脆弱性対策情報データベースJVN iPediaの登録状況

Transcription

1 プレスリリース 2010 年 7 月 21 日独立行政法人情報処理推進機構 脆弱性対策情報データベース JVN ipedia の登録状況 [2010 年第 2 四半期 (4 月 ~6 月 )] ~ 古い脆弱性対策情報についても定期的な確認と対策を ~ IPA( 独立行政法人情報処理推進機構 理事長 : 藤江一正 ) セキュリティセンターは 2010 年第 2 四半期 (4 月 ~6 月 ) の脆弱性対策情報データベース JVN ipedia ( ジェイブイエヌアイ ペディア ) の登録状況をまとめました (1) 古い脆弱性対策情報についても定期的な確認と対策を JVN ipedia の脆弱性対策情報の中で 2009 年 7 月から 2010 年 6 月までの 1 年間にアクセスの多かった上位 20 件と四半期毎の推移を発表しました ( 詳細は別紙 1 の表 3. と 4. 参照 ) この表のうち 長期間上位に位置している ( アクセス数が多い ) 情報には 脆弱性の影響を受ける製品の数が多い傾向があります また このような脆弱性対策情報は 時間経過とともに影響を受ける製品やベンダー情報等が更新される場合があります 古い脆弱性でも情報の更新に注意し 改めて未対策の脆弱性がないか確認するとともに 存在する場合は早急な対策実施が必要です (2) NIST の脆弱性データベースからの翻訳登録件数が 7,500 件を突破 2010 年第 2 四半期に 脆弱性対策情報データベース JVN ipedia( ) 日本語版に登録した脆弱性対策情報は 438 件でした 内訳は 国内製品開発者から収集したものが 10 件 ( 累計 98 件 ) 脆弱性対策情報ポータルサイト JVN 1 から収集したものが 38 件 ( 累計 787 件 ) 米国国立標準技術研究所 NIST 2 の脆弱性データベース NVD 3 から IPA が日本国内に影響があると判断し 収集 翻訳したものが 390 件 ( 累計 7,561 件 ) です 2007 年 4 月 25 日の公開開始からの登録件数の累計は 8,446 件となりました (3) 日本国内で使用されている製品の脆弱性対策情報を多数公開 JVN ipedia 日本語版には様々な製品の脆弱性対策情報が登録されています 製品種類別に登録の多い情報は OS に関するものが 2,694 件 デスクトップアプリケーションやミドルウェアなどのアプリケーションに関するものが 5,575 件となっています 他にも ルータやスイッチなどのアプライアンス製品に搭載された組込みソフトウェアに関するものが 158 件 監視制御システム (SCADA 4 ) については 19 件が登録されています IPA が提供している MyJVN( ) では ベンダー名や製品 ( ソフトウェア ) 名から それに該当する脆弱性対策情報を容易に検索することが可能です このツールを活用し 脆弱性対策を早期に実施することを推奨します 本件に関するお問い合わせ先 IPA セキュリティセンター渡辺 / 大森 Tel: Fax: vuln-inq@ipa.go.jp 報道関係からのお問い合わせ先 IPA 戦略企画部広報グループ横山 / 大海 Tel: Fax: pr-inq@ipa.go.jp 1 Japan Vulnerability Notes 脆弱性対策情報ポータルサイト 製品開発者の脆弱性への対応状況を公開し システムのセキュリティ対策を支援しています IPA JPCERT/CC が共同で運営しています 2 National Institute of Standards and Technology 米国国立標準技術研究所 米国の科学技術分野における計測と標準に関する研究を行う機関 3 National Vulnerability Database NIST が運営する脆弱性データベース 4 SCADA : Supervisory Control And Data Acquisition - 1 -

