Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
脆弱性対策情報データベース JVN iPedia に関する活動報告レポートについて
本レポートでは、2017 年 7 月 1 日から 2017 年 9 月 30 日までの間に JVN iPedia
で登録をした脆弱性対策情報の統計及び事例について紹介しています。
脆弱性対策情報データベース
JVN iPedia に関する
活動報告レポート
[2017 年第 3 四半期(7 月~9 月)]
独立行政法人情報処理推進機構 技術本部 セキュリティセンター
2017 年 10 月 24 日
目次
1. 2017 年第 3四半期 脆弱性対策情報データベース JVN iPedia の登録状況 .............................. - 2 -
1-1. 脆弱性対策情報の登録状況 ................................................................................................... - 2 -
1-2. 【注目情報 1】「BlueBorne」と呼ばれる Bluetooth の脆弱性について ............................. - 3 -
1-3. 【注目情報 2】Apache Struts2 の脆弱性対策情報について ............................................... - 4 -
2. JVN iPedia の登録データ分類 ....................................................................................................... - 6 -
2-1. 脆弱性の種類別件数 .............................................................................................................. - 6 -
2-2. 脆弱性に関する深刻度別割合 ................................................................................................ - 7 -
2-3. 脆弱性対策情報を公表した製品の種類別件数 ...................................................................... - 8 -
2-4. 脆弱性対策情報の製品別登録状況 ........................................................................................ - 9 -
3. 脆弱性対策情報の活用状況 ........................................................................................................ - 10 -
2
表 1-1. 2017年第 3 四半期の登録件数
情報の収集元 登録件数 累計件数
日本語版
国内製品開発者 3件 186件
JVN 181件 7,651件
NVD 3,511件 66,854件
計 3,695件 74,691件
英語版
国内製品開発者 3件 186件
JVN 66件 1,611件
計 69件 1,797件
1. 2017年第 3四半期 脆弱性対策情報データベース JVN iPediaの登録状況
脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/ )」は、ソフトウェア製品に関
する脆弱性対策情報を 2007 年 4 月 25日から日本語で公開しています。システム管理者が迅速に脆
弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情
報ポータルサイト JVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所 NIST(*2)の脆弱
性データベース「NVD(*3)」が公開した脆弱性対策情報を集約、翻訳しています。
1-1. 脆弱性対策情報の登録状況
~脆弱性対策情報の登録件数の累計は 74,691 件~
2017 年第 3 四半期(2017 年 7 月 1 日から 9 月
30 日まで)に JVN iPedia 日本語版へ登録した脆弱
性対策情報は右表の通りとなり、脆弱性対策情報の
登録件数の累計は、74,691件でした(表1-1、図1-1)。
2017年からNVDの公開件数が大幅に増加しており、
今四半期の JVN iPediaの登録件数は 3,695 件と、昨
年同時期(2016 年 7 月~9 月)の件数 1,738 件と
比べて倍以上となっています。
また、JVN iPedia英語版へ登録した脆弱性対策情報は右表の通り、累計で 1,797 件になりました。
61,309 63,047
64,618 67,485
70,996 74,691
0
10,000
20,000
30,000
40,000
50,000
60,000
70,000
80,000
0
1,000
2,000
3,000
4,000
5,000
2Q2016
3Q2016
4Q2016
1Q2017
2Q2017
