公開日:2010/10/14 最終更新日:2011/03/28

JVNVU#989719
SAP BusinessObjects Axis2 におけるデフォルトパスワードの問題

概要

SAP BusinessObjects の Axis2 コンポーネントに出荷時に設定されている管理用アカウントは、遠隔の第三者に利用される可能性があります。

影響を受けるシステム

  • SAP BusinessObjects Axis2
影響を受けるバージョンにつきましては、ベンダが提供する情報を参照してください。

詳細情報

SAP BusinessObjects 製品には、Axis2 モジュール (dswsbobje.war) が含まれています。Axis2 に出荷時に設定されている管理用アカウントは製品ドキュメント以外の方法でも入手可能です。

想定される影響

遠隔の第三者によって、Axis2 コンポーネントにログインされ、そして悪意あるウェブサービス (jar) をアップロード、再起動を行った後に任意のコードを実行される可能性があります。

対策方法

アップデートする
ベンダが提供する情報をもとに最新版へアップデートしてください。

また、axis2.xml 内に含まれているパスワードの値を変更することで、デフォルトのパスワードから変更を行うことが可能です。

ベンダ情報

ベンダ リンク
SAP SAP Security Note 1432881 (Registered Users Only)

参考情報

  1. US-CERT Vulnerability Note VU#989719
    SAP BusinessObjects Axis2 Default Admin Password

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2010-0219
JVN iPedia JVNDB-2010-002277

更新履歴

2011/03/28
関連文書に JVN iPedia へのリンクを追加しました。