製品・ソフトウェアに関する情報

JVN脆弱性詳細

Apache Derby の BUILTIN 認証機能であるパスワードハッシュ生成アルゴリズムにおけるパスワードを解読される脆弱性

タイトル	Apache Derby の BUILTIN 認証機能であるパスワードハッシュ生成アルゴリズムにおけるパスワードを解読される脆弱性
概要	Apache Derby の BUILTIN 認証機能であるパスワードハッシュ生成アルゴリズムは、 SHA-1 への入力設定のサイズを縮小変換し、小さな検索スペースを生成してしまうため、パスワードを解読される脆弱性が存在します。
想定される影響	ローカルおよび第三者により、パスワードの換字処理に関連して、ハッシュの衝突を生成され、パスワードを解読される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2011年1月18日0:00
登録日	2011年2月16日14:00
最終更新日	2011年2月16日14:00

影響を受けるシステム

Apache Software Foundation

Apache Derby 10.6.1.0 未満

オラクル

Oracle Industry Applications 4.5

Oracle Industry Applications 4.6

Oracle Industry Applications 5.0

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-4269	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-4269
National Vulnerability Database (NVD)
2	CVE-2009-4269	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-4269

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-310	https://jvndb.jvn.jp/ja/cwe/CWE-310.html

ベンダー情報

No	名前	URL
Apache DB Project
1	release-10.6.1.0	http://db.apache.org/derby/releases/release-10.6.1.0.html
Apache Software Foundation
2	DERBY-4483	https://issues.apache.org/jira/browse/DERBY-4483
Oracle Critical Patch Update
3	cpujan2011-194091	http://www.oracle.com/technetwork/topics/security/cpujan2011-194091.html
SECURITY BLOG
4	derby_10_6_1_has	http://blogs.sun.com/kah/entry/derby_10_6_1_has

その他

No	名前	URL
Secunia Advisory
1	SA42948	http://secunia.com/advisories/42948
2	SA42970	http://secunia.com/advisories/42970
SecurityFocus
3	42637	http://www.securityfocus.com/bid/42637
SecurityTracker
4	1024977	http://www.securitytracker.com/id?1024977
VUPEN Security
5	VUPEN/ADV-2011-0149	http://www.vupen.com/english/advisories/2011/0149

変更履歴

No	変更内容	変更日
0	[2011年02月16日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2009-4269

概要	The password hash generation algorithm in the BUILTIN authentication functionality for Apache Derby before 10.6.1.0 performs a transformation that reduces the size of the set of inputs to SHA-1, which produces a small search space that makes it easier for local and possibly remote attackers to crack passwords by generating hash collisions, related to password substitution.
公表日	2010年8月17日5:00
登録日	2021年1月29日13:26
最終更新日	2024年11月21日10:09

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:apache:derby::::::::			10.5.3.0

関連情報、対策とツール

No	URL	タグ
1	http://blogs.sun.com/kah/entry/derby_10_6_1_has
2	http://blogs.sun.com/kah/entry/derby_10_6_1_has
3	http://db.apache.org/derby/releases/release-10.6.1.0.cgi#Fix+for+Security+Bug+CVE-2009-4269
4	http://db.apache.org/derby/releases/release-10.6.1.0.cgi#Fix+for+Security+Bug+CVE-2009-4269
5	http://marc.info/?l=apache-db-general&m=127428514905504&w=1
6	http://marc.info/?l=apache-db-general&m=127428514905504&w=1
7	http://marcellmajor.com/derbyhash.html
8	http://marcellmajor.com/derbyhash.html
9	http://secunia.com/advisories/42948
10	http://secunia.com/advisories/42948
11	http://secunia.com/advisories/42970
12	http://secunia.com/advisories/42970
13	http://www.oracle.com/technetwork/topics/security/cpujan2011-194091.html
14	http://www.oracle.com/technetwork/topics/security/cpujan2011-194091.html
15	http://www.securityfocus.com/bid/42637
16	http://www.securityfocus.com/bid/42637
17	http://www.securitytracker.com/id?1024977
18	http://www.securitytracker.com/id?1024977
19	http://www.vupen.com/english/advisories/2011/0149
20	http://www.vupen.com/english/advisories/2011/0149
21	https://issues.apache.org/jira/browse/DERBY-4483	Vendor Advisory
22	https://issues.apache.org/jira/browse/DERBY-4483	Vendor Advisory

共通脆弱性一覧