3Q2017
四半期件数
国内製品開発者から収集したものJVNから収集したものNVDから収集したもの累計件数(右目盛り)
1,738件
3,695件
2007/4/25
公開開始
累計件数
図1-1. JVN iPediaの登録件数の四半期別推移
(*1) Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリ
ティ対策を支援しています。IPA、JPCERT/CC が共同で運営しています。 https://jvn.jp (*2) National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する
研究を行う機関。https://www.nist.gov (*3)National Vulnerability Database。NIST が運営する脆弱性データベース。https://nvd.nist.gov
3
1-2. 【注目情報 1】「BlueBorne」と呼ばれる Bluetoothの脆弱性について
~全 8件の脆弱性のうち半数の 4件が深刻度「危険」、早急な脆弱性対策を~
2017 年 9 月、Bluetooth(*4)に「BlueBorne」と呼ばれる脆弱性が存在することが海外のセキュリ
ティベンダ(*5)から公表されました。本脆弱性は、Android や iOS、Windows、Linux などで広く利
用されている Bluetooth の実装に存在し、脆弱性の発見者によると 82 億デバイスを超える Blue-
tooth 機能を持つすべてのデバイスに影響を与える可能性がある、という情報が公表されています。
対象となる製品などのデバイスが多数存在しており、被害が発生した場合の影響も大きいことから
IPA では広く一般向けに緊急対策情報を公開(*6)しています。
表 1-2は JVN iPedia に登録された「BlueBorne」に関する脆弱性対策情報の一覧です。CVSSv2(基
本値)に着目すると、全 8 件の脆弱性のうち半数の 4 件が深刻度「危険」となっています。
表 1-2. JVN iPedia で公開している「BlueBorne」に関する脆弱性対策情報
警告(4.3)
CVSSv2
(基本値)
危険(7.9)
JVNDB-2017-007671
(CVE-2017-0781)
Android システムにおけるアクセス制御に関する
脆弱性
JVNDB-2017-007672
(CVE-2017-0782)
Android システムにおけるアクセス制御に関する
脆弱性
JVNDB-2017-007673
(CVE-2017-0783)
Android システムにおける情報漏えいに関する脆
弱性
JVNDB-2017-007674
(CVE-2017-0785)
Android システムにおける情報漏えいに関する脆
弱性
危険(8.3)
危険(8.3)
警告(6.1)
注意(3.3)
注意(3.3)
危険(8.3)
6 Linux Kernel におけるバッファエラーの脆弱性
7 iOSJVNDB-2017-007675
(CVE-2017-14315)
Apple iOS の LEAP の実装におけるヒープオー
バーフローの脆弱性
8 Windows
Linux
JVNDB-2017-007669
(CVE-2017-1000250)
JVNDB-2017-007670
(CVE-2017-1000251)
JVNDB-2017-007479
(CVE-2017-8628)
複数の Microsoft Windows 製品のMicrosoft
Bluetooth ドライバにおけるなりすましの脆弱性
3
4
5 BlueZ における情報漏えいに関する脆弱性
Android
No タイトル脆弱性の影響を受けるOS種別
1
2
JVNDB
(CVE)
これらの脆弱性を悪用された場合、デバイスに記録されている機密情報が、攻撃者により窃取され
る、あるいはボットやランサムウェアをはじめとするマルウェア(ウイルス)に感染させられ遠隔操
作で機器を乗っ取られる、などの被害を受ける可能性があります。
Bluetooth 機能を持つ PC やスマートフォンなどのデバイスを利用する使用者は、デバイスを提供
するベンダのセキュリティ情報を確認し、当該脆弱性の対象となっている場合にはアップデートなど
の対策を実施してください。また Bluetooth 機能を必要としない場合には、接続の設定を無効とする
ことで本脆弱性の影響を回避できます。
なお、IPA では「重要なセキュリティ情報」を自組織内でいち早くキャッチできる、サイバーセキ
ュリティ注意喚起サービス「icat for JSON」(*7)を提供しています。是非ご活用ください。
(*4)無線通信の規格の1つ。例えばノートパソコンやスマートフォンにおいて短距離無線でキーボードやイアホンなどを接続する際
などに利用される。 (*5)BlueBorne Information from the Research Team - Armis Labs
https://www.armis.com/blueborne/ (*6)IPA:Bluetooth の実装における複数の脆弱性について
https://www.ipa.go.jp/security/ciadr/vul/20170914_blueborne.html (*7)IPA:サイバーセキュリティ注意喚起サービス「icat for JSON」
https://www.ipa.go.jp/security/vuln/icat.html
4
