【活用ガイド】

JVNDB-2016-002719

SolarWinds Storage Resource Monitor Profiler の Web Services の Web サーバにおける SQL インジェクションの脆弱性

概要

SolarWinds Storage Resource Monitor (SRM) Profiler (旧 Storage Manager (STM)) の Web Services の Web サーバには、SQL インジェクションの脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 9.8 (緊急) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 10.0 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的
影響を受けるシステム


SolarWinds
  • Storage Resource Monitor 6.2.3 未満

想定される影響

第三者により、以下のパラメータを介して、任意の SQL コマンドを実行される可能性があります。

(1) ScriptServlet サーブレットの ScriptSchedule パラメータ
(2) WindowsEventLogsServlet サーブレットの winEventId パラメータ
(3) WindowsEventLogsServlet サーブレットの winEventLog パラメータ
(4) ProcessesServlet サーブレットの processOS パラメータ
(5) BackupExceptionsServlet サーブレットの group パラメータ
(6) BackupExceptionsServlet サーブレットの groupName パラメータ
(7) BackupExceptionsServlet サーブレットの clientName パラメータ
(8) BackupAssociationServlet サーブレットの valDB パラメータ
(9) BackupAssociationServlet サーブレットの valFS パラメータ
(10) HostStorageServlet サーブレットの orderBy パラメータ
(11) HostStorageServlet サーブレットの orderDir パラメータ
(12) DuplicateFilesServlet サーブレットの fileName パラメータ
(13) DuplicateFilesServlet サーブレットの sortField パラメータ
(14) DuplicateFilesServlet サーブレットの sortDirection パラメータ
(15) QuantumMonitorServlet サーブレットの orderFld パラメータ
(16) QuantumMonitorServlet サーブレットの orderDir パラメータ
(17) NbuErrorMessageServlet サーブレットの exitCode パラメータ
(18) UserDefinedFieldConfigServlet サーブレットの udfName パラメータ
(19) UserDefinedFieldConfigServlet サーブレットの displayName パラメータ
(20) UserDefinedFieldConfigServlet サーブレットの udfDescription パラメータ
(21) UserDefinedFieldConfigServlet サーブレットの udfDataValue パラメータ
(22) UserDefinedFieldConfigServlet サーブレットの udfSectionName パラメータ
(23) UserDefinedFieldConfigServlet サーブレットの udfId パラメータ
(24) XiotechMonitorServlet サーブレットの sortField パラメータ
(25) XiotechMonitorServlet サーブレットの sortDirection パラメータ
(26) BexDriveUsageSummaryServlet サーブレットの sortField パラメータ
(27) BexDriveUsageSummaryServlet サーブレットの sortDirection パラメータ
(28) ScriptServlet サーブレットの state パラメータ
(29) FileActionAssignmentServlet サーブレットの assignedNames パラメータ
(30) WindowsEventLogsServlet サーブレットの winEventSource パラメータ
(31) XiotechMonitorServlet サーブレットの name パラメータ
(32) XiotechMonitorServlet サーブレットの ipOne パラメータ
(33) XiotechMonitorServlet サーブレットの ipTwo パラメータ
(34) XiotechMonitorServlet サーブレットの ipThree パラメータ
対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報

SolarWinds
CWEによる脆弱性タイプ一覧  CWEとは?

  1. SQLインジェクション(CWE-89) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2016-4350
参考情報

  1. National Vulnerability Database (NVD) : CVE-2016-4350
更新履歴

  • [2016年05月18日]
      掲載

公表日2016/02/26
登録日2016/05/18
最終更新日2016/05/18