PowerProtect:アプライアンスDM5500 - セキュリティ スキャンでポート443で「CGI Generic SQL Injection (blind)」が検出される
Summary: PowerProtect Data Manager Appliance (DM5500):セキュリティ脆弱性スキャナーは、ポート443の「CGI汎用SQLインジェクション(ブラインド)」を誤検知として検出します。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
セキュリティ脆弱性スキャナー(DM5500で次のものを検出:
| プラグインID | リスク | Host | ポート | 名前 | 概要 | 説明 | プラグイン出力 |
| 42424 (外部リンク) | High | アプライアンス | TCP/443 | CGI 汎用 SQL インジェクション (ブラインド) | リモート Web サーバーでホストされている CGI アプリケーションは、SQL インジェクション攻撃を受けやすい可能性があります。 | スキャンソフトウェアは、特別に細工されたパラメータをWebサーバーでホストされているCGIスクリプトに送信することで、さまざまなリターンを得ることができます。これは、アプリケーションの動作を変更し、基になるデータベースに直接アクセスできる可能性があることを示唆しています。
これにより、攻撃者は認証をバイパスしたり、機密データにアクセスしたり、データベースを変更したり、リモート オペレーティング システムを制御したりする可能性があります。 |
「GET HTTP」メソッドにより、スキャナーは次のことを発見しました: + 次のリソースは、ブラインドSQLインジェクションに対して脆弱である可能性があります: + /iam-token-handler/public/authorize CGIの「clientId」パラメータ: --------出力-------- HTTP/1.1 302 --------と-------- HTTP/1.1 400 ------------------------ |
Cause
/iam-token-handler/public/authorize は異なるリクエストから 302 と 400 で応答できるため、脆弱性スキャナーは SQL インジェクションの脆弱性のリスクがあると想定します。
Resolution
Dellエンジニアリング チームは、これが誤検出であることを確認しました。
トークン ハンドラーは、どのデータベースとも対話しません。
Affected Products
PowerProtect Data Manager Appliance, PowerProtect DM5500Article Properties
Article Number: 000236546
Article Type: Solution
Last Modified: 17 Oct 2024
Version: 1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.