情報処理推進機構セキュリティセンター(IPA/ISEC)とJPCERT コーディネーションセンター(JPCERT/CC)は9月2日、Blackboardが提供する「Blackboard Transactアプリケーション(旧 Blackboard Commerce Suite)」に脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。
このアプリケーションには、設定ファイル(connection.xml)を暗号化するためのユーティリティ(BbtsConnection_Edit.exe)が同梱されている。connection.xmlを編集する際には、BbtsConnection_Edit.exeは「Password」フィールド以外のフィールドをすべて復号する。
しかし、Blackboard Transact Suite 3.6 Patch 2(version 3.6.0.2)より前のバージョンでは、ユーザーがconnection.xmlをテキストエディタなどで開き、「Password」フィールドに存在するデータをコピーし「Server」など別のフィールドに貼り付けると、パスワードが平文で表示される。また、自動でバックアップを行うために使用するスクリプトやバッチ(.bat)ファイルには、データベースのユーザー名とパスワードが平文で格納されている問題も存在する。
この問題が悪用されると、BbtsConnection_Edit.exeとconnection.xmlまたはバックアップ用のスクリプトにアクセス可能な第三者によって、データベースのユーザー名とパスワードが取得される可能性がある。ベンダーによると、BbtsConnection_Edit.exeユーティリティの問題は最新版にアップデートすることで解決する。また、バックアップ用のスクリプトに関する問題については後日アップデートを提供予定だという。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
誰でも、かんたん3D空間作成
企業や自治体、教育機関で再び注目を集める
身近なメタバース活用を実現する
ビジネスの推進には必須!
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
CES2024で示した未来
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
データ統合のススメ
OMO戦略や小売DXの実現へ
顧客満足度を高めるデータ活用5つの打ち手
写真で見る「Ai Pin」--手のひらに投影できるウェアラブルAIデバイス 
注目集めた指輪型にEV、「主役」はスマホからAIへ--MWC Barcelona 2024振り返り、日本企業は存在感高められるか 
レトロかわいいAIデバイス「rabbit r1」を体験--新たなトレンドを作れるか?