製品・ソフトウェアに関する情報

JVN脆弱性詳細

サイボウズガルーンにおける LDAP インジェクションの脆弱性

Title	サイボウズガルーンにおける LDAP インジェクションの脆弱性
Summary	サイボウズ株式会社が提供するサイボウズガルーンは、グループウェアです。サイボウズガルーンには、ログイン認証に起因する LDAP インジェクションの脆弱性が存在します。
Possible impacts	特定のグループに対するユーザ管理権限を委譲されたユーザによって、当該製品に不正にログインされたり、認証サーバの情報が漏えいしたりする可能性があります。
Solution	[パッチを適用する] 開発者が提供する情報をもとに、対応するパッチを適用してください。 [2016年6月2日追記] [アップデートする] 開発者から、本脆弱性を修正したサイボウズガルーン 4.2.0 がリリースされています。開発者が提供する情報をもとに、最新版へアップデートしてください。
Publication Date	Oct. 7, 2015, midnight
Registration Date	Oct. 7, 2015, 12:03 p.m.
Last Update	June 2, 2016, 7:12 p.m.

Affected System

サイボウズ

サイボウズガルーン 3.0.0 から 4.0.3 まで

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2015-5649	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5649
National Vulnerability Database (NVD)
2	CVE-2015-5649	https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5649

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-noinfo	https://www.ipa.go.jp/security/vuln/CWE.html#CWEnoinfo

ベンダー情報

No	Name	URL
サイボウズ
1	[CyVDB-1018][CyVDB-1021]ログイン認証に関するLDAPインジェクションの脆弱性	https://support.cybozu.com/ja-jp/article/9176

その他

No	Name	URL
IPA 重要なセキュリティ情報
1	「サイボウズガルーン」における複数の脆弱性の対策について（JVN#21025396）（JVN#38369032）	http://www.ipa.go.jp/security/ciadr/vul/20151007-jvn.html
JVN
2	JVN#38369032	https://jvn.jp/jp/JVN38369032/index.html

Change Log

No	Changed Details	Date of change
0	[2015年10月07日] 掲載 [2015年10月13日] 参考情報：National Vulnerability Database (NVD) (CVE-2015-5649) を追加 [2016年06月02日] 対策：内容を更新	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2015-5649

Summary	Cybozu Garoon 3.x through 3.7.5 and 4.x through 4.0.3 mishandles authentication requests, which allows remote authenticated users to conduct LDAP injection attacks, and consequently bypass intended login restrictions or obtain sensitive information, by leveraging certain group-administration privileges.
Publication Date	Oct. 9, 2015, 5:59 a.m.
Registration Date	Jan. 26, 2021, 2:53 p.m.
Last Update	Nov. 21, 2024, 11:33 a.m.

Affected software configurations

Related information, measures and tools

No	URL	タグ
1	http://jvn.jp/en/jp/JVN38369032/index.html	Vendor Advisory
2	http://jvn.jp/en/jp/JVN38369032/index.html	Vendor Advisory
3	http://jvndb.jvn.jp/jvndb/JVNDB-2015-000152	Vendor Advisory
4	http://jvndb.jvn.jp/jvndb/JVNDB-2015-000152	Vendor Advisory
5	https://support.cybozu.com/ja-jp/article/9176	Vendor Advisory
6	https://support.cybozu.com/ja-jp/article/9176	Vendor Advisory

Common Vulnerabilities List