Orient Technologies、OrientDBとStudioに複数の脆弱性を確認
OrientDBとOrientDB Studioに複数の脆弱性が確認された。影響を受けるのはOrientDB Server Community Edition version 2.1.1以前、2.0.15以前、2.0.3で、クロスサイトリクエストフォージェリー、不十分なランダム値の使用、不適切な入力バリデーションの脆弱性が存在する。これらの脆弱性が悪用されると、攻撃者にユーザと同じ権限でアクションを実行されたり、セッションIDの操作によりデータベースへの管理者権限を盗取されたりする恐れがある。解決策としてクロスサイトリクエストフォージェリ及び不十分なランダム値の使用の脆弱性はOrientDB 2.0.15および2.1.1で修正されており、クロスサイトリクエストフォージェリはデフォルトで JSONP の無効、不十分なランダム値の使用はjava.security.SecureRandom を使用した乱数生成によりこれらの脆弱性は修正される。また、クリックジャッキング攻撃防止のため、X-Frame-Options ヘッダを追加し、必要なければOrientDB Studio を無効にするよう推奨している。
