samba:3.0.14:::::::*
cpe:2.3:a:samba:samba:3.0.14a:::::::*
cpe:2.3:a:samba:samba:3.0.15:::::::*
cpe:2.3:a:samba:samba:3.0.16:::::::*
cpe:2.3:a:samba:samba:3.0.17:::::::*
cpe:2.3:a:samba:samba:3.0.18:::::::*
cpe:2.3:a:samba:samba:3.0.19:::::::*
cpe:2.3:a:samba:samba:3.0.20:::::::*
cpe:2.3:a:samba:samba:3.0.20a:::::::*
cpe:2.3:a:samba:samba:3.0.20b:::::::*
cpe:2.3:a:samba:samba:3.0.21:::::::*
cpe:2.3:a:samba:samba:3.0.21a:::::::*
cpe:2.3:a:samba:samba:3.0.21b:::::::*
cpe:2.3:a:samba:samba:3.0.21c:::::::*
cpe:2.3:a:samba:samba:3.0.22:::::::*
cpe:2.3:a:samba:samba:3.0.23:::::::*
cpe:2.3:a:samba:samba:3.0.23a:::::::*
cpe:2.3:a:samba:samba:3.0.23b:::::::*
cpe:2.3:a:samba:samba:3.0.23c:::::::*
cpe:2.3:a:samba:samba:3.0.23d:::::::*
cpe:2.3:a:samba:samba:3.0.24:::::::*
cpe:2.3:a:samba:samba:3.0.25:::::::*
cpe:2.3:a:samba:samba:3.0.25:pre1::::::
cpe:2.3:a:samba:samba:3.0.25:pre2::::::
cpe:2.3:a:samba:samba:3.0.25:rc1::::::
cpe:2.3:a:samba:samba:3.0.25:rc2::::::
cpe:2.3:a:samba:samba:3.0.25:rc3::::::
cpe:2.3:a:samba:samba:3.0.25a:::::::*
cpe:2.3:a:samba:samba:3.0.25b:::::::*
cpe:2.3:a:samba:samba:3.0.25c:::::::*
cpe:2.3:a:samba:samba:3.0.26:::::::*
cpe:2.3:a:samba:samba:3.0.26a:::::::*
cpe:2.3:a:samba:samba:3.0.27:::::::*
cpe:2.3:a:samba:samba:3.0.27a:::::::*
cpe:2.3:a:samba:samba:3.0.28:::::::*
cpe:2.3:a:samba:samba:3.0.28a:::::::*
cpe:2.3:a:samba:samba:3.0.29:::::::*
cpe:2.3:a:samba:samba:3.0.30:::::::*
cpe:2.3:a:samba:samba:3.0.31:::::::*
cpe:2.3:a:samba:samba:3.0.32:::::::*
cpe:2.3:a:samba:samba:3.0.33:::::::*
cpe:2.3:a:samba:samba:3.0.34:::::::*
cpe:2.3:a:samba:samba:3.0.35:::::::*
cpe:2.3:a:samba:samba:3.0.36:::::::*
cpe:2.3:a:samba:samba:3.2:::::::*
cpe:2.3:a:samba:samba:3.2.0:::::::*
cpe:2.3:a:samba:samba:3.2.1:::::::*
cpe:2.3:a:samba:samba:3.2.2:::::::*
cpe:2.3:a:samba:samba:3.2.3:::::::*
cpe:2.3:a:samba:samba:3.2.4:::::::*
cpe:2.3:a:samba:samba:3.2.5:::::::*
cpe:2.3:a:samba:samba:3.2.6:::::::*
cpe:2.3:a:samba:samba:3.2.7:::::::*
cpe:2.3:a:samba:samba:3.2.8:::::::*
cpe:2.3:a:samba:samba:3.2.9:::::::*
cpe:2.3:a:samba:samba:3.2.10:::::::*
cpe:2.3:a:samba:samba:3.2.11:::::::*
cpe:2.3:a:samba:samba:3.2.12:::::::*
cpe:2.3:a:samba:samba:3.2.13:::::::*
cpe:2.3:a:samba:samba:3.2.14:::::::*
cpe:2.3:a:samba:samba:3.2.15:::::::*
cpe:2.3:a:samba:samba:3.3:::::::*
cpe:2.3:a:samba:samba:3.3.0:::::::*
cpe:2.3:a:samba:samba:3.3.1:::::::*
cpe:2.3:a:samba:samba:3.3.2:::::::*
cpe:2.3:a:samba:samba:3.3.3:::::::*
cpe:2.3:a:samba:samba:3.3.4:::::::*
cpe:2.3:a:samba:samba:3.3.5:::::::*
cpe:2.3:a:samba:samba:3.3.6:::::::*
cpe:2.3:a:samba:samba:3.3.7:::::::*
cpe:2.3:a:samba:samba:3.4:::::::*
cpe:2.3:a:samba:samba:3.4.0:::::::*
cpe:2.3:a:samba:samba:3.4.1:::::::*
cpe:2.3:o:apple:mac_os_x:10.5.8:::::::*
cpe:2.3:o:apple:mac_os_x_server:10.5.8:::::::*

