Critical SQL Injection Flaws Expose Gentoo Soko to Remote Code Execution
2023/06/28 TheHackerNews — Gentoo Soko に存在する複数の SQL インジェクションの脆弱性が公開され、脆弱なシステム上ではリモートコード実行 (RCE) につながる可能性があると解説されている。SonarSource の研究者である Thomas Chauchefoin は、「Object-Relational Mapping (ORM) ライブラリとプリペアド・ステートメントを使用しているにもかかわらず、これらの SQL インジェクションの脆弱性は発生している。データベースのミスコンフィグレーションにより、Soko上で RCE が発生する可能性がある」と付け加えている。
Soko の検索機能で2つの問題が発見され、2023年3月17日の開示から 24時間以内に対処され、まとめて脆弱性 CVE-2023-28424 (CVSS:9.1) として追跡されている。
Soko がユーザーに提供するのは、Gentoo Linux ディストリビューションで利用できる各種の Portage パッケージを、packages.gentoo.org を動かす Golang ソフトウェア・モジュールを用いて簡単に検索する方法である。
しかし、このサービスで確認された欠点は、悪意の行為者が特別に細工したコードを注入し、機密情報を暴露する可能性があったことを意味する。
SonarSource は、「SQL インジェクションの悪用が可能であり、PostgreSQL サーバのバージョンを開示し、システム上で任意のコマンドを実行する能力を持っていた」と述べている。
先日には、Odoo というオープンソースのビジネス・スイートに存在する、クロスサイト・スクリプティング (XSS) の欠陥を、SonarSource が発見していた。それから数ヶ月後に、今回の問題が明らかになった。
今年に入り、Pretalx や OpenEMR といったオープンソース・ソフトウェアでも、リモートの攻撃者に任意のコード実行を許す可能性のある脆弱性が公開されている。
Gentoo Linux ですが、このブログでは初登場です。Wikipedia で調べてみたら、「Linux ディストリビューションの1つであり、パッケージ管理システムに Portage を採用し、プロプライエタリなソフトウェアも含んでいる」と紹介されていました。よろしければ、Linux で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.