Openbravo ERP における XML 外部実体参照による情報漏えいの脆弱性(Scan Tech Report)
Openbravo ERP には、XML の解析処理に起因する情報漏えいの脆弱性が存在します。
脆弱性と脅威
エクスプロイト
Openbravo ERP には、XML の解析処理に起因する情報漏えいの脆弱性が存在します。Openbravo ERP のアカウントを有するユーザに当該脆弱性を悪用されると、Openbravo ERP が設置された Web サーバ上の情報を窃取される可能性があります。
2.深刻度(CVSS)
3.5
http://nvd.nist.gov/cvss.cfm?name=CVE-2013-3617&vector=(AV:N/AC:M/Au:S/C:P/I:N/A:N)&version=2
3.影響を受けるソフトウェア
Openbravo ERP 2.5 およびそれ以前のバージョン
Openbravo ERP 3.0 およびそれ以前のバージョン
なお、Openbravo ERP は、3.0MP26.1 のようにさらに細かいバージョンで管理されています。筆者が確認した範囲では、3.0MP26 は未対策で 3.0MP26.1 は対策されていました。
4.解説
Openbravo ERP は、Openbravo 社が提供する、中小企業向けの業務を支援するソフトウェアです。
Openbravo ERP には XML の解析処理に不備があり、XML 外部実体参照が有効になっているため、細工された XML データを送信することで、サーバ内の情報を窃取されてしまう脆弱性が存在します。
この脆弱性は、XXE (XML eXternal Entity) Vulnerabitity とも呼ばれています。Facebook や Google のサービスにも XXE の脆弱性が存在していました(*1)(*2)。
受け取った XML データをどのように処理するのかによって、脆弱性を悪用された場合の影響が異なります。今回の Openbravo ERP の脆弱性は、OpenbravoERP にログイン可能なユーザが、Openbravo ERP の動作権限でサーバ上の任意の情報が取得可能です。サーバのアカウントを有していなくとも、OpenbravoERP のアカウントを有していれば、サーバ上の情報を窃取することが可能になります。
(*1): http://thehackernews.com/2014/01/facebook-hacker-received-33500-reward.html
(*2): http://www.securatary.com/Portals/0/Vulnerabilities/Google/Google%20XXE%20Attack.pdf
5.対策
Openbravo ERP の最新バージョンにアップデートすることで、この脆弱性を解
消することが可能です。以下の Web サイトより、最新バージョンが入手可能
です。
Openbravo ERP | Free Business & Enterprise software downloads at SourceForge.net
http://sourceforge.net/projects/openbravo/
なお、修正内容は下記ページで確認が可能です。
devel/pi: changeset 21008:b975d72dec38
https://code.openbravo.com/erp/devel/pi/rev/b975d72dec38be6c7a9ca8444a98db8924647c1a
6.ソースコード
(Web非公開)
(執筆:株式会社ラック サイバー・グリッド研究所)
※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録(有料)下さい。
Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html
ソース・関連リンク
関連記事
-
Apache Commons FileUpload のマルチパートリクエストの処理に起因する DoS の脆弱性(Scan Tech Report)
-
Microsoft Internet Explorer の CTreeNode オブジェクトの取り扱いに起因する解放済みメモリ使用の脆弱性(Scan Tech Report)
-
Microsoft Internet Explorer の CMarkup オブジェクトの取り扱いに起因する 0-Day エクスプロイト(Scan Tech Report)
-
Microsoft Windows の Win32k.sys ドライバの実装に起因する整数オーバーフローの脆弱性(Scan Tech Report)
Scan PREMIUM 会員限定記事
もっと見る-
研修・セミナー・カンファレンスマルチクラウドの認証情報管理の勘所 ~ ノックするのは俺(IAM)だ
Blackhat USA 2022において「IAM The One Who Knocks」というタイトルのセミナーがあった。ドラマのセリフにかけたタイトルだが、IAMはIdentity and Access Managementのことだ。つまり、クラウドサービスにおける認証アカウントのことを指す。
-
インターネットアーカイブが出版大手四社に破壊される可能性
3 月 20 日月曜日、大手出版 4 社はニューヨークの裁判所に対し、非営利団体のインターネットアーカイブが運営するオンラインライブラリーを閉鎖し、同団体に損害賠償責任を求める著作権侵害訴訟について略式判決を認めるよう要請した。
-
今日もどこかで情報漏えい 第9回「2023年2月の情報漏えい」メール誤送信で懲戒 ほか
病院は、故意であると断定はできないが当該医師の過失責任は重大であるとし、出勤停止 2 か月間の懲戒処分を行ったが、本人が依願退職した。
-
ランサムウェア感染を隠蔽したソフトウェア企業の末路
2020 年 5 月、Blackbaud はランサムウェアに感染し、黙って犯人に支払いを済ませたが、同年 7 月までセキュリティ侵害について顧客に知らせなかった。
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ
ガスと電気 二大生活インフラにフィッシング注意喚起 ~ 東京ガス 東京電力
ACCS、「海賊版ソフト利用に法的措置」メールに注意呼びかけ
大分銀行、偽のフィッシングサイト例を取り上げ注意を呼びかけ
baserCMS に任意のファイルをアップロードされる脆弱性
Proofpoint Blog 第23回「返信しちゃだめ!ロシアの攻撃グループ「TA499」からのディープフェイクビデオ通話」
エレコム製法人向けアクセスポイント管理ツール WAB-MAT に登録される Windows サービスの実行ファイルパスが引用符で囲まれていない脆弱性
インシデント・事故 記事一覧へ
福岡県暴力追放運動推進センターにて架空請求詐欺未遂、県民に注意喚起
デジタル庁が確定申告での郵送通知を複数発送
古河電池の今市事業所の社員パソコンがEmotet感染
会津大学でドッペルゲンガードメイン「gmai.com」に誤送信、他機関の事例を受け調査
放送映画製作所のサーバにランサムウェア攻撃、情報が外部流出した可能性を完全に否定できず
今日もどこかで情報漏えい 第9回「2023年2月の情報漏えい」メール誤送信で懲戒 ほか
調査・レポート・白書・ガイドライン 記事一覧へ
ビジネスの事情把握し絶妙なラインでセキュリティを提案し実行 ~ CAのセキュリティ選任組織
制御システムのセキュリティ自己評価ツール「J-CLICS攻撃経路対策編」を公式が解説
不正アクセス後にとった行動 ~ 3位 盗み見 2位 不正購入
選定時に参考にする第三者認証サービス「クラウドに関するセキュリティ認証」最多
顧客へのフィッシング対策「特に行っていない」38%最多、警察庁調査
日本シーサート協議会「サイバー攻撃演習/訓練実施マニュアル」と解説動画公開
研修・セミナー・カンファレンス 記事一覧へ
マルチクラウドの認証情報管理の勘所 ~ ノックするのは俺(IAM)だ
Azure AD おまえもか、クラウド オンプレ両参加のデバイスに潜む危険
NECソリューションイノベータが提供する「ゼロトラスト」のレシピと製法 ~ 3/23 オンラインセミナー開催
おろそかになるゲートウェイ「2022年の事件事故から考えるセキュリティ運用」ウェビナー開催
OSINT を安易に考えるな ~ 日本ハッカー協会 杉浦氏講演
