脆弱性対策詳細情報取得

レスポンス例

<?xml version="1.0" encoding="UTF-8" ?>   
<VULDEF-Document 
version="3.1" 
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
xmlns="http://jvn.jp/vuldef/" 
xmlns:vuldef="http://jvn.jp/vuldef/" 
xmlns:status="http://jvndb.jvn.jp/myjvn/Status" 
xsi:schemaLocation="http://jvn.jp/vuldef/ http://jvndb.jvn.jp/schema/vuldef_3.1.xsd http://jvndb.jvn.jp/myjvn/Status http://jvndb.jvn.jp/schema/status_3.1.xsd" 
xml:lang="ja">
    <Vulinfo>
      <VulinfoID>JVNDB-2012-002860</VulinfoID>
      <VulinfoData>
        <Title>Ruby on Rails の Active Record コンポーネントにおける SQL インジェクションの脆弱性</Title>
        <VulinfoDescription>
          <Overview>Ruby on Rails の Active Record コンポーネントは、ActiveRecord クラスの where メソッドに対して、リクエストデータの受け渡しを適切に実装していないため、特定の SQL インジェクション攻撃を実行される脆弱性が存在します。  本問題は、CVE-2012-2695 と関連する問題です。</Overview>
        </VulinfoDescription>
        <Affected>
          <AffectedItem>
            <Name>Ruby on Rails project</Name>
            <ProductName>Rails</ProductName>
            <VersionNumber>3.0.13 未満の 3.0.x</VersionNumber>
            <VersionNumber>3.1.5 未満の 3.1.x</VersionNumber>
            <VersionNumber>3.2.4 未満の 3.2.x</VersionNumber>
          </AffectedItem>
        </Affected>
        <Impact>
          <Cvss version="2.0">
            <Severity>Medium</Severity>
            <Score>5</Score>
            <Vector>(AV:N/AC:L/Au:N/C:P/I:N/A:N)</Vector>
          </Cvss>
          <ImpactItem>
            <Description>第三者により、意図しない再帰を利用する、ネストされた query パラメータを介して、特定の SQL インジェクション攻撃を実行される可能性があります。</Description>
          </ImpactItem>
        </Impact>
        <Solution>
          <SolutionItem>
            <Description>ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。</Description>
          </SolutionItem>
        </Solution>
        <Related>
          <RelatedItem type="vendor">
            <Name>Rails weblog</Name>
            <VulinfoID>Rails version 3.2.4 has been released</VulinfoID>
            <URL>http://weblog.rubyonrails.org/2012/5/31/ann-rails-3-2-4-has-been-released/</URL>
          </RelatedItem>
          <RelatedItem type="vendor">
            <Name>Rails weblog</Name>
            <VulinfoID>Rails version 3.1.5 has been released</VulinfoID>
            <URL>http://weblog.rubyonrails.org/2012/5/31/ann-rails-3-1-5-has-been-released/</URL>
          </RelatedItem>
          <RelatedItem type="vendor">
            <Name>Rails weblog</Name>
            <VulinfoID>Rails version 3.0.13 has been released</VulinfoID>
            <URL>http://weblog.rubyonrails.org/2012/5/31/ann-rails-3-0-13-has-been-released/</URL>
          </RelatedItem>
          <RelatedItem type="advisory">
            <Name>Common Vulnerabilities and Exposures (CVE)</Name>
            <VulinfoID>CVE-2012-2661</VulinfoID>
            <URL>http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2661</URL>
          </RelatedItem>
          <RelatedItem type="advisory">
            <Name>National Vulnerability Database (NVD)</Name>
            <VulinfoID>CVE-2012-2661</VulinfoID>
            <URL>http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-2661</URL>
          </RelatedItem>
          <RelatedItem type="advisory">
            <Name>共通脆弱性タイプ一覧 (CWE)</Name>
            <VulinfoID>SQLインジェクション(CWE-89)</VulinfoID>
            <URL>http://jvndb.jvn.jp/ja/cwe/CWE-89.html</URL>
          </RelatedItem>
          <RelatedItem type="cwe">
            <Name>SQLインジェクション</Name>
            <VulinfoID>CWE-89</VulinfoID>
            <URL>http://jvndb.jvn.jp/ja/cwe/CWE-89.html</URL>
          </RelatedItem>
        </Related>
        <History>
          <HistoryItem>
            <Description/>
          </HistoryItem>
        </History>
        <DateFirstPublished>2012-06-26T14:20:02+09:00</DateFirstPublished>
        <DateLastUpdated>2012-07-09T14:23:40+09:00</DateLastUpdated>
        <DatePublic>2012-06-22T00:00:00+09:00</DatePublic>
      </VulinfoData>
    </Vulinfo>
    <status:Status version="3.1" method="getVulnDetailInfo" lang="ja" retCd="0" retMax="10" errCd="" errMsg="" totalRes="1" totalResRet="1" firstRes="1" maxCountItem="1" startItem="1" vulnId="JVNDB-2012-002860"/>
  </VULDEF-Document>
webapi/my_jvn_api/getvulndetailinfo.txt · 最終更新: 2012/07/12 22:18 (外部編集)
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0