1-3. 【注目情報 2】Apache Struts2の脆弱性対策情報について
~直近 1年間に登録した脆弱性対策情報は 8件、その内の 3件は最も深刻度の高い「危険」~
約 1.4 億人に及ぶ顧客の氏名やクレジットカード情報などが流出した可能性があると、個人情報
を取り扱う米国の大手信用情報会社から、2017 年 9 月に公表(*8)されました。同社が公表した情
報によると、悪用されたのは 2017 年 3 月に公開済の Apache Struts2 の脆弱性
(JVNDB-2017-001621)であることが分かっています(*9)。IPA では、本脆弱性を悪用した攻撃
が発生することを予見して、2017 年 3月に緊急対策情報(*10)を発信していました。
また、上記と異なる Apache Sturuts2 の脆弱性(JVNDB-2017-006931)が 2017 年 9 月に公開さ
れており、これについても攻撃コードが存在し被害が発生する可能性があったため、IPA は 2017
年 9 月に注意喚起情報(*11)を発信しています。
表 1-3 は直近 1 年間(2016 年 10 月 1 日~2017 年 9 月 30 日)に JVN iPedia に登録された、
Apache Struts2 に関する脆弱性対策情報の一覧です。直近 1年間では上記2件を含む、合計 8件
の Apache Struts2 に関する脆弱性対策情報を登録公開しています。
表 1-3. JVN iPedia で公開している Apache Struts2 に関する脆弱性対策情報
(対象期間:2016 年 10月 1 日~2017 年 9 月 30 日)
NoJVNDB
(CVE)タイトル
CVSSv2
(基本値)
JVN iPedia
登録日
1JVNDB-2015-007737
(CVE-2015-5209)Apache Struts 2 における Struts 内部を操作される脆弱性
警告(5.0)
2017/9/12
2JVNDB-2017-006931
(CVE-2017-9805)Apache Struts2 に任意のコードが実行可能な脆弱性 (S2-052)
危険(7.5)
2017/9/7
3JVNDB-2017-005786
(CVE-2017-9787)Apache Struts 2 におけるアクセス制御に関する脆弱性
警告(4.0)
2017/8/7
4JVNDB-2017-005785
(CVE-2017-7672)Apache Struts 2 における入力確認に関する脆弱性
警告(4.3)
2017/8/7
5JVNDB-2017-004912
(CVE-2017-9791)
Apache Struts2 の Struts1 プラグインを使用するアプリケーション
に任意のコードが実行可能な脆弱性
警告(5.1)
2017/7/11
6JVNDB-2017-001621
(CVE-2017-5638)Apache Struts2 に任意のコードが実行可能な脆弱性
危険 (10.0)
2017/3/10
7JVNDB-2017-000012
(CVEなし)
Apache Struts 2 において devMode が有効な場合に任意の
Java(OGNL) コードが実行可能な問題警告(6.8)
2017/1/20
8JVNDB-2016-005078
(CVE-2016-4436)Apache Struts 2 における脆弱性
危険 (7.5)
2016/10/6
上述した JVNDB-2017-001621 の脆弱性情報は、CVSSv2 基本値の中で最も深刻度が高い「危
険(10.0)」です。この他の2件を含め、8 件中 3 件が最も深刻度の高い「危険」となっています。
Apache Struts2 を利用するシステムの管理者は、日頃からソフトウェア提供元のベンダ情報(*12)
やセキュリティベンダの情報を収集し迅速な脆弱性対策を実施することが重要です。IPA では
「Apache Struts2 の脆弱性対策情報一覧」(*13) を公開していますので、セキュリティ情報を収
(*8)Equifax Announces Cybersecurity Incident Involving Consumer Information
https://investor.equifax.com/news-and-events/news/2017/09-07-2017-213000628 (*9)Equifax Releases Details on Cybersecurity Incident, Announces Personnel Changes
https://investor.equifax.com/news-and-events/news/2017/09-15-2017-224018832 (*10)IPA:Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)(S2-046)
https://www.ipa.go.jp/security/ciadr/vul/20170308-struts.html (*11)IPA:Apache Struts2 の脆弱性対策について(CVE-2017-9805)(S2-052)
https://www.ipa.go.jp/security/ciadr/vul/20170906-struts.html (*12)Apache Struts 2 DocumentationSecurity Bulletins
https://struts.apache.org/docs/security-bulletins.html (*13)IPA:Apache Struts2 の脆弱性対策情報一覧
