情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は10月12日,2005年第3四半期(7~9月)中に報告されたソフトウエアやWebサイト(Webアプリケーション)の脆弱性(セキュリティ・ホール)を取りまとめて発表した。それによると,ソフトウエアの脆弱性報告は32件(製品開発者による報告はこのほか2件),Webサイトの脆弱性に関する報告は102件だった。脆弱性情報の届け出制度(関連記事)を開始した2004年7月からの累計は,それぞれ94件および379件。
脆弱性が報告されたソフトウエアの種類として多かったのは,Webブラウザが31%,メール・クライアントが14%,アンチウイルス・ソフトが11%,Webアプリ構築ソフトとグループウエアがそれぞれ9%。
Webアプリケーションの脆弱性では,クロスサイト・スクリプティングが最も多く,全体の46%を占めた。次いで,パス名パラメータの未チェックが10%,SQLインジェクションが8%だった。
IPAとJPCERT/CCでは,2005年第3四半期に公表したソフトウエアの脆弱性情報についても発表した。両者が共同運営する「JP Vendor Status Notes(JVN)」で公表した脆弱性情報は以下の14件。
(1)Internet Explorer コンポーネントを使用するアプリケーションにおけるセキュリティゾーンの扱いに関する脆弱性
(2)tDiary におけるクロスサイト・リクエスト・フォージェリの脆弱性
(3)QRcode Perl CGI & PHP scripts におけるサービス運用妨害の脆弱性
(4)Hiki におけるクロスサイトスクリプティングの脆弱性
(5)Common Management Agent 3.x における情報漏えいの脆弱性
(6)Pochy におけるサービス運用妨害 (DoS) の脆弱性
(7)FreeStyleWiki におけるコマンドインジェクションの脆弱性
(8)ハイパー日記システムにおけるクロスサイト・リクエスト・フォージェリの脆弱性
(9)Webmin および Usermin における認証回避の脆弱性
(10)Ruby においてセーフレベル 4 がサンドボックスとして機能しない脆弱性
(11)unicode 版 msearch におけるクロスサイトスクリプティングの脆弱性
(12)複数のウェブブラウザにおいてリクエスト分割攻撃が可能な脆弱性
(13)WirelessIP5000 に複数の脆弱性
(14)Tomcat におけるリクエスト処理に関する脆弱性
このほか,製品の脆弱性ではないものの,多くのユーザーが影響を受けるとして,「Java Cryptography Extension 1.2.1(JCE 1.2.1)の証明書の期限切れで 2005/07/28 以降ソフトウエアが正常に動作しなくなる問題」についても各製品開発者の対応状況を取りまとめて公開した。
◎参考資料
◆ソフトウエア等の脆弱性関連情報に関する届出状況 [2005年第3四半期(7月~9月)]
