製品・ソフトウェアに関する情報

JVN脆弱性詳細

Asterisk の Call Detail Record Postgres logging エンジン (cdr_pgsql) における SQL インジェクションの脆弱性

タイトル	Asterisk の Call Detail Record Postgres logging エンジン (cdr_pgsql) における SQL インジェクションの脆弱性
概要	Asterisk の Call Detail Record Postgres logging エンジン (cdr_pgsql) には、SQL インジェクションの脆弱性が存在します。
想定される影響	リモート認証されたユーザにより、(1) ANI 引数および (2) DNIS 引数を介して、任意の SQL コマンドを実行される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2007年11月29日0:00
登録日	2012年6月26日15:54
最終更新日	2012年6月26日15:54

CVSS2.0 : 警告
スコア	6.5
ベクター	AV:N/AC:L/Au:S/C:P/I:P/A:P

影響を受けるシステム

Digium

Asterisk 1.4.15 未満の 1.4.x、1.2.25 未満の 1.2.x、B.2.3.4 未満の B.x、および C.1.0-beta6 未満の C.x

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2007-6170	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6170
National Vulnerability Database (NVD)
2	CVE-2007-6170	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2007-6170

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-89	https://jvndb.jvn.jp/ja/cwe/CWE-89.html

ベンダー情報

No	名前	URL
Asterisk Project Security Advisory
1	AST-2007-026	http://downloads.asterisk.org/pub/security/AST-2007-026.html

変更履歴

No	変更内容	変更日
0	[2012年06月26日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2007-6170

概要	SQL injection vulnerability in the Call Detail Record Postgres logging engine (cdr_pgsql) in Asterisk 1.4.x before 1.4.15, 1.2.x before 1.2.25, B.x before B.2.3.4, and C.x before C.1.0-beta6 allows remote authenticated users to execute arbitrary SQL commands via (1) ANI and (2) DNIS arguments.
概要	Vulnerabilidad de inyección SQL en el motor de registro Call Detail Record Postgres (cdr_pgsql) de Asterisk 1.4.x anterior a 1.4.15, 1.2.x anterior a 1.2.25, B.x anterior a B.2.3.4, y C.x anterior a C.1.0-beta6 permite a usuarios remotos autenticados ejecutar comandos SQL de su elección mediante los argumentos (1) ANI y (2) DNIS.
公表日	2007年11月30日10:46
登録日	2021年1月29日14:24
最終更新日	2026年4月23日9:35

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:digium:asterisk::::::::	1.2.0			1.2.25
cpe:2.3:a:digium:asterisk::::::::	1.4.0			1.4.15
cpe:2.3:a:digium:asterisk:::::business:::*	b.2.3.0			b.2.3.4
cpe:2.3:a:digium:asterisk:c.1.0:beta1:::business:::*
cpe:2.3:a:digium:asterisk:c.1.0:beta2:::business:::*
cpe:2.3:a:digium:asterisk:c.1.0:beta3:::business:::*
cpe:2.3:a:digium:asterisk:c.1.0:beta4:::business:::*
cpe:2.3:a:digium:asterisk:c.1.0:beta5:::business:::*
cpe:2.3:o:debian:debian_linux:3.1:::::::*
cpe:2.3:o:debian:debian_linux:4.0:::::::*

関連情報、対策とツール

No	URL	refsource
1	http://downloads.digium.com/pub/security/AST-2007-026.html	cve@mitre.org
2	http://lists.opensuse.org/opensuse-security-announce/2008-03/msg00001.html	cve@mitre.org
3	http://secunia.com/advisories/27827	cve@mitre.org
4	http://secunia.com/advisories/27892	cve@mitre.org
5	http://secunia.com/advisories/29242	cve@mitre.org
6	http://secunia.com/advisories/29782	cve@mitre.org
7	http://security.gentoo.org/glsa/glsa-200804-13.xml	cve@mitre.org
8	http://securitytracker.com/id?1019020	cve@mitre.org
9	http://www.debian.org/security/2007/dsa-1417	cve@mitre.org
10	http://www.securityfocus.com/archive/1/484388/100/0/threaded	cve@mitre.org
11	http://www.securityfocus.com/bid/26647	cve@mitre.org
12	http://www.vupen.com/english/advisories/2007/4056	cve@mitre.org
13	https://exchange.xforce.ibmcloud.com/vulnerabilities/38765	cve@mitre.org
14	http://downloads.digium.com/pub/security/AST-2007-026.html	af854a3a-2127-422b-91ae-364da2661108
15	http://lists.opensuse.org/opensuse-security-announce/2008-03/msg00001.html	af854a3a-2127-422b-91ae-364da2661108
16	http://secunia.com/advisories/27827	af854a3a-2127-422b-91ae-364da2661108
17	http://secunia.com/advisories/27892	af854a3a-2127-422b-91ae-364da2661108
18	http://secunia.com/advisories/29242	af854a3a-2127-422b-91ae-364da2661108
19	http://secunia.com/advisories/29782	af854a3a-2127-422b-91ae-364da2661108
20	http://security.gentoo.org/glsa/glsa-200804-13.xml	af854a3a-2127-422b-91ae-364da2661108
21	http://securitytracker.com/id?1019020	af854a3a-2127-422b-91ae-364da2661108
22	http://www.debian.org/security/2007/dsa-1417	af854a3a-2127-422b-91ae-364da2661108
23	http://www.securityfocus.com/archive/1/484388/100/0/threaded	af854a3a-2127-422b-91ae-364da2661108
24	http://www.securityfocus.com/bid/26647	af854a3a-2127-422b-91ae-364da2661108
25	http://www.vupen.com/english/advisories/2007/4056	af854a3a-2127-422b-91ae-364da2661108
26	https://exchange.xforce.ibmcloud.com/vulnerabilities/38765	af854a3a-2127-422b-91ae-364da2661108

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-89	SQLインジェクション	https://cwe.mitre.org/data/definitions/89.html