製品・ソフトウェアに関する情報

JVN脆弱性詳細

Microsoft Windows のインターネット認証サービスにおけるネットワークリソースにアクセスされる脆弱性

Title	Microsoft Windows のインターネット認証サービスにおけるネットワークリソースにアクセスされる脆弱性
Summary	Microsoft Windows のインターネット認証サービスには、MS-CHAP v2 を使用する PEAP 認証リクエストの認証情報が適切に検証されないため、ネットワークリソースにアクセスされる可能性があります。
Possible impacts	リモートの攻撃者により、不正なリクエストを介して、ネットワークリソースにアクセスされる可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Dec. 8, 2009, midnight
Registration Date	Jan. 22, 2010, 10:24 a.m.
Last Update	Jan. 22, 2010, 10:24 a.m.

Affected System

マイクロソフト

Microsoft Windows 2000

Microsoft Windows Server 2003

Microsoft Windows Server 2003 (itanium)

Microsoft Windows Server 2003 (x64)

Microsoft Windows Server 2008 (itanium)

Microsoft Windows Server 2008 (x64)

Microsoft Windows Server 2008 (x86)

Microsoft Windows Vista

Microsoft Windows Vista (x64)

Microsoft Windows XP (x64)

Microsoft Windows XP sp3

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-3677	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3677
National Vulnerability Database (NVD)
2	CVE-2009-3677	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3677

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-255	https://jvndb.jvn.jp/ja/cwe/CWE-255.html
2	CWE-94	https://jvndb.jvn.jp/ja/cwe/CWE-94.html

ベンダー情報

No	Name	URL
Microsoft Security Bulletin
1	MS09-071	http://www.microsoft.com/technet/security/bulletin/ms09-071.mspx
マイクロソフトセキュリティ情報
2	MS09-071	http://www.microsoft.com/japan/technet/security/bulletin/ms09-071.mspx
富士通セキュリティ情報
3	TA09-342A	http://software.fujitsu.com/jp/security/vulnerabilities/ta09-342a.html
絵でみるセキュリティ情報
4	MS09-071e	http://www.microsoft.com/japan/security/bulletins/ms09-071e.mspx

その他

No	Name	URL
JPCERT 緊急報告
1	JPCERT-AT-2009-0025	http://www.jpcert.or.jp/at/2009/at090025.txt
JVN
2	JVNTA09-342A	http://jvn.jp/cert/JVNTA09-342A
JVN Status Tracking Notes
3	JVNTR-2009-27	http://jvn.jp/tr/JVNTR-2009-27/index.html
Secunia Advisory
4	SA37543	http://secunia.com/advisories/37543/
SecurityFocus
5	37198	http://www.securityfocus.com/bid/37198
US-CERT Cyber Security Alerts
6	SA09-342A	http://www.us-cert.gov/cas/alerts/SA09-342A.html
US-CERT Technical Cyber Security Alert
7	TA09-342A	http://www.us-cert.gov/cas/techalerts/TA09-342A.html
VUPEN Security
8	VUPEN/ADV-2009-3435	http://www.vupen.com/english/advisories/2009/3435
警察庁 @police
9	マイクロソフト社のセキュリティ修正プログラムについて(MS09-069,070,071,072,073,074)	http://www.npa.go.jp/cyberpolice/#topics

Change Log

No	Changed Details	Date of change
0	[2010年01月22日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2009-3677

Summary	The Internet Authentication Service (IAS) in Microsoft Windows 2000 SP4, XP SP2 and SP3, Server 2003 SP2, Vista Gold and SP1, and Server 2008 Gold does not properly verify the credentials in an MS-CHAP v2 Protected Extensible Authentication Protocol (PEAP) authentication request, which allows remote attackers to access network resources via a malformed request, aka "MS-CHAP Authentication Bypass Vulnerability."
Summary	Internet Authentication Service (IAS) en Microsoft Windows 2000 SP4, XP SP2 y SP3, Server 2003 SP2, Vista Gold y SP1 y Server 2008 Gold no verifica de manera apropiada las credenciales en una petición de autenticación MS-CHAP v2 Protected Extensible Authentication Protocol (PEAP), lo que permite a atacantes remotos tener acceso a recuersos de red mediante una petición malformada. También conocido como "Vulnerabilidad de evasión de autenticación MS-CHAP".
Publication Date	Dec. 10, 2009, 3:30 a.m.
Registration Date	Jan. 29, 2021, 1:24 p.m.
Last Update	April 23, 2026, 9:35 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:o:microsoft:windows_2000::sp4::::::*
cpe:2.3:o:microsoft:windows_server_2003::sp2::::::*
cpe:2.3:o:microsoft:windows_server_2008:::itanium:::::*
cpe:2.3:o:microsoft:windows_server_2008:::x32:::::*
cpe:2.3:o:microsoft:windows_server_2008:::x64:::::*
cpe:2.3:o:microsoft:windows_vista::::::::
cpe:2.3:o:microsoft:windows_vista:::x64:::::*
cpe:2.3:o:microsoft:windows_vista::sp1::::::*
cpe:2.3:o:microsoft:windows_xp::sp2::::::*
cpe:2.3:o:microsoft:windows_xp::sp3::::::*
cpe:2.3:o:microsoft:windows_xp:-:sp2:x64:::::*

Related information, measures and tools

No	URL	refsource
1	http://www.securitytracker.com/id?1023291	secure@microsoft.com
2	http://www.us-cert.gov/cas/techalerts/TA09-342A.html	secure@microsoft.com
3	https://docs.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-071	secure@microsoft.com
4	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A6209	secure@microsoft.com
5	http://www.securitytracker.com/id?1023291	af854a3a-2127-422b-91ae-364da2661108
6	http://www.us-cert.gov/cas/techalerts/TA09-342A.html	af854a3a-2127-422b-91ae-364da2661108
7	https://docs.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-071	af854a3a-2127-422b-91ae-364da2661108
8	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A6209	af854a3a-2127-422b-91ae-364da2661108

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-94	コード・インジェクション	https://cwe.mitre.org/data/definitions/94.html
2	CWE-255	証明書・パスワード管理	https://cwe.mitre.org/data/definitions/255.html

Configuration1	or higher	or less	more than	less than
cpe:2.3:o:microsoft:windows_2000::sp4::::::*
cpe:2.3:o:microsoft:windows_server_2003::sp2::::::*
cpe:2.3:o:microsoft:windows_server_2008:::itanium:::::*
cpe:2.3:o:microsoft:windows_server_2008:::x32:::::*
cpe:2.3:o:microsoft:windows_server_2008:::x64:::::*
cpe:2.3:o:microsoft:windows_vista::::::::
cpe:2.3:o:microsoft:windows_vista:::x64:::::*
cpe:2.3:o:microsoft:windows_vista::sp1::::::*
cpe:2.3:o:microsoft:windows_xp::sp2::::::*
cpe:2.3:o:microsoft:windows_xp::sp3::::::*
cpe:2.3:o:microsoft:windows_xp:-:sp2:x64:::::*