https://www.ipa.go.jp/security/announce/struts2_list.html
5
集する際の一助としてご活用ください。
6
2. JVN iPedia の登録データ分類
2-1. 脆弱性の種類別件数
図 2-1は、2017 年第 3四半期(7月~9月)に JVN iPedia へ登録した脆弱性対策情報を、共通脆
弱性タイプ一覧(CWE)によって分類し、件数を集計したものです。
集計結果は件数が多い順に、CWE-119(バッファエラー)が 735 件、CWE-284(不適切なアク
セス制御)が 367 件、CWE-79(クロスサイト・スクリプティング)が 358 件、CWE-264(認可・
権限・アクセス制御不備)が 327 件、CWE-200(情報漏えい)が 324 件でした。最も件数の多かっ
た CWE-119(バッファエラー)は、悪用されるとサーバや PC 上で悪意のあるコードが実行され、
データを盗み見られたり、改ざんされる、などの被害が発生する可能性があります。
製品開発者は、ソフトウェアの企画・設計段階から、脆弱性の低減に努めることが求められます。
なお、IPA ではそのための資料やツールとして、開発者や運営者がセキュリティを考慮したウェブサ
イトを作成するための資料「安全なウェブサイトの作り方(*14)」や「IPA セキュア・プログラミング
講座(*15)」、脆弱性の仕組みを実習形式や演習機能で学ぶことができる脆弱性体験学習ツール
「AppGoat(*16)」などを公開しています。
735
367 358 327 324 235
101 98 80 78 0
100
200
300
400
500
600
700
800
CWE-119 CWE-284 CWE-79 CWE-264 CWE-200 CWE-20 CWE-89 CWE-399 CWE-125 CWE-476
件数
CWE-119 :バッファエラーCWE-284 :不適切なアクセス制御CWE-79 :クロスサイト・スクリプティングCWE-264 :認可・権限・アクセス制御CWE-200 :情報漏えいCWE-20 :不適切な入力確認CWE-89 :SQLインジェクションCWE-399 :リソース管理の問題CWE-125 :境界外読み取りCWE-476 :NULL ポインタデリファレンス
図2-1. 2017年第3四半期に登録された脆弱性の種類別件数
(*14)IPA:「安全なウェブサイトの作り方」
https://www.ipa.go.jp/security/vuln/websecurity.html (*15)IPA:「IPA セキュア・プログラミング講座」
https://www.ipa.go.jp/security/awareness/vendor/programming/ (*16)IPA:脆弱性体験学習ツール 「AppGoat」
https://www.ipa.go.jp/security/vuln/appgoat/
7
2-2. 脆弱性に関する深刻度別割合
図 2-2は JVN iPedia に登録済みの脆弱性対策情報を CVSSv2 の値に基づいて深刻度別に分類し、
公表年別にその推移を示したものです。
脆弱性対策情報の登録開始から 2017 年 9 月 30日までに JVN iPedia に登録した脆弱性対策情報
は深刻度別に、レベルⅢが全体の 38.4%、レベルⅡが 53.8%、レベルⅠが 7.8%となっており、情報
の漏えいや改ざんされるような高い脅威であるレベルⅡ以上が、92.2%を占めています。
既知の脆弱性による脅威を回避するため、製品利用者は日頃から脆弱性が解消されている製品への
バージョンアップやアップデートなどを速やかに行ってください。
なお、JVN iPedia では、これまでの CVSSv2による評価方法に加えて、2015 年 12 月 1日から
CVSSv3(*17)による評価方法も試行運用をしています(*18)。
6,600 6,468
5,722 5,697
4,753 4,490
5,477 5,890
7,498 7,035
8,051
6,897
0
1,000
2,000
3,000
4,000
5,000
6,000
7,000
8,000
9,000
10,000
~2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017
件数
レベルⅢ(危険、CVSS基本値=7.0~10.0)レベルⅡ(警告、CVSS基本値=4.0~6.9)レベルⅠ(注意、CVSS基本値=0.0~3.9)
図2-2. 脆弱性の深刻度別件数
(~2017/9/30)
(*17)CVSSv3:脆弱性の深刻度を評価するための指標。
CVSSv2 と比較すると、仮想化やサンドボックス化などの利用状況の変化を取り込んだ仕様となっている。
https://www.ipa.go.jp/security/vuln/CVSSv3.html (*18)共通脆弱性評価システム CVSS v3 (新バージョン)での評価の開始について
https://www.ipa.go.jp/security/vuln/SeverityLevel3.html
8
2-3. 脆弱性対策情報を公表した製品の種類別件数
図 2-3は JVN iPediaに登録済みの脆弱性対策情報を、ソフトウェア製品の種類別に件数を集計し、
年次でその推移を示したものです。2017 年で最も多い種別はアプリケーションに関する脆弱性対策