2 別紙 年第 2 四半期脆弱性対策情報データベース JVN ipedia の登録状況 ( 総括 ) 脆弱性対策情報データベース JVN ipedia( ) は 日本国内で使用されているソフトウェア製品の脆弱性対策情報を収集することにより 脆弱性関連情報を容易に利用可能とすることを目指しています 1) 国内のソフトウェア製品開発者が公開した脆弱性対策情報 2) 脆弱性対策情報ポータルサイト JVN 1 で公表した脆弱性対策情報 3) 米国国立標準技術研究所 NIST 2 の脆弱性データベース NVD 3 が公開した脆弱性対策情報 の中から情報を収集 翻訳し 2007 年 4 月 25 日から公開しています 1.1 脆弱性対策情報の登録状況 ~ NIST の脆弱性データベースからの翻訳登録件数が 7,500 件を突破 ~ 2010 年第 2 四半期 (2010 年 4 月 1 日から 6 月 30 日まで ) に JVN ipedia 日本語版へ登録した脆弱性対策情報は 国内製品開発者から収集したもの 10 件 ( 公開開始からの累計は 98 件 ) JVN から収集したもの 38 件 ( 累計 787 件 ) NVD から収集したもの 390 件 ( 累計 7,561 件 ) 合計 438 件 ( 累計 8,446 表 年第 2 四半期の登録件数 情報の収集元登録件数累計件数 国内製品開発者 10 件 98 件 JVN 38 件 787 件日本語版 NVD 390 件 7,561 件 計 438 件 8,446 件 国内製品開発者 10 件 98 件 英語版 JVN 20 件 441 件 計 30 件 539 件 件 ) でした 脆弱性対策情報の登録件数は 日本国内で使用されているソフトウェア製品の脆弱性対策情報を NVD から収集したものが 7,500 件を突破しており 累計では 8,400 件に達しています ( 表 1 図 1) 2010 年第 2 四半期に JVN ipedia 日本語版に登録した脆弱性対策情報を製品の種類で分類すると Linux UNIX Windows Mac OS などの OS が 76 件 Safari Firefox Microsoft Office Java Web サーバ データベースなどのアプリケーションが 359 件 組込みソフトウェアが 1 件 重要インフラなどで利用される監視制御システム (SCADA:Supervisory Control And Data Acquisition) が 2 件となっています JVN ipedia 英語版は 国内製品開発者から収集したもの 10 件 ( 累計 98 件 ) JVN から収集したもの 20 件 ( 累計 441 件 ) 合計 30 件 ( 累計 539 件 ) でした 四半期件数 1, , /4/25 列 1 公開開始 国内製品開発者から収集したもの 8,446 JVNから収集したもの 8,008 7,646 NVDから収集したもの 7,295 累計件数 ( 右目盛り ) 6,666 5,860 6,156 5,347 5,042 4,744 3,882 4,442 4,118 2Q Q Q Q Q Q Q Q Q Q Q 2009 図 1.JVN ipedia の登録件数の四半期別推移 1Q Q ,000 8,000 7,000 6,000 5,000 4,000 3,000 累積件数 1 Japan Vulnerability Notes 脆弱性対策情報ポータルサイト 製品開発者の脆弱性への対応状況を公開し システムのセキュリティ対策を支援しています IPA JPCERT/CC が共同で運営しています 2 National Institute of Standards and Technology 米国国立標準技術研究所 米国の科学技術分野における計測と標準に関する研究を行う機関 3 National Vulnerability Database NIST が運営する脆弱性データベース

