JVNVU#204055
Blackboard Transact データベースに情報漏えいの脆弱性

Blackboard Transact アプリケーションには、情報漏えいの脆弱性が存在します。

• Blackboard Transact Suite 3.6 Patch 2 (version 3.6.0.2) より前のバージョン

Blackboard Transact アプリケーション (旧 Blackboard Commerce Suite) には、 設定ファイル (connection.xml) を暗号化するためのユーティリティ BbtsConnection_Edit.exe が同梱されています。 connection.xml を編集する際には、BbtsConnection_Edit.exe は ”Password” フィールド以外のフィールドをすべて復号します。ユーザが connection.xml をテキストエディタなどで開き、 "Password" フィールドに存在するデータをコピーして、別のフィールド (例： "Server")  に貼り付けを行うと、パスワードは平文で表示されます。

また、Blackboard Transact アプリケーションが自動でバックアップを行うために使用するスクリプトやバッチ (.bat) ファイルには、データベースのユーザ名およびパスワードが平文で格納されている問題も存在します。

BbtsConnection_Edit.exe および connection.xml またはバックアップ用のスクリプトにアクセス可能な第三者によって、データベースのユーザ名およびパスワードが取得される可能性があります。

アップデートする
ベンダからの情報によると、Blackboard Transact Suite 3.6 Patch 2 (version 3.6.0.2) にアップデートすることで、BbtsConnection_Edit.exe ユーティリティの問題が解決します。

なお、2010年9月2日現在、バックアップ用のスクリプトに関する問題については対策方法はありません。ベンダからの情報によると、アップデートは後日提供される予定です。

(2011年1月31日 - 追記)
ベンダからの情報によると、Blackboard Transact Suite 3.6 Patch 4 (version 3.6.0.4) にアップデートすることで、バックアップ用のスクリプトに関する問題が解決します。

詳しくは、US-CERT Vulnerability Note VU#204055 - Vendor Information をご確認ください。