IPA/「Hibernate ORM」における SQL インジェクションの脆弱性

2020年11月20日

省庁・団体名

独立行政法人情報処理推進機構

内容

　IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、2020年11月19日に「『Hibernate ORM』における SQL インジェクションの脆弱性」を、JVN(JapanVulnerability Notes)において公表しました。

◆概要
・「Hibernate ORM」は Java 向けの ORM フレームワークです。
・内部で生成する SQL 文にコメントをつける設定 hibernate.use_sql_comments をtrue にした場合の入力処理には不備があり、SQL インジェクションの脆弱性が存在します。
・hibernate.use_sql_comments を true に設定している場合、細工した入力を処理することで SQL インジェクション攻撃を受ける可能性があります。
・開発者が提供する情報を参考に、「Hibernate ORM」を更新してください。

◆この脆弱性情報は、2020年8月19日に IPA が届出を受け、JPCERT/CC が、製品開発者と調整を行ない、本日公表したものです。

◆詳細については、こちらをご覧ください。
・「Hibernate ORM」における SQL インジェクションの脆弱性
※もしくは、https://jvn.jp/jp/ から「JVN#90729322」を参照

本件に関するお問合せ先

IPA セキュリティセンター
E-mail: vuln-inq@ipa.go.jp

一般社団法人JPCERTコーディネーションセンター
E-mail: vultures@jpcert.or.jp

※個別製品の脆弱性情報の詳細につきましては、製品開発者にお問い合わせください。