3 1.2 脆弱性対策情報データベースに登録されている製品種類別の件数 ~ 日本国内で使用されている製品の脆弱性対策情報を多数公開 ~ 表 2 は JVN ipedia 日本語版の脆弱性対策情報デー 表 2. 登録されている製品種類別の件数 タベースについて 製品種類別の件数を示しています 製品の種類 件数 OS に関するものが 2,694 件 アプリケーションに関 OS(Operating System) 2,694 件 するものが 5,575 件 組込みソフトウェアに関するも アプリケーション 5,575 件 のが 158 件 監視制御システム (SCADA:Supervisory 組込みソフトウェア 158 件 Control And Data Acquisition) に関するものが 19 件 SCADA 19 件 となっています 製品種類別に登録が多い製品として OS では Red 計 8,446 件 Hat Enterprise Linux MIRACLE LINUX といった Linux 製品や Sun Solaris HP-UX といった UNIX 製品 Microsoft Windows Mac OS などが登録されています アプリケーションでは Microsoft Office Mozilla Firefox といったデスクトップアプリケーションや Oracle Database などのミドルウェア PHP Java などが登録されています 組込みソフトウェアについては ルータ スイッチといった アプライアンス製品が多く登録されています 監視制御システム (SCADA:Supervisory Control And Data Acquisition) については GE Fanuc AREVA T&D Rockwell Automation といった海外ベンダ ーの製品が登録されています 国内で利用されているソフトウェア製品の脆弱性対策情報が多数公開されていることから 製品利 用者は情報を日々収集し 製品のバージョンアップやセキュリティ対策パッチの適用などを遅滞なく 行うことが必要です IPA が提供している MyJVN( ) では ベンダー名や製品 ( ソフ トウェア ) 名から それに該当する脆弱性対策情報を容易に検索することが可能です このツールを 活用し 脆弱性対策を早期に実施することを推奨します 年 7 月 ~2010 年 6 月においてアクセス数の多かった脆弱性対策情報上位 20 件 ~ 古い脆弱性対策情報についても定期的な確認と対策を~ 表 3 は 2009 年 7 月 ~2010 年 6 月までの 1 年間にアクセス数の多かった JVN ipedia の脆弱性対策情報を アクセス数の多い順番に上位 20 件まで示し 表 4 は四半期ごとのその上位 20 件の順位を記載しています アクセス数の上位 20 件を分析した結果 上位 20 件のうち 14 件が脆弱性対策情報の更新が行われており 特に 3 位の Apache Tomcat や 10 位の Apache HTTP Server においては 10 回以上の更新が行われています また 最終更新日が 2010 年 1 月以降のものが上位 20 件のうち 6 件となっており 4 位の SSL および TLS については 2010 年 6 月 17 日に更新が行われています この結果から 更新回数が多い または最終更新日が新しい情報についてはアクセス数が多くなる傾向があることが推測されます 上位 10 件の共通脆弱性評価システム CVSS 4 に着目すると 深刻度レベル III( 危険 ) の脆弱性対策情報は 1 件のみで レベル I( 注意 ) とレベル II( 警告 ) が多くを占めています なお 2010 年第 2 4 共通脆弱性評価システム CVSS 概説 CVSS(Common Vulnerability Scoring System 共通脆弱性評価システム )

4 四半期 (4 月 ~6 月 ) の順位上位 20 件のうち 5 件のみが 2009 年 7 月 ~2010 年 6 月のアクセス数上位 20 件にランクインしており 今四半期と過去 1 年間では 注目されている脆弱性対策情報が異なっています 脆弱性対策情報は 公開後も 影響を受ける製品やベンダー情報の更新を行っています 例えば 表 3 の 3 位の Apache Tomcat や 10 位の Apache HTTP Server のように公開日が古い脆弱性対策情報が更新されることもあります このように 脆弱性対策情報は公開後も更新がなされる場合があるため ウェブサイト運営者 システム管理者は 自組織が使用しているソフトウェアの脆弱性対策情報について定期的に確認を行い 未対策や更新漏れがある場合には早急な対策の実施が必要です 表 3.JVN ipedia の脆弱性対策情報のアクセス数上位 20 件 [2009 年 7 月 ~2010 年 6 月 ] 1 JVNDB JVNDB 複数の DNS 実装にキャッシュポ イズニングの脆弱性 OpenSSL におけるバージョン ロ ールバックの脆弱性 3 JVNDB Apache Tomcat において不正な Cookie を送信される脆弱性 4 JVNDB JVNDB JVNDB JVNDB SSL および TLS プロトコルに脆 弱性 Lhaplus におけるバッファオーバ ーフローの脆弱性 Apache Tomcat におけるサービス 運用妨害 (DoS) の脆弱性 Apache Tomcat における情報漏え アクセス数 CVSS 基本値 公開日 最終更新日 /7/ /2/ /4/1 2007/12/ /2/ /1/ /12/ /6/ /4/ /4/ /6/ /4/23 いの脆弱性 /6/ /4/23 8 JVNDB JVNDB ウイルスセキュリティおよびウイ ルスセキュリティ ZERO における サービス運用妨害 (DoS) の脆弱性 X.Org Foundation 製 X サーバに おけるバッファオーバーフローの 脆弱性 10 JVNDB Apache HTTP Server の 413 エラーメッセージにおける HTTP メソッドを適切に検査しない問題 11 JVNDB Apache HTTP Server の mod_imap および mod_imagemap におけるクロスサ イトスクリプティングの脆弱性 /8/ /8/ /1/ /11/ /12/ /11/ /12/ /8/10 12 JVNDB Jasmine の WebLink テンプレー /9/ /3/30-3 -