Configuration2		or higher	or less	more than	less than
cpe:2.3:o:fedoraproject:fedora:11:::::::*

Related information, measures and tools

No	URL	refsource	タグ
1	http://lists.apple.com/archives/security-announce/2009/Sep/msg00004.html	APPLE
2	http://lists.opensuse.org/opensuse-security-announce/2009-10/msg00004.html	SUSE
3	http://marc.info/?l=bugtraq&m=126514298313071&w=2	HP
4	http://news.samba.org/releases/3.0.37/	CONFIRM
5	http://news.samba.org/releases/3.2.15/	CONFIRM
6	http://news.samba.org/releases/3.3.8/	CONFIRM
7	http://news.samba.org/releases/3.4.2/	CONFIRM
8	http://osvdb.org/57955	OSVDB
9	http://secunia.com/advisories/36701	SECUNIA	Vendor Advisory
10	http://secunia.com/advisories/36893	SECUNIA	Vendor Advisory
11	http://secunia.com/advisories/36918	SECUNIA	Vendor Advisory
12	http://secunia.com/advisories/36937	SECUNIA	Vendor Advisory
13	http://secunia.com/advisories/36953	SECUNIA	Vendor Advisory
14	http://secunia.com/advisories/37428	SECUNIA	Vendor Advisory
15	http://slackware.com/security/viewer.php?l=slackware-security&y=2009&m=slackware-security.561439	SLACKWARE
16	http://sunsolve.sun.com/search/document.do?assetkey=1-77-1021111.1-1	SUNALERT
17	http://support.apple.com/kb/HT3865	CONFIRM	Vendor Advisory
18	http://wiki.rpath.com/Advisories:rPSA-2009-0145	CONFIRM
19	http://www.samba.org/samba/security/CVE-2009-2813.html	CONFIRM	Vendor Advisory
20	http://www.securityfocus.com/archive/1/507856/100/0/threaded	BUGTRAQ
21	http://www.securityfocus.com/bid/36363	BID
22	http://www.ubuntu.com/usn/USN-839-1	UBUNTU
23	http://www.vupen.com/english/advisories/2009/2810	VUPEN	Vendor Advisory
24	https://exchange.xforce.ibmcloud.com/vulnerabilities/53174	XF
25	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A7211	OVAL
26	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A7257	OVAL
27	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A7791	OVAL
28	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A9191	OVAL
29	https://www.redhat.com/archives/fedora-package-announce/2009-October/msg00095.html	FEDORA
30	https://www.redhat.com/archives/fedora-package-announce/2009-October/msg00098.html	FEDORA

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-264	認可・権限・アクセス制御	https://cwe.mitre.org/data/definitions/264.html

