漏洞关键信息 摘要 漏洞类型: SQL注入漏洞 受影响软件: Cybozu Garoon 2 Version 2.1.0 for Windows 发布日期: 2006-08-28 测试版本 Cybozu Garoon 2 Version 2.1.0 for Windows 细节 漏洞描述: - 1) TODO List View/Modify SQL Injection: 当登录用户利用TODO List View和Modify功能时,由于 参数未被正确过滤,可构造SQL注入攻击,获取数据库中的任意数据,如管理员密码哈希。 - 2) Workflow View/Print SQL Injection: 当登录用户利用Workflow View和Print功能时,由于 参数未被正确过滤,同样可构造SQL注入攻击。 - 3) 其他SQL注入漏洞: 其他未详细描述的SQL注入漏洞,可能被利用导致MySQL数据库引擎大量消耗CPU资源,引发DoS攻击。 修复措施 更新到2.1.1版本 参考资料 http://cybozu.co.jp/products/dlinote_060825/ 披露时间表 2006-07-04: 漏洞被发现 2006-07-13: 初始厂商通知 2006-07-13: 初始厂商回复 2006-07-14: 收到厂商的计划补丁发布日期 2006-08-16: 收到补丁发布将被推迟的通知 2006-08-25: 厂商发布补丁信息 2006-08-28: 公开披露 2006-08-31: 修正产品名称中的拼写错误