5 13 ト実行時における複数の脆弱性 JVNDB Namazu におけるクロスサイトスクリプティングの脆弱性 14 JVNDB XML 署名の検証において認証回避が可能な問題 JVNDB PHP におけるクロスサイトスクリプティングの脆弱性 JVNDB Apache Tomcat における情報漏えいの脆弱性 JVNDB FreeNAS におけるクロスサイトリクエストフォージェリの脆弱性 JVNDB IPv6 を実装した複数の製品にサービス運用妨害 (DoS) の脆弱性 19 JVNDB JP1/ 秘文の暗号化 / 復号機能および持ち出し制御機能における正しく動作が行われない問題 20 JVNDB JP1/Cm2/Network Node Manager におけるサービス運用妨害 (DoS) の脆弱性 アクセス数 CVSS 基本値 公開日 最終更新日 /3/ /10/ /8/ /2/ /12/ /6/ /2/ /2/ /8/5 2009/8/ /10/ /1/ /3/ /3/ /5/9 2008/5/9 注 1)CVSS 基本値の深刻度による色分け CVSS 基本値 =0.0~3.9 深刻度 = レベル I( 注意 ) CVSS 基本値 =4.0~6.9 深刻度 = レベル II( 警告 ) CVSS 基本値 =7.0~10.0 深刻度 = レベル III( 危険 ) 注 2) 公開日の年による色分け 2007 年の公開 2008 年の公開 2009 年の公開 注 3) 最終更新日の年による色分け 2008 年以前の更新 2009 年の更新 2010 年の更新 - 4 -

6 表 4.JVN ipedia の脆弱性対策情報のアクセス数上位 20 件 [ 四半期毎のアクセス順位 ] 複数の DNS 実装にキャッシュ 1 JVNDB ポイズニングの脆弱性 2009 年第 3 四半期 (7 月 -9 月 ) 2009 年 2010 年第 4 四半期第 1 四半期 (10 月 -12 月 )(1 月 -3 月 ) 2010 年第 2 四半期 (4 月 -6 月 ) 1 位 1 位 2 位 8 位 2 JVNDB OpenSSL におけるバージョン ロールバックの脆弱性 2 位 4 位 10 位 24 位 3 JVNDB Apache Tomcat において不正な Cookie を送信される脆弱性 3 位 5 位 7 位 14 位 4 JVNDB SSL および TLS プロトコルに脆弱性 位圏外 1 位 1 位 5 JVNDB Lhaplus におけるバッファオーバーフローの脆弱性 19 位 6 位 11 位 22 位 6 JVNDB Apache Tomcat におけるサービス運用妨害 (DoS) の脆弱性 5 位 19 位 17 位 23 位 7 JVNDB Apache Tomcat における情報漏えいの脆弱性 9 位 25 位 9 位 21 位 ウイルスセキュリティおよびウ 8 JVNDB イルスセキュリティ ZERO におけるサービス運用妨害 (DoS) 6 位 14 位 19 位 31 位 の脆弱性 X.Org Foundation 製 X サーバ 9 JVNDB におけるバッファオーバーフローの脆弱性 22 位 11 位 15 位 17 位 10 JVNDB JVNDB JVNDB Apache HTTP Server の 413 エラーメッセージにおける HTTP メソッドを適切に検査しない問題 Apache HTTP Server の mod_imap および mod_imagemap におけるクロスサイトスクリプティングの脆弱性 Jasmine の WebLink テンプレート実行時における複数の脆弱性 14 位 16 位 12 位 26 位 27 位 20 位 13 位 13 位 34 位 3 位 20 位 47 位 13 JVNDB Namazu におけるクロスサイトスクリプティングの脆弱性 14 JVNDB XML 署名の検証において認証回避が可能な問題 15 JVNDB PHP におけるクロスサイトスクリプティングの脆弱性 31 位 7 位 16 位 34 位 62 位 8 位 5 位 79 位 18 位 13 位 25 位 33 位 - 5 -

