製品・ソフトウェアに関する情報

JVN脆弱性詳細

Microsoft Windows の Active Directory フェデレーションサービスのシングルサインオン実装における認証情報を取得される脆弱性

タイトル	Microsoft Windows の Active Directory フェデレーションサービスのシングルサインオン実装における認証情報を取得される脆弱性
概要	Microsoft Windows の Active Directory フェデレーションサービスのシングルサインオン実装には、ネットワークセッションの終了時に認証情報が適切に削除されないため、認証情報を取得される脆弱性が存在します。
想定される影響	物理的にアクセス可能な攻撃者により、ブラウザのキャッシュからデータを使用することによって同じブラウザを使用した以前のユーザの認証情報を取得される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2009年12月8日0:00
登録日	2010年1月22日10:27
最終更新日	2010年1月22日10:27

影響を受けるシステム

マイクロソフト

Microsoft Windows Server 2003

Microsoft Windows Server 2003 (x64)

Microsoft Windows Server 2008 (x64)

Microsoft Windows Server 2008 (x86)

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-2508	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2508
National Vulnerability Database (NVD)
2	CVE-2009-2508	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-2508

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-255	https://jvndb.jvn.jp/ja/cwe/CWE-255.html

ベンダー情報

No	名前	URL
Microsoft Security Bulletin
1	MS09-070	http://www.microsoft.com/technet/security/bulletin/ms09-070.mspx
マイクロソフトセキュリティ情報
2	MS09-070	http://www.microsoft.com/japan/technet/security/bulletin/ms09-070.mspx
富士通セキュリティ情報
3	TA09-342A	http://software.fujitsu.com/jp/security/vulnerabilities/ta09-342a.html
絵でみるセキュリティ情報
4	MS09-070e	http://www.microsoft.com/japan/security/bulletins/ms09-070e.mspx

その他

No	名前	URL
JPCERT 緊急報告
1	JPCERT-AT-2009-0025	http://www.jpcert.or.jp/at/2009/at090025.txt
JVN
2	JVNTA09-342A	http://jvn.jp/cert/JVNTA09-342A
JVN Status Tracking Notes
3	JVNTR-2009-27	http://jvn.jp/tr/JVNTR-2009-27/index.html
Secunia Advisory
4	SA37542	http://secunia.com/advisories/37542/
SecurityFocus
5	37215	http://www.securityfocus.com/bid/37215
US-CERT Cyber Security Alerts
6	SA09-342A	http://www.us-cert.gov/cas/alerts/SA09-342A.html
US-CERT Technical Cyber Security Alert
7	TA09-342A	http://www.us-cert.gov/cas/techalerts/TA09-342A.html
VUPEN Security
8	VUPEN/ADV-2009-3434	http://www.vupen.com/english/advisories/2009/3434
警察庁 @police
9	マイクロソフト社のセキュリティ修正プログラムについて(MS09-069,070,071,072,073,074)	http://www.npa.go.jp/cyberpolice/#topics

変更履歴

No	変更内容	変更日
0	[2010年01月22日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2009-2508

概要	The single sign-on implementation in Active Directory Federation Services (ADFS) in Microsoft Windows Server 2003 SP2 and Server 2008 Gold and SP2 does not properly remove credentials at the end of a network session, which allows physically proximate attackers to obtain the credentials of a previous user of the same web browser by using data from the browser's cache, aka "Single Sign On Spoofing in ADFS Vulnerability."
公表日	2009年12月10日3:30
登録日	2021年1月29日13:20
最終更新日	2019年2月26日23:04

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:o:microsoft:windows_server_2003::sp2::::::*
cpe:2.3:o:microsoft:windows_server_2008:::x32:::::*
cpe:2.3:o:microsoft:windows_server_2008:::x64:::::*
cpe:2.3:o:microsoft:windows_server_2008::sp2:x32:::::
cpe:2.3:o:microsoft:windows_server_2008::sp2:x64:::::

No	URL	refsource	タグ
1	http://www.us-cert.gov/cas/techalerts/TA09-342A.html	CERT	US Government Resource
2	https://docs.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-070	MS
3	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A5882	OVAL