FreeBSDShibboleth Service Provider -- ODBC プラグインの SQL インジェクションの脆弱性9f9b0b37-88fa-11f0-90a2-6cc21735f730

high Nessus プラグイン ID 261419

Language:

概要

リモートの FreeBSD ホストに 1 つ以上のセキュリティ関連の更新プログラムがありません。

説明

リモートホストにインストールされている FreeBSD のバージョンは、テスト済みバージョンより前です。したがって、9f9b0b37-88fa-11f0-90a2-6cc21735f730 のアドバイザリに記載されている脆弱性の影響を受けます。

Internet2 のレポート
Shibboleth サービスプロバイダーには、セッションキャッシュ、リプレイキャッシュ、リレー状態管理などのさまざまなユースケースに使用可能なストレージ API が含まれています。ODBC 拡張プラグインがソフトウェアの一部のディストリビューション特に Windows で提供されています。
プラグインにより発行されるクエリの一部で SQL インジェクションの脆弱性が見つかりました。これは、特別に細工された入力を通じて巧妙に悪用され、SP により使用されるデータベースに格納されている情報を抽出することができます。

Tenable は、前述の記述ブロックを FreeBSD セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://shibboleth.net/community/advisories/secadv_20250903.txt

http://www.nessus.org/u?24c4914d

プラグインの詳細

深刻度: High

ID: 261419

ファイル名: freebsd_pkg_9f9b0b3788fa11f090a26cc21735f730.nasl

バージョン: 1.1

タイプ: local

ファミリー: FreeBSD Local Security Checks

公開日: 2025/9/5

更新日: 2025/9/5

サポートされているセンサー: Nessus

脆弱性情報

CPE: p-cpe:/a:freebsd:freebsd:shibboleth-sp, cpe:/o:freebsd:freebsd

必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2025/9/3

脆弱性公開日: 2025/9/3