Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Zend Framework 1」にSQLiの脆弱性 - 修正パッチが公開

ウェブアプリケーションフレームワークの「Zend Framework 1」に、「SQLインジェクション」の脆弱性が含まれていることがわかった。

同フレームワークの「Zend_Db_Select」オブジェクトにおいて、「ORDER BY」「GROUP BY」の引数を含むSQL文の処理に「SQLインジェクション」が可能となる脆弱性「CVE-2016-4861」が存在することが判明したもの。ただし、「同2」「同3」は影響を受けないとしている。

同脆弱性は、HASHコンサルティングの徳丸浩氏が情報処理推進機構(IPA)へ報告したもので、JPCERTコーディネーションセンターが調整を実施した。

開発チームでは、脆弱性へ対応したパッチ「同1.12.20」を公開。今回の修正は、2015年に実施した「CVE-2014-4914」への対策をさらに改善したものだという。

(Security NEXT - 2016/09/15 ) このエントリーをはてなブックマークに追加

PR

関連記事

結婚式招待状の通販サイトに不正アクセス - メアド約2.8万件が流出か
「WordPress」向けeラーニングシステム構築プラグインに複数脆弱性
Dell製ネットワーク管理製品に複数の脆弱性 - 10月のアップデートで修正済み
2018年3Qの脆弱性届出は177件 - ソフトとサイトいずれも増加
Oracle、四半期定例パッチをリリース - 脆弱性301件を修正
Oracle、四半期定例パッチをリリース - 脆弱性334件を修正
MS月例パッチがリリース、一部でゼロデイ攻撃が発生 - 公開済み脆弱性にも対処
ネオジャパンのウェブメール「Denbun」に8件の脆弱性
ホスティングサービス上のWAF検知、約34%が「WordPress」狙い - SQLi攻撃目立つ
運用甘い脆弱なルータを狙う攻撃が大量発生 - 「WebLogic」脆弱性狙う攻撃にも注意を