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:samba:samba:3.0.12:::::::*
cpe:2.3:a:samba:samba:3.0.13:::::::*
cpe:2.3:a:samba:samba:3.0.14:::::::*
cpe:2.3:a:samba:samba:3.0.14a:::::::*
cpe:2.3:a:samba:samba:3.0.15:::::::*
cpe:2.3:a:samba:samba:3.0.16:::::::*
cpe:2.3:a:samba:samba:3.0.17:::::::*
cpe:2.3:a:samba:samba:3.0.18:::::::*
cpe:2.3:a:samba:samba:3.0.19:::::::*
cpe:2.3:a:samba:samba:3.0.20:::::::*
cpe:2.3:a:samba:samba:3.0.20a:::::::*
cpe:2.3:a:samba:samba:3.0.20b:::::::*
cpe:2.3:a:samba:samba:3.0.21:::::::*
cpe:2.3:a:samba:samba:3.0.21a:::::::*
cpe:2.3:a:samba:samba:3.0.21b:::::::*
cpe:2.3:a:samba:samba:3.0.21c:::::::*
cpe:2.3:a:samba:samba:3.0.22:::::::*
cpe:2.3:a:samba:samba:3.0.23:::::::*
cpe:2.3:a:samba:samba:3.0.23a:::::::*
cpe:2.3:a:samba:samba:3.0.23b:::::::*
cpe:2.3:a:samba:samba:3.0.23c:::::::*
cpe:2.3:a:samba:samba:3.0.23d:::::::*
cpe:2.3:a:samba:samba:3.0.24:::::::*
cpe:2.3:a:samba:samba:3.0.25:::::::*
cpe:2.3:a:samba:samba:3.0.25:pre1::::::
cpe:2.3:a:samba:samba:3.0.25:pre2::::::
cpe:2.3:a:samba:samba:3.0.25:rc1::::::
cpe:2.3:a:samba:samba:3.0.25:rc2::::::
cpe:2.3:a:samba:samba:3.0.25:rc3::::::
cpe:2.3:a:samba:samba:3.0.25a:::::::*
cpe:2.3:a:samba:samba:3.0.25b:::::::*
cpe:2.3:a:samba:samba:3.0.25c:::::::*
cpe:2.3:a:samba:samba:3.0.26:::::::*
cpe:2.3:a:samba:samba:3.0.26a:::::::*
cpe:2.3:a:samba:samba:3.0.27:::::::*
cpe:2.3:a:samba:samba:3.0.27a:::::::*
cpe:2.3:a:samba:samba:3.0.28:::::::*
cpe:2.3:a:samba:samba:3.0.28a:::::::*
cpe:2.3:a:samba:samba:3.0.29:::::::*
cpe:2.3:a:samba:samba:3.0.30:::::::*
cpe:2.3:a:samba:samba:3.0.31:::::::*
cpe:2.3:a:samba:samba:3.0.32:::::::*
cpe:2.3:a:samba:samba:3.0.33:::::::*
cpe:2.3:a:samba:samba:3.0.34:::::::*
cpe:2.3:a:samba:samba:3.0.35:::::::*
cpe:2.3:a:samba:samba:3.0.36:::::::*
cpe:2.3:a:samba:samba:3.2:::::::*
cpe:2.3:a:samba:samba:3.2.0:::::::*
cpe:2.3:a:samba:samba:3.2.1:::::::*
cpe:2.3:a:samba:samba:3.2.2:::::::*
cpe:2.3:a:samba:samba:3.2.3:::::::*
cpe:2.3:a:samba:samba:3.2.4:::::::*
cpe:2.3:a:samba:samba:3.2.5:::::::*
cpe:2.3:a:samba:samba:3.2.6:::::::*
cpe:2.3:a:samba:samba:3.2.7:::::::*
cpe:2.3:a:samba:samba:3.2.8:::::::*
cpe:2.3:a:samba:samba:3.2.9:::::::*
cpe:2.3:a:samba:samba:3.2.10:::::::*
cpe:2.3:a:samba:samba:3.2.11:::::::*
cpe:2.3:a:samba:samba:3.2.12:::::::*
cpe:2.3:a:samba:samba:3.2.13:::::::*
cpe:2.3:a:samba:samba:3.2.14:::::::*
cpe:2.3:a:samba:samba:3.2.15:::::::*
cpe:2.3:a:samba:samba:3.3:::::::*
cpe:2.3:a:samba:samba:3.3.0:::::::*
cpe:2.3:a:samba:samba:3.3.1:::::::*
cpe:2.3:a:samba:samba:3.3.2:::::::*
cpe:2.3:a:samba:samba:3.3.3:::::::*
cpe:2.3:a:samba:samba:3.3.4:::::::*
cpe:2.3:a:samba:samba:3.3.5:::::::*
cpe:2.3:a:samba:samba:3.3.6:::::::*
cpe:2.3:a:samba:samba:3.3.7:::::::*
cpe:2.3:a:samba:samba:3.4:::::::*
cpe:2.3:a:samba:samba:3.4.0:::::::*
cpe:2.3:a:samba:samba:3.4.1:::::::*
cpe:2.3:o:apple:mac_os_x:10.5.8:::::::*
cpe:2.3:o:apple:mac_os_x_server:10.5.8:::::::*