• ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • 日経BP
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

幅広いJavaソフトのデータ処理に脆弱性、警察庁は探索目的のアクセスを観測

清嶋 直樹=日経コンピュータ 2015/11/17 日経コンピュータ

 情報処理推進機構(IPA)とJPCERTコーディネートセンターが運営する脆弱性情報サイト「JVN」は2015年11月16日、Javaアプリケーション開発に広く使われているライブラリーの「Apache Commons Collections(ACC)」のデータ処理に脆弱性があるとして、注意喚起する文書を出した。インターネット経由で不正なデータを受け取った場合に、端末・サーバー内で任意のJavaコードを実行される可能性がある。

 ACC 3.2.1と4.0の両方がこの脆弱性の影響を受ける。ACCを使っており脆弱性の影響を受ける具体的な製品名として、JVNは「WebSphere」「Jenkins」「WebLogic」「OpenNMS」を挙げている。

 これ以外にもACCを使用しているソフトウエアは数多く存在するとみられる。ACCを直接使用していなくても、端末・サーバーの「クラスパス指定」でアクセスできる範囲内にACCが存在するだけでも、脆弱性の影響を受ける可能性がある。

 脆弱性は、インターネット経由で受け取ったXMLなどのデータをJava内部で扱えるように変換する「デシリアライズ」と呼ばれる処理に起因する。サイバー攻撃などの目的で細工を施したデータを受け取ってデシリアライズが行われると、システムへの侵入を許してしまう可能性がある。

 JVNは、Java以外にPythonやRubyなどのプログラミング言語で書かれたライブラリーやソフトでも同様の問題が存在する可能性があると指摘。「使用するプログラミング言語やライブラリーにかかわらず、ソフトウエアを設計する段階から、データのシリアライズ機能について十分に考慮することが重要」だとしている。

 シリアライズ/デシリアライズという基礎的な処理に起因する脆弱性だけに、影響を回避するには、アプリケーション設計を見直すなどの大掛かりな対策が必要になる。このため、影響が長引く可能性がある。

ここから先はITpro会員(無料)の登録が必要です。

次ページ WebLogicへの脆弱性探索を観測
  • 1
  • 2

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る