Blackboard製アプリにパスワード漏洩の脆弱性--JVN発表

 情報処理推進機構セキュリティセンター(IPA/ISEC)とJPCERT コーディネーションセンター(JPCERT/CC)は9月2日、Blackboardが提供する「Blackboard Transactアプリケーション(旧 Blackboard Commerce Suite)」に脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。

 このアプリケーションには、設定ファイル(connection.xml)を暗号化するためのユーティリティ(BbtsConnection_Edit.exe)が同梱されている。connection.xmlを編集する際には、BbtsConnection_Edit.exeは「Password」フィールド以外のフィールドをすべて復号する。

 しかし、Blackboard Transact Suite 3.6 Patch 2(version 3.6.0.2)より前のバージョンでは、ユーザーがconnection.xmlをテキストエディタなどで開き、「Password」フィールドに存在するデータをコピーし「Server」など別のフィールドに貼り付けると、パスワードが平文で表示される。また、自動でバックアップを行うために使用するスクリプトやバッチ(.bat)ファイルには、データベースのユーザー名とパスワードが平文で格納されている問題も存在する。

 この問題が悪用されると、BbtsConnection_Edit.exeとconnection.xmlまたはバックアップ用のスクリプトにアクセス可能な第三者によって、データベースのユーザー名とパスワードが取得される可能性がある。ベンダーによると、BbtsConnection_Edit.exeユーティリティの問題は最新版にアップデートすることで解決する。また、バックアップ用のスクリプトに関する問題については後日アップデートを提供予定だという。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]