製品・ソフトウェアに関する情報

JVN脆弱性詳細

colord の cd-mapping-db.c および cd-device-db.c における SQL インジェクションの脆弱性

Title	colord の cd-mapping-db.c および cd-device-db.c における SQL インジェクションの脆弱性
Summary	colord の (1) cd-mapping-db.c および (2) cd-device-db.c には、color デバイスおよび (a) device id、(b) property、または (c) profile id に関する処理に不備があるため、SQL インジェクションの脆弱性が存在します。
Possible impacts	ローカルユーザにより、任意の SQL コマンドを実行される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Dec. 10, 2011, midnight
Registration Date	Dec. 13, 2011, 3:10 p.m.
Last Update	Dec. 13, 2011, 3:10 p.m.

Affected System

freedesktop.org

colord 0.1.15 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2011-4349	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-4349
National Vulnerability Database (NVD)
2	CVE-2011-4349	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-4349

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-89	https://jvndb.jvn.jp/ja/cwe/CWE-89.html

ベンダー情報

No	Name	URL
freedesktop.org
1	42904	https://bugs.freedesktop.org/show_bug.cgi?id=42904

Change Log

No	Changed Details	Date of change
0	[2011年12月13日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2011-4349

Summary	Multiple SQL injection vulnerabilities in (1) cd-mapping-db.c and (2) cd-device-db.c in colord before 0.1.15 allow local users to execute arbitrary SQL commands via vectors related to color devices and (a) device id, (b) property, or (c) profile id.
Publication Date	Dec. 11, 2011, 2:55 a.m.
Registration Date	Jan. 28, 2021, 4:39 p.m.
Last Update	Nov. 21, 2024, 10:32 a.m.

Affected software configurations

Related information, measures and tools

No	URL	タグ
1	http://gitorious.org/colord/master/commit/1fadd90afcb4bbc47513466ee9bb1e4a8632ac3b
2	http://gitorious.org/colord/master/commit/36549e0ed255e7dfa7852d08a75dd5f00cbd270e
3	http://lists.fedoraproject.org/pipermail/package-announce/2011-December/070450.html
4	http://lists.fedoraproject.org/pipermail/package-announce/2011-December/070518.html
5	http://secunia.com/advisories/46940	Vendor Advisory
6	http://secunia.com/advisories/47160	Vendor Advisory
7	http://ubuntu.com/usn/usn-1289-1
8	http://www.openwall.com/lists/oss-security/2011/11/25/3
9	http://www.openwall.com/lists/oss-security/2011/11/25/4
10	http://www.securityfocus.com/bid/50814
11	https://bugs.freedesktop.org/show_bug.cgi?id=42904	Patch
12	https://bugzilla.redhat.com/show_bug.cgi?id=757171
13	http://gitorious.org/colord/master/commit/1fadd90afcb4bbc47513466ee9bb1e4a8632ac3b
14	https://bugzilla.redhat.com/show_bug.cgi?id=757171
15	https://bugs.freedesktop.org/show_bug.cgi?id=42904	Patch
16	http://www.securityfocus.com/bid/50814
17	http://www.openwall.com/lists/oss-security/2011/11/25/4
18	http://www.openwall.com/lists/oss-security/2011/11/25/3
19	http://ubuntu.com/usn/usn-1289-1
20	http://secunia.com/advisories/47160	Vendor Advisory
21	http://secunia.com/advisories/46940	Vendor Advisory
22	http://lists.fedoraproject.org/pipermail/package-announce/2011-December/070518.html
23	http://lists.fedoraproject.org/pipermail/package-announce/2011-December/070450.html
24	http://gitorious.org/colord/master/commit/36549e0ed255e7dfa7852d08a75dd5f00cbd270e

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-89	SQLインジェクション	https://cwe.mitre.org/data/definitions/89.html