【詳細情報】Care 2002のセキュリティの脆弱性に対する暫定処置が存在

◆概要：
　病院を始めとする医療機関向けのオープンソースのフリーソフトウェアパッケージCare 2002には、リモート攻撃者がSQLインジェクション攻撃を仕掛けたり、サーバーのファイルを検索したりできる複数の深刻な欠陥が含まれている。

国際

2002.7.26 Fri 12:00

◆概要：
　病院を始めとする医療機関向けのオープンソースのフリーソフトウェアパッケージCare 2002には、リモート攻撃者がSQLインジェクション攻撃を仕掛けたり、サーバーのファイルを検索したりできる複数の深刻な欠陥が含まれている。

◆情報ソース：
　WebAppSec (avart@gmx.de), July 12, 2002

◆キーワード：
　Other: Server application

◆分析：
　（iDEFENSE米国）医療機関向けソフトウェアの選択は細心の注意を払って行う必要がある。HIPAAを始めとする政府規制には、ソフトウェアパッケージが遵守すべき法的義務が定められており、プライバシー法などの問題にも抵触する。

　Care 2002は、きちんと入力データの確認検査をせず、データの衛生管理も行わないため、SQLインジェクションを始めとする複数の攻撃が可能である。全アプリケーションについて、実施前にセキュリティ問題を検査する必要がある。また、攻撃者による数字の操作や、ユーザーがJavaScriptを始めとする機能を無効にしていることが原因で障害が発生する可能性があり、データの確認検査と衛生管理は、クライアント側ではなくサーバー側で行う必要がある。Care 2002の場合、情報の検査ルーチンの多くがクライアント側で行われるため、脆弱となる。

◆検知方法：
　バージョン1.0.01以前のCare 2002で脆弱性が確認されている。

◆暫定処置：
　ウェブサーバーをchroot化するか、サードパーティー製のソフトウェアパッケージから強制アクセス制御を始めとするアクセス制御機構を使用する。ソースコードを編集し、ユーザーの入力データで"addslahes()"を使用する。又は、magic_quotes_qpcを有効設定する。ただし、これには反作用がある可能性がある。従って、まずテストすることを推奨する。

◆ベンダー情報：
　ベンダーは1.0.02でこの問題解決を確約している。しかし、1.0.02は未だに未発表である。

※この情報はアイ・ディフェンス・ジャパン
　（ http://www.idefense.co.jp/ ）より提供いただいております。
　アイディフェンス社の iAlert サービスについて
　 http://shop.vagabond.co.jp/p-alt01.shtml
　情報の内容は以下の時点におけるものです。
　【18:46 GMT、07、15、2002】