情報で、2017 年の件数全件の 74.3%(5,134 件/全 6,903 件)を占めています。
6,620 6,470
5,727 5,699 4,769
4,515
5,484 5,896
7,509 7,040
8,059
6,903
0
1,000
2,000
3,000
4,000
5,000
6,000
7,000
8,000
9,000
10,000
~2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017
件数
産業用制御システム組込みソフトウェアアプリケーションOS
5,134件74.3%
図2-3. 脆弱性対策情報を公表した製品の種類別件数の公開年別推移(~2017/9/30)
また2007年以降、重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報
を登録しています。これまでに累計で、1,190 件を登録しています(図 2-4)。
1 9 10 2294
178141
191151
240
153
0
40
80
120
160
200
240
280
2007年 2008年 2009年 2010年 2011年 2012年 2013年 2014年 2015年 2016年 2017年
件数
図2-4. JVN iPedia登録件数(産業用制御システムのみ抽出)(~2017/9/30)
9
2-4. 脆弱性対策情報の製品別登録状況
表 2-1 は 2017 年第 3 四半期(7 月~9 月)に JVN iPedia へ脆弱性対策情報の登録件数が多かっ
た製品の上位 20 件を示したものです。1 位の Android OSの登録件数は 298 件となっており、2位
の画像処理ソフト ImageMagick の 123 件と比較をすると倍以上の件数となっています。また、3 位
以降については OS、PDF、画像処理といった分類の製品が占めており、国内の企業や家庭で使われ
ている製品に関する脆弱性対策情報が広く登録されています。
JVN iPedia は、表に記載されている製品以外にも、幅広い脆弱性対策情報を登録公開しています。
製品の利用者や開発者は、自組織などで使用しているソフトウェアの脆弱性対策情報を迅速に入手し、
効率的な対策に役立ててください(*19)。
表 2-1. 製品別 JVN iPedia の脆弱性対策情報登録件数 上位 20 件 [2017 年 7 月~2017 年 9 月]
順位 カテゴリ 製品名(ベンダ名) 登録件数
1 OS Android(Google) 298
2 画像処理ソフト ImageMagick(ImageMagick) 123
3 ブラウザ Microsoft Edge(マイクロソフト) 80
4 画像処理ソフト XnView(XnSoft) 74
5 OS Microsoft Windows 10(マイクロソフト) 73
6 OS Microsoft Windows Server 2016(マイクロソフト) 69
7 PDF 閲覧・編集 Adobe Acrobat(アドビシステムズ) 66
7 PDF 閲覧 Adobe Reader(アドビシステムズ) 66
7 PDF 閲覧・編集 Adobe Acrobat DC(アドビシステムズ) 66
7 PDF 閲覧 Adobe Acrobat Reader DC(アドビシステムズ) 66
11 OS Microsoft Windows 8.1(マイクロソフト) 60
11 OS Microsoft Windows Server 2012(マイクロソフト) 60
13 OS Microsoft Windows Server 2008(マイクロソフト) 55
14 OS Microsoft Windows RT 8.1(マイクロソフト) 54
15 OS Microsoft Windows 7(マイクロソフト) 52
16 画像ビューア IrfanView(Irfan Skiljan) 51
17 OS iOS(アップル) 48
18 OS Linux Kernel(kernel.org) 40
19 OS tvOS(アップル) 37
19 バイナリツール GNU Binutils(GNU Project) 37
(*19)脆弱性情報の収集や集めた情報の活用方法についての手引きをまとめたレポート
「脆弱性対策の効果的な進め方(実践編)」を公開。
https://www.ipa.go.jp/security/technicalwatch/20150331.html
10
3. 脆弱性対策情報の活用状況
表 3-1 は 2017 年第 3 四半期(7 月~9 月)にアクセスの多かった JVN iPedia の脆弱性対策情報
の上位 20 件を示したものです。1 位の ScreenOS は企業向けルータで使用される OS 製品です。こ
の製品の脆弱性種別はクロスサイトスクリプティングとなっており、悪用をされるとルータ管理者が
操作するウェブブラウザ上で任意の Web スクリプトまたは HTML を挿入されるなどの被害が発
生する可能性があります。対象製品を利用している場合、システム管理者は、ベンダが提供する対策
パッチなどを早期に自システムに適用し、攻撃による被害を未然に防ぐことが重要です。
表 3-1.JVN iPedia の脆弱性対策情報へのアクセス 上位 20 件 [2017 年 7 月~2017 年 9 月]
順位
ID タイトル CVSSv2 基本値
公開日 アクセス数
1 JVNDB-2017-000183 ScreenOS における複数のクロスサイトスクリ
