NVD脆弱性詳細

CVE-2019-3877

概要	A vulnerability was found in mod_auth_mellon before v0.14.2. An open redirect in the logout URL allows requests with backslashes to pass through by assuming that it is a relative URL, while the browsers silently convert backslash characters into forward slashes treating them as an absolute URL. This mismatch allows an attacker to bypass the redirect URL validation logic in apr_uri_parse function.
公表日	2019年3月27日22:29
登録日	2021年1月26日11:42
最終更新日	2024年11月21日13:42

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:mod_auth_mellon_project:mod_auth_mellon::::::apache::*					0.14.2

構成2		以上	以下	より上	未満
cpe:2.3:o:fedoraproject:fedora:29:::::::*

構成3		以上	以下	より上	未満
cpe:2.3:o:redhat:enterprise_linux:7.0:::::::*

構成4	以上	以下	より上	未満
cpe:2.3:o:canonical:ubuntu_linux:18.04::::lts:::
cpe:2.3:o:canonical:ubuntu_linux:18.10:::::::*

関連情報、対策とツール

No	URL	タグ
1	https://access.redhat.com/errata/RHSA-2019:0766
2	https://access.redhat.com/errata/RHSA-2019:0766
3	https://access.redhat.com/errata/RHSA-2019:3421
4	https://access.redhat.com/errata/RHSA-2019:3421
5	https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-3877	Issue Tracking Patch Third Party Advisory
6	https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-3877	Issue Tracking Patch Third Party Advisory
7	https://github.com/Uninett/mod_auth_mellon/commit/62041428a32de402e0be6ba45fe12df6a83bedb8	Patch Third Party Advisory
8	https://github.com/Uninett/mod_auth_mellon/commit/62041428a32de402e0be6ba45fe12df6a83bedb8	Patch Third Party Advisory
9	https://github.com/Uninett/mod_auth_mellon/issues/35	Patch Third Party Advisory
10	https://github.com/Uninett/mod_auth_mellon/issues/35	Patch Third Party Advisory
11	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/CNW5YMC5TLWVWNJEY6AIWNSNPRAMWPQJ/
12	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/CNW5YMC5TLWVWNJEY6AIWNSNPRAMWPQJ/
13	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/X7NLAU7KROWNTHAYSA2S67X347F42L2I/
14	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/X7NLAU7KROWNTHAYSA2S67X347F42L2I/
15	https://usn.ubuntu.com/3924-1/	Third Party Advisory
16	https://usn.ubuntu.com/3924-1/	Third Party Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-601	オープンリダイレクト	https://cwe.mitre.org/data/definitions/601.html

JVN脆弱性情報

mod_auth_mellon におけるオープンリダイレクトの脆弱性

タイトル	mod_auth_mellon におけるオープンリダイレクトの脆弱性
概要	mod_auth_mellon には、オープンリダイレクトの脆弱性が存在します。
想定される影響	情報を取得される、および情報を改ざんされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2019年3月19日0:00
登録日	2019年4月26日10:05
最終更新日	2019年4月26日10:05

影響を受けるシステム

レッドハット

Red Hat Enterprise Linux

Fedora Project

Fedora

Canonical

Ubuntu

UNINETT

mod_auth_mellon 0.14.2 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2019-3877	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3877
National Vulnerability Database (NVD)
2	CVE-2019-3877	https://nvd.nist.gov/vuln/detail/CVE-2019-3877

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-601	https://cwe.mitre.org/data/definitions/601.html

ベンダー情報

No	名前	URL
Fedora Update Notification
1	[SECURITY] Fedora 29 Update: mod_auth_mellon-0.14.0-5.fc29	https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CNW5YMC5TLWVWNJEY6AIWNSNPRAMWPQJ/
2	[SECURITY] Fedora 30 Update: mod_auth_mellon-0.14.2-1.fc30	https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/X7NLAU7KROWNTHAYSA2S67X347F42L2I/
GitHub
3	Fix redirect URL validation bypass	https://github.com/Uninett/mod_auth_mellon/commit/62041428a32de402e0be6ba45fe12df6a83bedb8
4	Open Redirection issue #35	https://github.com/Uninett/mod_auth_mellon/issues/35
Red Hat Bugzilla
5	Bug 1691125	https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-3877
Red Hat Security Advisory
6	RHSA-2019:0766	https://access.redhat.com/errata/RHSA-2019:0766
Ubuntu Security Notice
7	USN-3924-1	https://usn.ubuntu.com/3924-1/

変更履歴

No	変更内容	変更日
1	[2019年04月26日] 掲載	2019年4月26日10:05