公開日:2015/10/01 最終更新日:2015/10/01

JVNVU#96725367
Datalex のエアライン予約ソフトウェアに認証回避の脆弱性

概要

Datalex 社は、航空業界向けに、フライト情報閲覧、予約、支払い、分析等を支援するソフトウェアを提供しています。Datalex のエアライン予約ソフトウェアには、エラー処理の不備に起因する認証回避の脆弱性が存在します。

影響を受けるシステム

  • Datalex のエアライン予約ソフトウェア

詳細情報

ユーザ制御のキーによる認証回避 (CWE-639) - CVE-2015-2858
攻撃者は、データベースに問い合わせを行う際の HTTP POST リクエストのパラメータを変更することで、空の応答を返すよう仕向けます。空の応答に対するエラー処理の内容に問題があり、これを利用して任意のアカウントを乗っ取ることが可能です。ValidateFormAction.do や ProfileConfirmEditAddressAction.do に対する POST リクエストの profileId パラメータを細工する方法が報告されています。

想定される影響

すべてのユーザのデータを取得される可能性があります。また、遠隔の攻撃者によって、任意のユーザのデータを変更される可能性があります。本脆弱性の影響はサーバの設定により異なります。

対策方法

ユーザによる対策の必要はありません
開発者によると、本脆弱性の修正対応は完了しており、2015/09/03 時点において、影響を受けるすべての航空会社でアップデートを完了しているとのことです。

ベンダ情報

ベンダ リンク
Datalex Omni Channel | Airline Retail | Airline Ancillary Revenues

参考情報

  1. CERT/CC Vulnerability Note VU#693036
    Datalex airline booking software allowed authorization bypass for arbitrary users

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2015.10.01における脆弱性分析結果(CVSS Base Metrics)

CVSSとは

評価尺度 評価値 説明
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N) ネットワーク経由でリモートから攻撃可能
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L) 攻撃成立に必要な条件はない
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N) 認証は不要
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C) 全ての情報が漏えいする
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C) 情報の正確さや完全さは損なわれない
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C) システムの使用は阻害されない

Base Score:7.8

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2015-2858
JVN iPedia