Charset-Web入力: MySQLのrootアカウントのパスワードが設定されていない問題 (2005年1月28日)


 本情報は、該当製品におけるセキュリティ上の問題について、広報日までに、コンピュータ緊急対応センター「CERT/CC」に報告されたものもしくは、弊社独自の調査により検出されたものに基づき、情報を提供するものです。
 また、該当製品には他社が開発した製品が含まれている場合もあり、その製品については、他社から提供された情報をそのまま掲載している場合があります。
 本ドキュメントに関して、弊社は、本情報の正確性、完全性あるいは特定目的への適合性について何ら保証するものではなく、本情報に従い対応を行った(あるいは行わなかった)ことによりお客様に生じた損害について一切の責任を負いかねます。
 お客様には、常に最新の情報をご確認いただきますようお願い申し上げます。

 本セキュリティ広報を再配布する際には、全文を転載すること。


[概要]

問題点:MySQLアプリケーションのrootアカウントの問題
製品提供元:富士通株式会社
該当製品:
対象OS製品名
WindowsSystemwalker Charset MGR-A Web入力 SE V10.0L20
WindowsInterstage Charset Manager Standard Edition Web入力 Agent V6.0L10
WindowsInterstage Charset Manager Standard Edition Web入力 Agent V7.0L10
該当システム:Windows
システムへの影響:リモートアクセスユーザが、不当なシステム管理者資格でシステムにアクセス可能となる場合があります。
回避方法:4.に示します。
パッチ:なし

1. 背景

 Interstage Charset Manager Web入力で使用しているMySQLアプリケーションには、初期状態でパスワードなしのアカウントが作成されます。このアカウントにパスワード設定の対応を行わないと、MySQLを通じ、このアカウントを用いて容易に外部からシステム資源にアクセス可能となることがあります。

参考:
  http://www.itmedia.co.jp/enterprise/articles/0501/28/news013.html
  http://dev.mysql.com/tech-resources/articles/security_alert.html

富士通は、4.に示す回避方法を提供していますので、早急に対応するように お願いします。

 Interstage Charset Manager Web入力については以下のページを参照してください。
 http://www.fujitsu.com/jp/products/software/middleware/business-middleware/interstage/products/charsetmgr/

2. 該当システムの範囲

該当コマンド/ファイル製品名対象OS
¥¥mysql¥bin¥mysqlSystemwalker Charset MGR-A Web入力 SE V10.0L20Windows
¥¥mysql¥bin¥mysqlInterstage Charset Manager Standard Edition Web入力 AgentV6.0L10Windows
¥¥mysql¥bin¥mysqlInterstage Charset Manager Standard Edition Web入力 Agent V7.0L10Windows

3. 発見されている問題点

 デフォルトインストール状態で"root"ユーザがパスワードなしで存在しており、このアカウントを利用して侵入し、アタックを仕掛けることがあります。

4. 回避方法

 すべてのアカウントに対し、強固なパスワードを設定してください。(rootアカウントについてもパスワードを設定してください。)本回避方法により、管理者が設定したアカウント/パスワードを保持しているユーザのみがアクセス可能となります。
(MySQLのコメントとしては、以下のページ内に回避情報などが提供されています。
http://dev.mysql.com/tech-resources/articles/security_alert.html )

5. パッチ情報

なし

6. 改版履歴

  • 2005年1月28日 新規掲載

ページの先頭へ