【活用ガイド】

[English]

JVNDB-2005-000792

eBASEweb における SQL インジェクションの脆弱性

概要

eBASE 社のデータ管理ソフトウェア eBASE シリーズのなかのオプション製品 eBASEweb には、ユーザから入力されるデータのサニタイズが不完全なため、SQL インジェクションが可能となる脆弱性が存在します。

本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCがベンダおよびCERT/CCとの調整を行いました。報告者: 藤原 将志 氏

CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 7.5 (危険) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): 部分的
影響を受けるシステム


eBASE
  • eBASEweb version 3.0

想定される影響

遠隔の第三者により、データベース内容の改ざんやデータの盗難などが行なわれる可能性があります。
対策

ベンダのアップデートを適用する
ベンダの提供する情報をもとにアップデートを行なってください。
eBase株式会社では、本件への対応として製品の改修を行なうとともに、当該製品を導入済みのユーザに対して通知と対処を行なっています。
2005年9月以降の導入分では、本脆弱性は存在しません。
ベンダ情報

eBASE
CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2005-3333
参考情報

  1. JVN : JVN#59130192
  2. National Vulnerability Database (NVD) : CVE-2005-3333
  3. IPA セキュリティセンター : JVN_59130192
  4. Secunia Advisory : SA17301
  5. SecurityFocus : 15171
  6. ISS X-Force Database : 22834
  7. SecurityTracker : 1015089
  8. OPEN SOURCE VULNERABILITY DATABASE (OSVDB) : 20249
更新履歴

  • [2007年04月01日]
      掲載

公表日2005/10/21
登録日2007/04/01
最終更新日2007/04/01