JVN#81294906
ホームページ・ビルダー付属の CGI サンプルプログラムにおける OS コマンドインジェクションの脆弱性
緊急
日本 IBM が提供するホームページ・ビルダー付属の CGI サンプルプログラムの一部には、OS コマンドインジェクションの脆弱性が存在します。
- ホームページ・ビルダー 11
- ホームページ・ビルダー 10
- ホームページ・ビルダー 10 ライト
- ホームページ・ビルダー V9
- ホームページ・ビルダー V9 ライト
- ホームページ・ビルダー V8
- ホームページ・ビルダー V8 ライト
- ホームページ・ビルダー V7
- ホームページ・ビルダー V7 ライト
- ホームページ・ビルダー V6.5 with HotMedia
- ホームページ・ビルダー V6.5 with HotMedia ライト
- ホームページ・ビルダー V6
- ホームページ・ビルダー V6 ライト
- ホームページ・ビルダー 2001
- ホームページ・ビルダー 2000
- ホームページ・ビルダー V3
- ホームページ・ビルダー V2 バリューパック
のサンプルフォルダに含まれる脆弱性のある CGI サンプルプログラムを設置して実行可能にしているサーバ
なお、製品開発者の情報によると、各バージョンの体験版には、問題のある CGI サンプルプログラムは含まれていないことが確認されています。
ホームページ・ビルダー付属の CGI サンプルプログラムのうち anketo.cgi, kansou.cgi, order.cgi には、入力内容の検査処理が適正に行われないことによる OS コマンドインジェクションの脆弱性が存在します。
ホームページ・ビルダー付属の CGI サンプルプログラムを設置して実行可能にしているサーバにおいて、Web サーバの実行権限で任意のコマンドを実行される可能性があります。
パッチを適用する
開発者が提供する情報をもとに、修正プログラムの適用やサーバに設置している CGI プログラムの修正を行ってください。
製品のサンプルフォルダに置かれている CGI サンプルプログラムは修正プログラムで修正されますが、ユーザのデータやフォルダにすでにコピーされている CGI プログラムや、Web サーバに配置されている CGI プログラムは、手動で修正する必要があります。
詳しくは開発者が提供する情報をご確認下さい。
ホームページ・ビルダーのサンプル CGI の修正方法
| ベンダ | リンク |
| 日本 IBM | ホームページ・ビルダーのサンプル CGI の脆弱性 |
| 富士通 | JVN#81294906に対する富士通の情報 |
2007.05.16における脆弱性分析結果 緊急
| 評価尺度 | 攻撃成立条件 | 評価値 |
|---|---|---|
| 攻撃経路 | インターネット経由からの攻撃が可能。 |
|
| 認証レベル | 匿名もしくは認証なしで攻撃が可能。 |
|
| 攻撃成立に必要なユーザーの関与 | ユーザが何もしなくても攻撃される可能性あり。 |
|
| 攻撃の難易度 | ある程度の専門的知識や運が必要。 |
|
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC がベンダとの調整を行いました。 報告者:加藤 泰文 氏
| JPCERT 緊急報告 | |
| JPCERT REPORT | JPCERT-WR-2007-1901 JPCERT/CC REPORT 2007-05-23 |
| CERT Advisory | |
| NISCC Advisory | |
| TRnotes | |
| CVE |
- 2007/05/17
- ベンダ情報:富士通の情報を追加しました。
- 2007/05/23
- JPCERT REPORT へのリンクを追加しました。
