ニュース

IPAの脆弱性学習ツールに脆弱性があると判明

最悪の場合、任意のコードや意図しない処理が実行されてしまう恐れ

“JVN”が公表した脆弱性レポート

 脆弱性対策情報ポータルサイト“JVN”は9日、脆弱性体験学習ツール「AppGoat」に複数の脆弱性が存在することを明らかにした。

 「AppGoat」は、独立行政法人情報処理推進機構(IPA)が無償で提供する脆弱性体験学習ツール。テーマごとに用意された演習問題に挑戦しながら、脆弱性の発見、プログラミング上の問題点の把握、対策の手法を対話的に学習できる。

 “JVN”が公表した脆弱性レポートによると、「AppGoat」のWebアプリケーション用学習ツールv3.0.0およびそれ以前のバージョンには、任意のコードが実行可能な脆弱性(JVN#71666779)、DNSリバインディングの脆弱性(JVN#87662835)、認証不備の脆弱性(JVN#88176589)、クロスサイトリクエストフォージェリの脆弱性(JVN#39008927)が存在するという。最悪の場合、任意のコードや意図しない処理が実行されてしまう恐れがある。

 なお、IPAは修正版のv3.0.1を同日付でリリース済み。Webアプリケーション用学習ツールv2.0およびv3.0を利用している場合はそれを停止するか、修正版を再インストールするよう呼び掛けている。

窓の杜をいいね・フォローして最新記事をチェック!