公開日:2015/12/02 最終更新日:2015/12/02

JVNVU#98418421
Epiphany Cardio Server に SQL インジェクションおよび LDAP インジェクションの脆弱性

概要

Epiphany Healthcare が提供する Cardio Server には SQL インジェクションならびに LDAP インジェクションの脆弱性が存在し、攻撃者は管理者権限を取得することが可能です。

影響を受けるシステム

  • Cardio Server version 4.0 より前のバージョン
本脆弱性は Cardio Server version 3.3 で報告されており、それ以外のバージョンも影響を受ける可能性があります。

詳細情報

SQL インジェクション (CWE-89) - CVE-2015-6537
ログインページの URL に SQL 文を挿入することができるため、第三者が管理者としてログインすることが可能です。

LDAP インジェクション (CWE-90) - CVE-2015-6538
ログインページの URL に LDAP クエリを挿入することができるため、攻撃者の指定した IP アドレスに Cardio Server から LDAP クエリを送信させることが可能です。

Epiphany Healthcare によると、Cardio Server version 3.x は、旧バージョンであること、および動作環境である Windows Server 2003 もサポート終了でセキュリティアップデートが提供されない状況であることから、使用は推奨されないとのことです。

想定される影響

LAN 内の攻撃者によって、認証を回避されたり、患者の情報を取得されたり改ざんされたりする可能性があります。

対策方法

アップデートする
Epiphany Healthcare は脆弱性が報告された version 3.3 以降、すでにいくつかのアップデートをリリースしています。version 4.x および version 5.x では本脆弱性が修正されている可能性はありますが、CERT/CC では、Epiphany Healthcare から情報を得られていません。

ユーザは可能な限り速やかに version 4.x または version 5.x へアップデートすることが推奨されます。問い合わせは、Epiphany Healthcare へご連絡ください。

ベンダ情報

参考情報

  1. CERT/CC Vulnerability Note VU#630239
    Epiphany Cardio Server version 3.3 is vulnerable to SQL and LDAP injection

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
基本値: 8.8
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)
CVSS v2 AV:A/AC:L/Au:N/C:C/I:C/A:C
基本値: 8.3
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2015-6537
CVE-2015-6538
JVN iPedia