公開日:2005/10/21 最終更新日:2007/11/27

JVN#59130192
eBASEweb における SQL インジェクションの脆弱性

概要

eBASE 社のデータ管理ソフトウェア eBASE シリーズのなかのオプション製品 eBASEweb には、ユーザから入力されるデータのサニタイズが不完全なため、SQL インジェクションが可能となる脆弱性が存在します。


影響を受けるシステム

  • eBASEweb version 3.0

詳細情報

想定される影響

遠隔の第三者により、データベース内容の改ざんやデータの盗難などが行なわれる可能性があります。

対策方法

ベンダのアップデートを適用する
ベンダの提供する情報をもとにアップデートを行なってください。


eBase株式会社では、本件への対応として製品の改修を行なうとともに、当該製品を導入済みのユーザに対して通知と対処を行なっています。
2005年9月以降の導入分では、本脆弱性は存在しません。

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
eBASE株式会社 該当製品あり 2005/10/21 eBASE株式会社 の告知ページ

参考情報

  1. IPA
    「eBASEweb」における SQL インジェクションの脆弱性

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき
下記の方がIPAに報告し、JPCERT/CCがベンダおよびCERT/CCとの調整を行いました。
報告者: 藤原 将志 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2005/10/21
eBASE株式会社の JVN#59130192への対応が更新されました。
2005/10/21
eBASE株式会社の JVN#59130192への対応が更新されました。
2005/10/21
eBASE株式会社の JVN#59130192への対応が更新されました。
2007/11/27
対策方法を追加しました。