JVNDB-2007-000395

[English]
JVNDB-2007-000395
ホームページ・ビルダー付属の CGI サンプルプログラムにおける OS コマンドインジェクションの脆弱性
概要
日本 IBM が提供するホームページ・ビルダー付属の CGI サンプルプログラムの一部 anketo.cgi, kansou.cgi, order.cgi には、入力内容の検査処理が適正に行われないことによる OS コマンドインジェクションの脆弱性が存在します。なお、製品開発者の情報によると、各バージョンの体験版には、問題のある CGI サンプルプログラムは含まれていないことが確認されています。

CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 5.1 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃前の認証要否: 不要機密性への影響(C): 部分的完全性への影響(I): 部分的可用性への影響(A): 部分的
影響を受けるシステム

IBM ホームページ・ビルダー 11 ホームページ・ビルダー 10 ホームページ・ビルダー 10 ライトホームページ・ビルダー V9 ホームページ・ビルダー V9 ライトホームページ・ビルダー V8 ホームページ・ビルダー V8 ライトホームページ・ビルダー V7 ホームページ・ビルダー V7 ライトホームページ・ビルダー V6.5 with HotMedia ホームページ・ビルダー V6.5 with HotMedia ライトホームページ・ビルダー V6 ホームページ・ビルダー V6 ライトホームページ・ビルダー 2001 ホームページ・ビルダー 2000 ホームページ・ビルダー V3 ホームページ・ビルダー V2 バリューパック

想定される影響
ホームページ・ビルダー付属の CGI サンプルプログラムを設置して実行可能にしているサーバにおいて、Web サーバの実行権限で任意のコマンドを実行される可能性があります。
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。製品のサンプルフォルダに置かれている CGI サンプルプログラムは修正プログラムで修正されますが、ユーザのデータやフォルダにすでにコピーされている CGI プログラムや、Web サーバに配置されている CGI プログラムは、手動で修正する必要があります。詳しくは日本 IBM が提供する情報をご確認下さい。
ベンダ情報
IBM 日本 IBM : ホームページ・ビルダーのサンプル CGI の脆弱性について富士通富士通セキュリティ情報 : 日本IBM社ホームページ・ビルダーに添付のサンプルCGIの脆弱性に関するお知らせ富士通公開脆弱性情報 : ホームページ・ビルダー付属の CGI サンプルプログラムにおける OS コマンドインジェクションの脆弱性
CWEによる脆弱性タイプ一覧 CWEとは?

共通脆弱性識別子(CVE) CVEとは?

参考情報
JVN : JVN#81294906 JPCERT REPORT : JPCERT-WR-2007-1901 IPA セキュリティセンター : JVN_81294906
更新履歴
[2007年06月05日] 掲載


公表日	2007/05/16
登録日	2007/06/05
最終更新日	2007/06/05

ホームページ・ビルダー付属の CGI サンプルプログラムにおける OS コマンドインジェクションの脆弱性