LogiSense社の複数のアプリケーションにSQLインジェクションの可能性

◆概要：
　報道によれば、LogiSense社のHawk-i Billing、Hawk-i ASP、DNS Managerで用いられているログオンフォームにSQLインジェクションの可能性がある。当該記事の掲載時点では、詳細は公開されていない。

国際海外情報

2002.6.14 Fri 12:00

◆概要：
　報道によれば、LogiSense社のHawk-i Billing、Hawk-i ASP、DNS Managerで用いられているログオンフォームにSQLインジェクションの可能性がある。当該記事の掲載時点では、詳細は公開されていない。

　Hawk-i Billingは請求書作成アプリケーションである。Hawk-i ASPは、社内で顧客管理システム、請求書作成システムを維持しながら通常必要とされるコストを削減し、労力を軽減する。DNS Managerは、ベースとなるウェブサービスとの関係を維持しながら大量のドメイン、サブドメインの管理を簡素化するウェブをフル活用した中央ソリューションである。製品の詳細は、
http://www.logisense.com/solutions.html で入手可能。

◆情報ソース：
　BugTraq (Edward Fahner, akatosh@rains.net), June 04, 2002

キーワード：Other: Server application

◆分析：
　（iDEFENSE米国）SQLインジェクションにより、SQLコマンドを作成、または既存のSQLコマンドを変更して、本来ならばアクセスできないデータにアクセスしたり、場合によってはホストでシステムレベルのコマンドを実行したりできる。攻撃の成否は、入力の検証ルーチンが存在しないか、または不十分かどうかによる。多くのウェブアプリケーションで用いられているセキュリティモデルでは、SQLクエリーは信頼できるコマンドであると想定されている。すなわち、SQLクエリーはアクセスコントロールを回避でき、その結果、標準的な認証や認証チェック、この場合はログオンフォームを回避する。場合によっては、SQLクエリーがホストのオペレーティングシステムレベルのコマンドにアクセスできる可能性がある。

◆検知方法：
　上述のアプリケーションの全バージョンで、問題がある可能性がある。

※この情報はアイ・ディフェンス・ジャパン
　（ http://www.idefense.co.jp/ ）より提供いただいております。
　アイディフェンス社の iAlert サービスについて
　 http://shop.vagabond.co.jp/p-alt01.shtml
　情報の内容は以下の時点におけるものです。
　【17:51 GMT、06、04、2002】