• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

速報

AssetView for MacOSのサーバー側モジュールにファイル流出やSQLインジェクションの脆弱性

大森 敏行=日経NETWORK 2017/07/18 日経NETWORK

 JPCERTコーディネーションセンター(JPCERT/CC)は2017年7月14日、ハンモックが提供するIT統合管理ソフトウエア「AssetView for MacOS」のサーバー側モジュールである「ファイル転送Webサービス」に二つの脆弱性が存在するとJapan Vulnerability Notes(JVN)で発表した。これらの脆弱性は、リクルートテクノロジーズの西村宗晃氏が報告した。

 一つ目はディレクトリトラバーサルの脆弱性(CWE-22、CVE-2017-2240)。ファイル転送Webサービスのモジュールを導入しているサーバーが攻撃を受けることで、任意のファイルを取得される危険性がある。これによりAssetViewに関する設定情報が参照される可能性があるという。

 二つ目はSQLインジェクションの脆弱性(CWE-89、CVE-2017-2241)。これにより、同モジュールを導入しているサーバーで任意のSQLクエリを実行される危険性がある。これにより、AssetViewのシステムの破損やAssetViewの機能の悪用といった攻撃を受ける可能性があるとする。

 AssetView for MacOS Ver.9.2.0以前のバージョンを利用しているユーザーは、セキュリティ対策パッチ「AssetView ファイル転送WebサービスHotfix」をインストールする必要がある。

[JPCERT/CCのJVNVUでの発表]
[ハンモックによるセキュリティ情報]

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

ネットワーク/通信サービス

セキュリティ

もっと見る