公開日:2006/02/03 最終更新日:2006/02/06

JVN#41550845
長崎県電子県庁システムにおける SQL インジェクションの脆弱性

概要


長崎県が開発し、オープンソースとして公開されている電子県庁システムの一部には、SQL インジェクションの脆弱性が存在します。

影響を受けるシステム

  • 長崎県電子県庁システム年次休暇システム
  • 長崎県電子県庁システムWEB職員録システム
  • 長崎県電子県庁システム文書保管システム

詳細情報

想定される影響


遠隔の第三者により、データベース内容の改ざんやデータの盗難などが行なわれる可能性があります。

対策方法

ベンダ情報

ベンダ リンク
長崎県電子県庁システム オープンソース Toppage

参考情報

  1. IPA
    「長崎県電子県庁システム」における SQL インジェクションの脆弱性

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき
下記の方がIPAに報告し、JPCERT/CCがベンダおよびCERT/CCとの調整を行いました。
報告者: 産業技術総合研究所 情報セキュリティ研究センター 高木 浩光 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia