Blackboard製アプリにパスワード漏洩の脆弱性--JVN発表

  • このエントリーをはてなブックマークに追加

 情報処理推進機構セキュリティセンター(IPA/ISEC)とJPCERT コーディネーションセンター(JPCERT/CC)は9月2日、Blackboardが提供する「Blackboard Transactアプリケーション(旧 Blackboard Commerce Suite)」に脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。

 このアプリケーションには、設定ファイル(connection.xml)を暗号化するためのユーティリティ(BbtsConnection_Edit.exe)が同梱されている。connection.xmlを編集する際には、BbtsConnection_Edit.exeは「Password」フィールド以外のフィールドをすべて復号する。

 しかし、Blackboard Transact Suite 3.6 Patch 2(version 3.6.0.2)より前のバージョンでは、ユーザーがconnection.xmlをテキストエディタなどで開き、「Password」フィールドに存在するデータをコピーし「Server」など別のフィールドに貼り付けると、パスワードが平文で表示される。また、自動でバックアップを行うために使用するスクリプトやバッチ(.bat)ファイルには、データベースのユーザー名とパスワードが平文で格納されている問題も存在する。

 この問題が悪用されると、BbtsConnection_Edit.exeとconnection.xmlまたはバックアップ用のスクリプトにアクセス可能な第三者によって、データベースのユーザー名とパスワードが取得される可能性がある。ベンダーによると、BbtsConnection_Edit.exeユーティリティの問題は最新版にアップデートすることで解決する。また、バックアップ用のスクリプトに関する問題については後日アップデートを提供予定だという。

  • このエントリーをはてなブックマークに追加