7 16 JVNDB Apache Tomcat における情報漏えいの脆弱性 2009 年第 3 四半期 (7 月 -9 月 ) 2009 年 2010 年第 4 四半期第 1 四半期 (10 月 -12 月 )(1 月 -3 月 ) 2010 年第 2 四半期 (4 月 -6 月 ) 12 位 23 位 21 位 38 位 17 JVNDB JVNDB JVNDB JVNDB FreeNAS におけるクロスサイトリクエストフォージェリの脆弱性 IPv6 を実装した複数の製品にサービス運用妨害 (DoS) の脆弱性 JP1/ 秘文の暗号化 / 復号機能および持ち出し制御機能における正しく動作が行われない問題 JP1/Cm2/Network Node Manager におけるサービス運用妨害 (DoS) の脆弱性 4 位 37 位 51 位 100 位圏外 - 2 位 18 位 36 位 47 位 10 位 28 位 48 位 38 位 18 位 30 位 41 位 - 6 -

8 1. 脆弱性対策情報の登録状況 1.1 バッファエラーなど 広く知れ渡っている対策情報が数多く公開されています 別紙 2 共通脆弱性タイプ一覧 CWE 5 は 脆弱性の種類を識別するための共通の脆弱性タイプの一覧です CWE を用いると ソフトウェアの多種多様にわたる脆弱性に関して 脆弱性の種類 ( 脆弱性タイプ ) の識別や分析 国内外での比較などが可能になります 図 2 に JVN ipedia へ今四半期に登録した脆 弱性対策情報を CWE で分類した 脆弱性の種類ごとの件数を示します 件数が多い脆弱性は CWE-119( バッファエラー ) が 70 件 CWE-399( リソース管理の問題 ) が 42 件 CWE-264( 認可 権限 アクセス制御の問題 ) が 39 件 CWE-79( クロスサイト スクリプ ティング ) が 30 件 CWE-94( コード インジェクション ) が 25 件 CWE-20( 不適切な入力確認 ) が 23 件 CWE-189( 数値処理の問題 ) が 15 件 などとなっています これらは広く知れ渡っている脆弱性の種類です 製品開発者は これらの脆弱性に関して IPA が公 開している 安全なウェブサイトの作り方 6 安全な SQL の呼び出し方 7 セキュア プログラ ミング講座 8 などを参考に ソフトウェア製品の企画 設計段階からセキュリティ実装を考慮する 必要があります 件数 CWE-119 CWE-399 CWE-264 CWE-79 CWE-94 CWE-20 CWE-189 CWE-200 CWE-287 CWE-255 図 年第 2 四半期に登録した脆弱性の種類 CWE-119: バッファエラー CWE-399: リソース管理の問題 CWE-264: 認可 権限 アクセス制御の問題 CWE-79 : クロスサイト スクリプティング CWE-94 : コード インジェクション CWE-20 : 不適切な入力確認 CWE-189: 数値処理の問題 CWE-200: 情報漏えい CWE-287: 不適切な認証 CWE-255: 証明書 パスワード管理 1.2 深刻度の高い脆弱性対策情報が数多く公開されています 図 3 に JVN ipedia に登録済みの脆弱性対策情報について 製品開発者やセキュリティポータルサ イト等が脆弱性の対策情報を公開した日を基にした 脆弱性の深刻度の公開年別推移を示します 2004 年以降 脆弱性対策情報の公開が急増しており 2009 年まで増加傾向となっています JVN ipedia では 共通脆弱性評価システム CVSS 9 により それぞれの脆弱性の深刻度 10 を公開して います 2010 年第 2 四半期まで (4 月 ~6 月 ) では レベル III( 危険 CVSS 基本値 =7.0~10.0) が 46% レベル II( 警告 CVSS 基本値 =4.0~6.9) が 45% レベル I( 注意 CVSS 基本値 =0.0~3.9) 5 Common Weakness Enumeration 概要は次を参照下さい 共通脆弱性評価システム CVSS 概説 CVSS(Common Vulnerability Scoring System 共通脆弱性評価システム ) 10 脆弱性の深刻度評価の新バージョン CVSS v2 への移行について

