JVNDB-2013-004809
|
SAP Sybase Adaptive Server Enterprise に XML インジェクションの脆弱性
|
|
SAP Sybase Adaptive Server Enterprise (ASE) には、XML インジェクションの脆弱性が存在します。
SAP Sybase Adaptive Server Enterprise (ASE) には、XML インジェクション (CWE-91) の脆弱性が存在します。
本脆弱性は、XML 外部実体参照 (XXE) の問題に起因するものです。
CWE-91: XML Injection (aka Blind XPath Injection)
http://cwe.mitre.org/data/definitions/91.html
XML 外部実体参照 (XXE) の問題
https://www.owasp.org/index.php/XML_External_Entity_%28XXE%29_Processing
|
|
CVSS v2 による深刻度
基本値: 4.0 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 単一
- 機密性への影響(C): 部分的
- 完全性への影響(I): なし
- 可用性への影響(A): なし
|
|
|
SAP
- SAP Adaptive Server Enterprise Version 15.7 ESD 2 およびそれ以前
|
|
|
当該製品のユーザによって、他のユーザの認証情報を取得される可能性があります。結果として、管理者権限でシステムにアクセスされる可能性があります。
|
|
[パッチを適用する]
開発者が提供する情報をもとに、パッチを適用してください。
開発者が提供する情報
http://www.sybase.com/downloads
[ワークアラウンドを実施する]
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
* OWASP XML External Entity (XXE) Processing を参考に、XML のパースに使用されている SAXParserFactory の外部実体参照機能を無効にする
OWASP XML External Entity (XXE) Processing
https://www.owasp.org/index.php/XML_External_Entity_%28XXE%29_Processing
|
|
SAP
サイベース
|
|
- コード・インジェクション(CWE-94) [NVD評価]
|
|
- CVE-2013-6025
|
|
- JVN : JVNVU#97158970
- National Vulnerability Database (NVD) : CVE-2013-6025
- US-CERT Vulnerability Note : VU#303900
- 関連文書 : XML External Entity (XXE) Processing
|
|
|
