製品・ソフトウェアに関する情報

JVN脆弱性詳細

Nullsoft SHOUTcast DSP におけるディレクトリトラバーサルの脆弱性

タイトル	Nullsoft SHOUTcast DSP におけるディレクトリトラバーサルの脆弱性
概要	Nullsoft SHOUTcast DSP は、デコード前にディレクトリトラバーサルシーケンスをフィルタするため、ディレクトリトラバーサルの脆弱性が存在します。
想定される影響	第三者により、"/content" を含むファイルパスへの HTTP GET リクエスト内のエンコードされたドットドット (%2E%2E) シーケンスを介して、任意のファイルを読まれる可能性があります。
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
公表日	2006年7月12日0:00
登録日	2012年12月20日18:02
最終更新日	2012年12月20日18:02

影響を受けるシステム

Nullsoft

shoutcast server 1.9.6 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2006-3534	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3534
National Vulnerability Database (NVD)
2	CVE-2006-3534	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2006-3534

ベンダー情報

No	名前	URL
Nullsoft
1	Top Page	http://www.shoutcast.com/

変更履歴

No	変更内容	変更日
0	[2012年12月20日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2006-3534

概要	Directory traversal vulnerability in Nullsoft SHOUTcast DSP before 1.9.6 filters directory traversal sequences before decoding, which allows remote attackers to read arbitrary files via encoded dot dot (%2E%2E) sequences in an HTTP GET request for a file path containing "/content".
概要	This vulnerability is addressed in the following product releases: Nullsoft, SHOUTcast DSP, 1.9.6 Nullsoft, SHOUTcast DSP, 1.9.7
公表日	2006年7月13日6:05
登録日	2021年1月29日15:41
最終更新日	2011年3月8日11:38

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:nullsoft:shoutcast_server:1.7.1::linux:::::
cpe:2.3:a:nullsoft:shoutcast_server:1.8.2:::::::*
cpe:2.3:a:nullsoft:shoutcast_server:1.8.3:::::::*
cpe:2.3:a:nullsoft:shoutcast_server:1.8.3::win32:::::
cpe:2.3:a:nullsoft:shoutcast_server:1.8.9:::::::*
cpe:2.3:a:nullsoft:shoutcast_server:1.8.9::freebsd:::::
cpe:2.3:a:nullsoft:shoutcast_server:1.8.9::linux:::::
cpe:2.3:a:nullsoft:shoutcast_server:1.8.9::mac_os_x:::::
cpe:2.3:a:nullsoft:shoutcast_server:1.8.9::solaris:::::
cpe:2.3:a:nullsoft:shoutcast_server:1.8.9::win32:::::
cpe:2.3:a:nullsoft:shoutcast_server:1.9.2:::::::*
cpe:2.3:a:nullsoft:shoutcast_server:1.9.2::win32:::::
cpe:2.3:a:nullsoft:shoutcast_server:1.9.4::linux:::::
cpe:2.3:a:nullsoft:shoutcast_server:1.9.4::mac_os_x:::::
cpe:2.3:a:nullsoft:shoutcast_server:1.9.4::win32:::::
cpe:2.3:a:nullsoft:shoutcast_server::::::::		1.9.5
cpe:2.3:a:nullsoft:shoutcast_server:1.9.5::linux:::::
cpe:2.3:a:nullsoft:shoutcast_server:1.9.5::mac_os_x:::::
cpe:2.3:a:nullsoft:shoutcast_server:1.9.5::win32:::::

構成1	以上	以下	より上	未満
cpe:2.3:a:nullsoft:shoutcast_server:1.7.1::linux:::::
cpe:2.3:a:nullsoft:shoutcast_server:1.8.2:::::::*
cpe:2.3:a:nullsoft:shoutcast_server:1.8.3:::::::*
cpe:2.3:a:nullsoft:shoutcast_server:1.8.3::win32:::::
cpe:2.3:a:nullsoft:shoutcast_server:1.8.9:::::::*
cpe:2.3:a:nullsoft:shoutcast_server:1.8.9::freebsd:::::
cpe:2.3:a:nullsoft:shoutcast_server:1.8.9::linux:::::
cpe:2.3:a:nullsoft:shoutcast_server:1.8.9::mac_os_x:::::
cpe:2.3:a:nullsoft:shoutcast_server:1.8.9::solaris:::::
cpe:2.3:a:nullsoft:shoutcast_server:1.8.9::win32:::::
cpe:2.3:a:nullsoft:shoutcast_server:1.9.2:::::::*
cpe:2.3:a:nullsoft:shoutcast_server:1.9.2::win32:::::
cpe:2.3:a:nullsoft:shoutcast_server:1.9.4::linux:::::
cpe:2.3:a:nullsoft:shoutcast_server:1.9.4::mac_os_x:::::
cpe:2.3:a:nullsoft:shoutcast_server:1.9.4::win32:::::
cpe:2.3:a:nullsoft:shoutcast_server::::::::		1.9.5
cpe:2.3:a:nullsoft:shoutcast_server:1.9.5::linux:::::
cpe:2.3:a:nullsoft:shoutcast_server:1.9.5::mac_os_x:::::
cpe:2.3:a:nullsoft:shoutcast_server:1.9.5::win32:::::

No	URL	refsource	タグ
1	http://bugs.gentoo.org/show_bug.cgi?id=136721	MISC
2	http://people.ksp.sk/~goober/advisory/001-shoutcast.html	MISC	Exploit Patch Vendor Advisory
3	http://secunia.com/advisories/20524	SECUNIA	Exploit Patch Vendor Advisory
4	http://security.gentoo.org/glsa/glsa-200607-05.xml	GENTOO	Exploit Patch
5	http://securitytracker.com/id?1016493	SECTRACK
6	http://www.shoutcast.com/#news	CONFIRM	Patch
7	http://www.vupen.com/english/advisories/2006/2801	VUPEN