公開日:2014/05/08 最終更新日:2014/05/08
JVNVU#91373286
Caldera に複数の脆弱性
デジタル画像処理用ソフトウェアの Caldera には、複数の脆弱性が存在します。
- Version 9.20 およびそれ以前
デジタル画像処理用ソフトウェアの Caldera には、複数の脆弱性が存在します。
- CWE-22 - Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') -CVE-2014-2933
- CWE-89 - Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') - CVE-2014-2934
- CWE-78 - Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') - CVE-2014-2935
- CWE-627 - Dynamic Variable Evaluation - CVE-2014-2936
第三者によって、次のような影響を受ける可能性があります。
- サーバ OS 上の任意のディレクトリにアクセスされる
- データベース内のデータにアクセスされる
- 任意のOSコマンドを実行される
- 製品内部で使われているPHPコードの変数の値を書き換えられる
2014年5月8日現在、対策方法は不明です。
ワークアラウンドを実施する
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。
- アクセスを制限する
| ベンダ | リンク |
| Caldera | Version 9.20 |
| Costview |
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory | |
| TRnotes | |
| CVE |
CVE-2014-2933 |
|
CVE-2014-2934 |
|
|
CVE-2014-2935 |
|
|
CVE-2014-2936 |
|
| JVN iPedia |
