公開日:2010/09/02 最終更新日:2011/01/31

JVNVU#204055
Blackboard Transact データベースに情報漏えいの脆弱性

概要

Blackboard Transact アプリケーションには、情報漏えいの脆弱性が存在します。

影響を受けるシステム

  • Blackboard Transact Suite 3.6 Patch 2 (version 3.6.0.2) より前のバージョン

詳細情報

Blackboard Transact アプリケーション (旧 Blackboard Commerce Suite) には、 設定ファイル (connection.xml) を暗号化するためのユーティリティ BbtsConnection_Edit.exe が同梱されています。 connection.xml を編集する際には、BbtsConnection_Edit.exe は ”Password” フィールド以外のフィールドをすべて復号します。ユーザが connection.xml をテキストエディタなどで開き、 "Password" フィールドに存在するデータをコピーして、別のフィールド (例: "Server")  に貼り付けを行うと、パスワードは平文で表示されます。

また、Blackboard Transact アプリケーションが自動でバックアップを行うために使用するスクリプトやバッチ (.bat) ファイルには、データベースのユーザ名およびパスワードが平文で格納されている問題も存在します。

想定される影響

BbtsConnection_Edit.exe および connection.xml またはバックアップ用のスクリプトにアクセス可能な第三者によって、データベースのユーザ名およびパスワードが取得される可能性があります。

対策方法

アップデートする
ベンダからの情報によると、Blackboard Transact Suite 3.6 Patch 2 (version 3.6.0.2) にアップデートすることで、BbtsConnection_Edit.exe ユーティリティの問題が解決します。

なお、2010年9月2日現在、バックアップ用のスクリプトに関する問題については対策方法はありません。ベンダからの情報によると、アップデートは後日提供される予定です。

(2011年1月31日 - 追記)
ベンダからの情報によると、Blackboard Transact Suite 3.6 Patch 4 (version 3.6.0.4) にアップデートすることで、バックアップ用のスクリプトに関する問題が解決します。

詳しくは、US-CERT Vulnerability Note VU#204055 - Vendor Information をご確認ください。

ベンダ情報

ベンダ リンク
Blackboard Inc. Blackboard Transact Platform

参考情報

  1. US-CERT Vulnerability Note VU#204055
    Blackboard Transact database credentials disclosure

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia JVNDB-2010-002053

更新履歴

2010/11/05
関連文書に JVN iPedia へのリンクを追加しました。
2011/01/31
対策方法を更新しました。