製品・ソフトウェアに関する情報

JVN脆弱性詳細

OrientDB および OrientDB Studio に複数の脆弱性

Title	OrientDB および OrientDB Studio に複数の脆弱性
Summary	OrientDB Server Community Edition 2.1.1 より前のバージョンにバンドルされた Studio には、複数の脆弱性が存在します。クロスサイトリクエストフォージェリ (CWE-352) - CVE-2015-2912 OrientDB 用のウェブインターフェース Studio には、クロスサイトリクエストフォージェリの脆弱性が存在します。当該システムとのセッションがアクティブな状態のユーザが、細工されたリクエストを送信させられることにより、Studio に対して意図しない操作をさせられる可能性があります。 CWE-352: Cross-Site Request Forgery (CSRF) https://cwe.mitre.org/data/definitions/352.html 本脆弱性は OrientDB Server Community Edition 2.0.3 にバンドルされた Studio に対して報告されたものです。OrientDB Server Community Edition 2.0.15 より前のバージョンおよび 2.1.1 より前のバージョンにバンドルされた Studio についても脆弱性が存在する可能性があります。不十分なランダム値の使用 (CWE-330) - CVE-2015-2913 OrientDB Server Community Edition 2.1.0 より前のバージョンは、セッション ID の生成に Java ライブラリ java.util.Random を使用しています。しかしながら、このクラスが生成する乱数の品質は、セキュリティに関連した用途には適していません。生成される値を攻撃者によって予測される可能性があります。 CWE-330: Use of Insufficiently Random Values https://cwe.mitre.org/data/definitions/330.html なお、National Vulnerability Database (NVD) では、CWE-200 (情報漏えい) として公開されています。不適切な入力確認 (CWE-20) - CVE-2015-2918 OrientDB 用のウェブインターフェース Studio は、デフォルトではレスポンスヘッダ X-Frame-Options を付与しません。そのため、細工されたウェブページを介して、クリックジャッキング攻撃を受ける可能性があります。 CWE-20: Improper Input Validation https://cwe.mitre.org/data/definitions/20.html
Possible impacts	遠隔の攻撃者によって、被害者であるユーザと同等の権限で、当該製品を操作される可能性があります。また、管理者権限を持っていないユーザによってセッション ID が操作されることで、データベースの管理者権限を入手される可能性があります。
Solution	[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 CVE-2015-2912 および CVE-2015-2913 は OrientDB 2.0.15 および 2.1.1 で修正されています。このアップデートでは、デフォルトで JSONP を無効にすることにより CVE-2015-2912 を修正しています。また、java.security.SecureRandom を使用して乱数を生成することにより CVE-2015-2913 を修正しています。デフォルトで JSONP を無効にする https://github.com/orientechnologies/orientdb/issues/4824 java.security.SecureRandom を使用して乱数を生成する https://github.com/orientechnologies/orientdb/commit/668ece96be210e742a4e2820a3085b215cf55104 [X-Frame-Options ヘッダを追加する] クリックジャッキング攻撃 (CVE-2015-2918) を防止するために、X-Frame-Options ヘッダを追加してください。ヘッダを追加するためには、サーバの起動時に次のコマンドライン引数を追加してください。　　* Dnetwork.http.additionalResponseHeaders="X-FRAME-OPTIONS: DENY" もしくは、この引数をサーバの orientdb-server-config.xml ファイルに追加してください。 [OrientDB Studio を無効にする] 必要がなければ Studio を無効にしてください。Studio を無効とすれば、これらの問題は顕在化しません。
Publication Date	Sept. 3, 2015, midnight
Registration Date	Sept. 18, 2015, 6:19 p.m.
Last Update	Jan. 7, 2016, 3:11 p.m.

CVSS2.0 : 警告
Score	6
Vector	AV:N/AC:M/Au:S/C:P/I:P/A:P

Affected System

Orient Technologies

OrientDB Server Community Edition 2.0.15 より前のバージョンにバンドルされた Studio

OrientDB Server Community Edition 2.1.1 より前のバージョンにバンドルされた Studio

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2015-2912	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2912
2	CVE-2015-2913	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2913
3	CVE-2015-2918	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2918
National Vulnerability Database (NVD)
4	CVE-2015-2912	https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2912
5	CVE-2015-2913	https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2913
6	CVE-2015-2918	https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2918