9 が 9% となっています 深刻度の高い脆弱性が多数公開されていることから 製品利用者は情報を日々収集し 製品のバー ジョンアップやセキュリティ対策パッチの適用などを遅滞なく行うことが必要です 1,800 レベルIII( 危険 CVSS 基本値 =7.0~10.0) ,600 レベルII ( 警告 CVSS 基本値 =4.0~6.9) 1,400 レベルI ( 注意 CVSS 基本値 =0.0~3.9) ,200 件 921 1,000 数 図 3. 脆弱性の深刻度の公開年別推移 616 (~2010/6/30) 1.3 アプリケーション ソフトウェアの脆弱性対策情報の公開が年々増加しています 図 4 に JVN ipedia に登録済みの脆弱性対策情報について その製品の種類の公開年別推移を示し ます Safari Internet Explorer Firefox Microsoft Office などのデスクトップアプリケーションや Web サーバ アプリケーションサーバ データベースなどのミドルウェア また PHP Java など アプリケーション ソフトウェアの脆弱性対策情報の公開が年々増加しています 毎年 数多くのア プリケーションが新しく開発され それらにおいて脆弱性が発見されており アプリケーション ソ フトウェアのセキュリティ対策は重要度を増しています Windows Mac OS UNIX Linux などの OS に関しては 2005 年頃までは脆弱性の公開件数が増 加傾向にありましたが 2005 年以降は公開件数が減少傾向にあり毎年脆弱性は発見されるものの 後継製品で脆弱性対策が迅速に施されています 2005 年頃から ネットワーク機器 携帯電話 DVD レコーダなどの情報家電など 組込みソフト ウェアの脆弱性の対策情報が徐々に公開されています 2008 年頃からは 重要インフラなどで利用される 監視制御システム (SCADA:Supervisory Control And Data Acquisition) についても脆弱性の対策情報が公開されています 2008 年分として 6 件 2009 年分は 9 件 2010 年分は 4 件 合計 19 件の SCADA に関する脆弱性対策情報を公開しています 件数 1,800 1,600 1,400 1,200 1, SCADA 組込みソフトウェア アプリケーション OS 図 4. 脆弱性対策情報を公表した製品の種類の公開年別推移 (~2010/6/30) - 8 -

10 1.4 オープンソースソフトウェアの割合 図 5 に JVN ipedia に登録済みの脆弱性対策情報について オープンソースソフトウェア (OSS) と OSS 以外のソフトウェアの公開年別推移を示します その割合は全体で OSS が 34% OSS 以外 が 66% となっています OSS の割合の年別推移を見ると 1998 年から 2003 年までは上昇傾向でし たが 2004 年に減少し 近年は大きな変化なく推移しています 件数 1,800 1,600 1,400 1,200 1, OSS 以外 OSS( オープンソースソフトウェア ) OSS の割合 ( 右目盛り ) 図 5. オープンソースソフトウェア (OSS) と OSS 以外の公開年別推移 (%) (~2010/6/30) 1.5 ソフトウェア製品の開発者 ( ベンダー ) の内訳 JVN ipedia に登録済みのソフトウェア製品の開発者 ( ベンダー ) に関して 図 6 に OSS のベンダーの内訳 図 7 に OSS 以外のベンダーの内訳を示します OSS は 国内ベンダーが 62 海外ベンダー( 日本法人有り ) が 22 海外ベンダー( 日本法人無し ) が 221 合計 305 ベンダーとなっています OSS 以外は 国内ベンダーが 108 海外ベンダー( 日本法人有り ) が 61 海外ベンダー( 日本法人無し ) が 43 合計 212 ベンダーとなっています OSS に関しては 日本法人の無い海外ベンダーの脆弱性対策情報が数多く登録されています OSS を利用する場合 製品のバージョンアップやセキュリティパッチの適用などのノウハウを持たない製品利用者は 製品のサポートサービスの活用 保守契約上の取り決め等の考慮が必要です 62 国内ベンダー 海外ベンダー ( 日本法人無し ) 43 国内ベンダー 海外ベンダー ( 日本法人無し ) 海外ベンダー ( 日本法人有り ) 合計 305 ベンダー 61 海外ベンダー ( 日本法人有り ) 108 合計 212 ベンダー 図 6.OSS のベンダーの内訳 図 7.OSS 以外のベンダーの内訳 - 9 -

