公開日:2011/01/14 最終更新日:2011/03/28

JVNVU#782567
Objectivity/DB 管理用ツールに認証不備の問題

概要

Objectivity/DB の管理用ツール (例: ookillls, oostopams, etc) には、認証不備の問題が存在します。

影響を受けるシステム

  • Objectivity/DB

詳細情報

Objectivity/DB が提供する複数の管理用ツール (例: ookillls, oostopams, etc) には、認証不備の問題が存在します。第三者がカスタマイズされたスクリプトを使用して、管理用ツールをエミュレートすることで、攻撃が可能です。

想定される影響

遠隔の第三者によって、任意のコマンドを実行される可能性があります。また、データベース内の情報を閲覧されたり、改ざんされたりする可能性があります。

対策方法

2011年1月14日現在、対策方法はありません。

ワークアラウンドを実施する
対策が公開されるまでの間、以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

  • 6779/tcp および 6780/tcp へのアクセスを制限する

ベンダ情報

参考情報

  1. US-CERT Vulnerability Note VU#782567
    Objectivity/DB administration tools lack authentication

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia JVNDB-2011-001036

更新履歴

2011/03/28
関連文書に JVN iPedia へのリンクを追加しました。