IPAの「安全なウェブサイト運営入門」に脆弱性 - サポート終了のため利用中止を

情報処理推進機構（IPA）が提供している「安全なウェブサイト運営入門」に「OSコマンドインジェクション」の脆弱性が含まれていることが明らかになった。すでにサポートを終了しており、利用の中止が呼びかけられている。

「安全なウェブサイト運営入門」は、同機構が2008年にリリースしたWindows向けのセキュリティ学習ソフト。クロスサイトスクリプティングやセッション管理不備などの脆弱性により生じるウェブサイト運営上の事件を疑似体験し、対策の必要性などを学ぶことができる。

同ソフトウェアにおける「セーブデータ」の読み込み処理にOSコマンドインジェクションが可能となる脆弱性「CVE-2017-2128」が存在することが明らかとなったもので、細工されたデータを読み込むとOSのコマンドを実行されるおそれがある。

同ソフトウェアの開発やサポートはすでに終了しており、同機構では利用を中止するよう注意を呼びかけている。

（Security NEXT - 2017/03/16 ） ツイート

PR

関連記事

「Monsta FTP」に深刻な脆弱性 - 8月のアップデートで修正済み
米当局、「FortiWeb」の脆弱性悪用に注意喚起
「FortiWeb」に悪用済み脆弱性が判明 - 今月2件目
「MS Edge」にアップデート - ゼロデイ脆弱性を解消
ファイル管理ツール「File Browser」に脆弱性 - 依存ライブラリに起因
「Chrome」のスクリプトエンジンにゼロデイ脆弱性 - 修正版が公開
Appleの動画エンコーダ「Compressor」に脆弱性 - アップデートで修正
Zoho製アプリ監視ツールにコマンド検証回避の脆弱性 - アップデートで修正
「IBM AIX」のNIM関連機能に深刻な脆弱性 - アップデートで修正
「MS Edge」にアップデート - 「V8」の脆弱性を解消