11 2. 脆弱性対策情報の活用状況表 5 は 2010 年第 2 四半期 (4 月 ~6 月 ) にアクセスの多かった JVN ipedia の脆弱性対策情報を アクセス数の多い順番に上位 20 件まで示しています DNS 実装や OpenSSL Apache Tomcat などは 脆弱性対策情報の公開から時間が経過しても多数のアクセスがあり 利用者が注目している情報 となっています 一太郎シリーズ サイボウズ MODx Cisco Router and Security Device Manager など 近年公開した情報にも多数のアクセスがありました 表 6 は国内の製品開発者から収集した脆弱性対策情報のアクセス数上位 5 件を示しています 表 5.JVN ipedia の脆弱性対策情報のアクセス数上位 20 件 [2010 年 4 月 ~2010 年 6 月 ] アクセス数 CVSS 基本値 公開日 1 JVNDB SSL および TLS プロトコルに脆弱性 /12/14 2 JVNDB JVNDB 一太郎シリーズにおける任意のコードが実行され る脆弱性 複数のサイボウズ製品におけるアクセス制限に関 する脆弱性 /4/ /4/20 4 JVNDB OpenSSL における複数の関数に関する脆弱性 /4/9 5 JVNDB MODx における SQL インジェクションの脆弱 性 /4/8 6 JVNDB Internet Explorer における情報漏えいの脆弱性 /4/7 7 JVNDB JVNDB Cisco Router and Security Device Manager にお けるクロスサイトスクリプティングの脆弱性 複数の DNS 実装にキャッシュポイズニングの 脆弱性 /4/ /7/23 9 JVNDB 複数のアンチウィルス製品に脆弱性 /5/10 10 JVNDB 一太郎シリーズにおける任意のコードが実行され る脆弱性 JVNDB HL-SiteManager における SQL インジェクションの脆弱性 /6/ /4/2 12 JVNDB OpenPNE におけるアクセス制限回避の脆弱性 /3/5 13 JVNDB Apache HTTP Server の mod_imap および mod_imagemap におけるクロスサイトスクリプティングの脆弱性 14 JVNDB Apache Tomcat において不正な Cookie を送信される脆弱性 15 JVNDB Adobe Flash ActionScript AVM2 newfunction 命令に脆弱性 16 JVNDB 一太郎シリーズにおけるバッファオーバーフロー の脆弱性 /12/ /2/ /06/ /4/7-10 -

12 17 JVNDB X.Org Foundation 製 X サーバにおけるバッファオーバーフローの脆弱性 18 JVNDB Apache HTTP Server の ap_read_request 関数における重要な情報を取得される脆弱性 JVNDB MODx におけるクロスサイトスクリプティングの脆弱性 JVNDB WebSAM DeploymentManager におけるサービス運用妨害 (DoS) の脆弱性 アクセス数 CVSS 基本値 公開日 /1/ /3/ /4/ /5/17 表 6. 国内の製品開発者から収集した脆弱性対策情報のアクセス数上位 5 件 [2010 年 4 月 ~2010 年 6 月 ] 1 JVNDB JVNDB JP1/Cm2/Network Node Manager におけるサー ビス運用妨害 (DoS) の脆弱性 Jasmine の WebLink テンプレート実行時にお ける複数の脆弱性 3 JVNDB JP1/ 秘文の暗号化 / 復号機能および持ち出し制御機能における正しく動作が行われない問題 4 JVNDB JVNDB JP1/VERITAS NetBackup の JAVA Administration GUI における特権昇格の脆弱性 Accela BizSearch のローカル収集におけるアク セス権限に関する脆弱性 アクセス数 CVSS 基本値 公開日 /5/ /9/ /3/ /11/ /4/2 注 1)CVSS 基本値の深刻度による色分け CVSS 基本値 =0.0~3.9 深刻度 = レベル I( 注意 ) CVSS 基本値 =4.0~6.9 深刻度 = レベル II( 警告 ) CVSS 基本値 =7.0~10.0 深刻度 = レベル III( 危険 ) 注 2) 公開日の年による色分け 2008 年以前の公開 2009 年の公開 2010 年の公開