HOME情報セキュリティ情報セキュリティ対策脆弱性対策脆弱性関連情報取扱い:脆弱性関連情報の調査結果

本文を印刷する

情報セキュリティ

脆弱性関連情報取扱い:脆弱性関連情報の調査結果

独立行政法人 情報処理推進機構
セキュリティセンター

本資料は、JVNで公表した「JVN#81294906:『ホームページ・ビルダー』付属の CGI サンプルプログラムにおける OS コマンド・インジェクションの脆弱性」について解説するものです。

概要

「ホームページ・ビルダー」は、ウェブページを作成するためのソフトウェアです。ウェブサーバで動作する CGI サンプルプログラムが付属しています。

「ホームページ・ビルダー」付属の CGI サンプルプログラムの一部(anketo.cgi, kansou.cgi, order.cgi)には、CGI を通じて、遠隔の第三者によりサーバ上で任意の OS コマンドを実行される可能性があります。

「ホームページ・ビルダー」付属の CGI サンプルプログラムにおける OS コマンド・インジェクションの脆弱性

影響

「ホームページ・ビルダー」付属の CGI サンプルプログラムを設置しているウェブサーバ上で、OS コマンドを実行される可能性があります。その結果、情報を不正に取得・改ざんされる可能性があります。

対策

「ホームページ・ビルダー」付属の CGI サンプルプログラムの利用者は、修正プログラムを適用してください。また、既にウェブサーバで利用中の CGI サンプルプログラムについては、ベンダの情報を参考に修正してください。
対策方法等の最新情報は、JVN#81294906 を参照してください。

本脆弱性の深刻度

(1)評価結果

本脆弱性の深刻度 □ I(注意) ■ II(警告) □ III(危険)
本脆弱性のCVSS基本値   5.1  

(2)CVSS基本値の評価内容

AV:攻撃元区分 □ ローカル □ 隣接 ■ ネットワーク
AC:攻撃条件の複雑さ ■ 高  □ 中  □ 低 
Au:攻撃前の認証要否 □ 複数 □ 単一 ■ 不要
C:機密性への影響
(情報漏えいの可能性)
□ なし ■ 部分的 □ 全面的
I:完全性への影響
(情報改ざんの可能性)
□ なし ■ 部分的 □ 全面的
A:可用性への影響
(業務停止の可能性)
□ なし ■ 部分的 □ 全面的

注)■:選択した評価結果
AV:AccessVector, AC:AccessComplexity, Au:Authentication,
C:ConfidentialityImpact, I:IntegrityImpact, A:AvailabilityImpact

(3)注意事項

 深刻度が低くても、対策をしなくてよいということではありません。本ソフトウェアの利用者は必ず脆弱性対策を実施して下さい。

更新履歴

2007年8月20日 脆弱性の深刻度評価をCVSS v2へ移行
2007年5月16日 掲載