製品・ソフトウェアに関する情報

JVN脆弱性詳細

Apache Traffic Control における重要なリソースに対する不適切なパーミッションの割り当てに関する脆弱性

タイトル	Apache Traffic Control における重要なリソースに対する不適切なパーミッションの割り当てに関する脆弱性
概要	Apache Traffic Control には、重要なリソースに対する不適切なパーミッションの割り当てに関する脆弱性が存在します。
想定される影響	情報を改ざんされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2020年8月12日0:00
登録日	2021年10月5日17:56
最終更新日	2021年10月5日17:56

影響を受けるシステム

Apache Software Foundation

Apache Traffic Control 3.0.0 から 3.1.0

Apache Traffic Control 4.0.0 から 4.1.0

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2020-17522	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-17522
National Vulnerability Database (NVD)
2	CVE-2020-17522	https://nvd.nist.gov/vuln/detail/CVE-2020-17522
Pony Mail
3	CVE-2020-17522: Mid Tier Cache Manipulation Attack	https://lists.apache.org/thread.html/r3de212a3da73bcf98fa2db7eafb75b2eb8e131ff466e6efc4284df09%40%3Cdev.trafficcontrol.apache.org%3E

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-732	https://cwe.mitre.org/data/definitions/732.html

ベンダー情報

No	名前	URL
Pony Mail
1	[trafficcontrol-website] branch asf-site updated: Fix CVE-2020-17522 link	https://lists.apache.org/thread.html/r3c675031ac220b5eae64a9c84a03ee60045c6045738607dca4a96cb8@%3Ccommits.trafficcontrol.apache.org%3E

変更履歴

No	変更内容	変更日
1	[2021年10月05日] 掲載	2021年10月5日17:56

NVD脆弱性情報

CVE-2020-17522

概要	When ORT (now via atstccfg) generates ip_allow.config files in Apache Traffic Control 3.0.0 to 3.1.0 and 4.0.0 to 4.1.0, those files include permissions that allow bad actors to push arbitrary content into and remove arbitrary content from CDN cache servers. Additionally, these permissions are potentially extended to IP addresses outside the desired range, resulting in them being granted to clients possibly outside the CDN arcitechture.
公表日	2021年1月27日3:15
登録日	2021年1月27日12:09
最終更新日	2024年11月21日14:08

影響を受けるソフトウェアの構成

関連情報、対策とツール

No	URL	タグ
1	https://lists.apache.org/thread.html/r3c675031ac220b5eae64a9c84a03ee60045c6045738607dca4a96cb8%40%3Ccommits.trafficcontrol.apache.org%3E
2	https://lists.apache.org/thread.html/r3c675031ac220b5eae64a9c84a03ee60045c6045738607dca4a96cb8%40%3Ccommits.trafficcontrol.apache.org%3E
3	https://lists.apache.org/thread.html/r3de212a3da73bcf98fa2db7eafb75b2eb8e131ff466e6efc4284df09%40%3Cdev.trafficcontrol.apache.org%3E	Mailing List Vendor Advisory
4	https://lists.apache.org/thread.html/r3de212a3da73bcf98fa2db7eafb75b2eb8e131ff466e6efc4284df09%40%3Cdev.trafficcontrol.apache.org%3E	Mailing List Vendor Advisory
5	https://lists.apache.org/thread.html/rc8bfd7d4f71d61e9193efcd4699eccbab3c202ec1d75ed9d502f08bf%40%3Ccommits.trafficcontrol.apache.org%3E
6	https://lists.apache.org/thread.html/rc8bfd7d4f71d61e9193efcd4699eccbab3c202ec1d75ed9d502f08bf%40%3Ccommits.trafficcontrol.apache.org%3E

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-732	重要なリソースに対する不適切なパーミッションの割り当て	https://cwe.mitre.org/data/definitions/732.html