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html
2	CWE-200	https://jvndb.jvn.jp/ja/cwe/CWE-200.html
3	CWE-352	https://jvndb.jvn.jp/ja/cwe/CWE-352.html
4	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	Name	URL
GitHub
1	commit log: Adopted SecureRandom to avoid predicable random numbers in session	https://github.com/orientechnologies/orientdb/commit/668ece96be210e742a4e2820a3085b215cf55104
2	issue #4824: Cross-Site-Request-Forgery	https://github.com/orientechnologies/orientdb/issues/4824

その他

No	Name	URL
JVN
1	JVNVU#96220126	http://jvn.jp/vu/JVNVU96220126/index.html
US-CERT Vulnerability Note
2	VU#845332	https://www.kb.cert.org/vuls/id/845332

Change Log

No	Changed Details	Date of change
0	[2015年09月18日] 掲載 [2016年01月07日] CWE による脆弱性タイプ一覧：CWE-ID を追加参考情報：National Vulnerability Database (NVD) (CVE-2015-2912) を追加参考情報：National Vulnerability Database (NVD) (CVE-2015-2913) を追加参考情報：National Vulnerability Database (NVD) (CVE-2015-2918) を追加	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2015-2912

Summary	The JSONP endpoint in the Studio component in OrientDB Server Community Edition before 2.0.15 and 2.1.x before 2.1.1 does not properly restrict callback values, which allows remote attackers to conduct cross-site request forgery (CSRF) attacks, and obtain sensitive information, via a crafted HTTP request.
Publication Date	Dec. 31, 2015, 2:59 p.m.
Registration Date	Jan. 26, 2021, 2:48 p.m.
Last Update	Nov. 21, 2024, 11:28 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:orientdb:orientdb:2.1.0::::community:::
cpe:2.3:a:orientdb:orientdb:::::community:::*		2.0.14

Related information, measures and tools

No	URL	タグ
1	https://github.com/orientechnologies/orientdb/issues/4824	Vendor Advisory
2	https://github.com/orientechnologies/orientdb/issues/4824	Vendor Advisory
3	https://www.kb.cert.org/vuls/id/845332	Third Party Advisory US Government Resource
4	https://www.kb.cert.org/vuls/id/845332	Third Party Advisory US Government Resource

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-352	クロスサイト・リクエスト・フォージェリ（CSRF）	https://cwe.mitre.org/data/definitions/352.html
2	CWE-352	同一生成元ポリシー違反	https://cwe.mitre.org/data/definitions/346.html

CVE-2015-2913

Summary	server/network/protocol/http/OHttpSessionManager.java in the Studio component in OrientDB Server Community Edition before 2.0.15 and 2.1.x before 2.1.1 improperly relies on the java.util.Random class for generation of random Session ID values, which makes it easier for remote attackers to predict a value by determining the internal state of the PRNG in this class.
Publication Date	Dec. 31, 2015, 2:59 p.m.
Registration Date	Jan. 26, 2021, 2:48 p.m.
Last Update	Nov. 21, 2024, 11:28 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:orientdb:orientdb:2.1.0::::community:::
cpe:2.3:a:orientdb:orientdb:2.0.14::::community:::

Related information, measures and tools

No	URL	タグ
1	https://github.com/orientechnologies/orientdb/commit/668ece96be210e742a4e2820a3085b215cf55104	Vendor Advisory
2	https://github.com/orientechnologies/orientdb/commit/668ece96be210e742a4e2820a3085b215cf55104	Vendor Advisory
3	https://www.kb.cert.org/vuls/id/845332	Third Party Advisory US Government Resource
4	https://www.kb.cert.org/vuls/id/845332	Third Party Advisory US Government Resource

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-200	情報漏えい	https://cwe.mitre.org/data/definitions/200.html

CVE-2015-2918

Summary	The Studio component in OrientDB Server Community Edition before 2.0.15 and 2.1.x before 2.1.1 does not properly restrict use of FRAME elements, which makes it easier for remote attackers to conduct clickjacking attacks via a crafted web site.
Publication Date	Dec. 31, 2015, 2:59 p.m.
Registration Date	Jan. 26, 2021, 2:48 p.m.
Last Update	Nov. 21, 2024, 11:28 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:orientdb:orientdb:2.1.0::::community:::
cpe:2.3:a:orientdb:orientdb:2.0.14::::community:::

Related information, measures and tools

No	URL	refsource	タグ
1	https://www.kb.cert.org/vuls/id/845332		Third Party Advisory US Government Resource
2	https://www.kb.cert.org/vuls/id/845332		Third Party Advisory US Government Resource

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html