| 公開日 |
 |
2005年10月21日 |
| 最終更新日 |
2007年11月29日 |
|
2007年8月20日に(独)情報処理推進機構で「eBASEweb脆弱性の深刻度評価」が指摘された件、
未だに脆弱性が存在するかのような誤報が意図的に流布されているようですが、
下記の通り2005年中に全て解決済みですので、ここに改めてご報告させて頂きます。 |
|
| ■ 概要 |
|
SQLインジェクションの脆弱性悪意を持った知識のあるユーザが、eBASEweb のURLにSQL文を挿入することが可能です。この問題を利用して、悪意のあるユーザは、データベースの一部を破壊
または改ざんできる可能性があります。
対象のソフトウェアは2005年9月以前にご提供させて頂いたeBASEweb ver3.0です
|
|
|
| ■ 対処方法 |
|
(1) Apacheのmod_securityを使ってWebアプリケーションファイアウォールでリクエストを弾くようにしました。
(2) ユーザーからのリクエストパラメータを適切なサニタイズを行いました。
この対処策を単数ないし複数もちいる事により本脆弱性は解消いたしました。
|
|
|
| ■ 対処状況 |
|
|
本件は、2005年中に全て対処が終わっております。
2005年9月以降に出荷したeBASEweb、およびeB-foods webは全て対策済みです。
|
|
|