プティングの脆弱性 4.0 2017/7/24 4,772
2 JVNDB-2017-000174
アタッシェケースで作成された自己実行可能形
式の暗号化ファイルにおける DLL 読み込みに
関する脆弱性
6.8 2017/7/14 4,394
3 JVNDB-2017-000169
Lhaz と Lhaz+ のインストーラ、および Lhaz
や Lhaz+ で作成された自己解凍書庫ファイル
における DLL 読み込みに関する脆弱性
6.8 2017/7/7 4,223
4 JVNDB-2017-000179 バッファロー製の複数の無線 LAN アクセスポ
イントにおける認証不備の脆弱性 10.0 2017/7/20 3,826
5 JVNDB-2017-005208 gSOAP にスタックバッファオーバーフローの
脆弱性 7.5 2017/7/21 3789
6 JVNDB-2017-000182
WordPress 用プラグイン Simple Custom CSS
and JS におけるクロスサイトスクリプティング
の脆弱性
2.6 2017/7/24 3,705
7 JVNDB-2017-000180 バッファロー製の複数の無線 LAN ルータに複
数の脆弱性 4.3 2017/7/20 3,667
8 JVNDB-2016-005802 Microsoft IME における任意の DLL 読み込み
に関する脆弱性 5.1 2016/11/11 3,654
9 JVNDB-2017-000171
Windows 版 Mozilla Firefox および Thun-
derbird のインストーラにおける DLL 読み込
みに関する脆弱性
6.8 2017/7/11 3,607
10 JVNDB-2017-000184 Tween のインストーラにおける DLL 読み込み
に関する脆弱性 6.8 2017/7/24 3,594
11 JVNDB-2017-000181 WordPress 用プラグイン Popup Maker にお
けるクロスサイトスクリプティングの脆弱性 2.6 2017/7/24 3,555
12 JVNDB-2017-000177 スマートフォンアプリ「RBB SPEED TEST」にお
ける SSL サーバ証明書の検証不備の脆弱性 4.0 2017/7/24 3,550
13 JVNDB-2017-000173
Yahoo!ツールバー (Internet explorer 版) のイ
ンストーラにおける任意の DLL 読み込みの脆
弱性
6.8 2017/7/12 3,493
11
順位
ID タイトル CVSSv2 基本値
公開日 アクセス数
14 JVNDB-2016-004511
TLS プロトコルなどの製品で使用される DES
および Triple DES 暗号における平文のデータ
を取得される脆弱性
5.0 2016/9/2 3,384
15 JVNDB-2017-000176 ソニー製ポータブルワイヤレスサーバー
WG-C10 におけるアクセス制限不備の脆弱性 7.5 2017/7/19 3,336
16 JVNDB-2017-000175 ソニー製ポータブルワイヤレスサーバー
WG-C10 における複数の脆弱性 5.2 2017/7/19 3,273
17 JVNDB-2017-000153
法務省が提供する PDF 署名プラグインのインス
トーラにおける任意の DLL 読み込みに関する
脆弱性
6.8 2017/6/30 3,267
18 JVNDB-2017-000185 WN-AX1167GR における複数の脆弱性
8.3 2017/7/27 3,266
19 JVNDB-2017-000158
国土交通省が提供する電子成果物作成支援・検査
システムのインストーラおよびインストーラを
含む自己解凍書庫における DLL 読み込みに関
する脆弱性
6.8 2017/7/3 3,250
20 JVNDB-2017-000188 WN-G300R3 において認証情報がハードコード
されている問題 8.3 2017/7/27 3,244
表3-2は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位5件を示してい
ます。
表 3-2.国内の製品開発者から収集した脆弱性対策情報へのアクセス 上位 5 件 [2017 年 7 月~2017 年 9 月]
順位
ID タイトル CVSSv2 基本値
公開日 アクセス数
1 JVNDB-2016-008607 Cosminexus HTTP Server および Hitachi Web
Server における脆弱性 4.3 2017/6/26 3,143
2 JVNDB-2017-002225 複数の日立製品におけるクロスサイトスクリプ
ティングの脆弱性 4.3 2017/4/5 2,260
3 JVNDB-2017-003108 Hitachi IT Operations Director および JP1/IT
Desktop Management における複数の脆弱性 7.5 2017/5/16 2,169
4 JVNDB-2017-006466 HiRDB におけるサービス運用妨害 (DoS) の脆
弱性 5.0 2017/8/28 2,043
5 JVNDB-2017-006769 JP1 および Hitachi IT Operations Director 製
品におけるサービス運用妨害 (DoS) の脆弱性 5.0 2017/9/4 1,954
注 1)CVSSv2 基本値の深刻度による色分け
CVSS 基本値=0.0~3.9
深刻度=レベル I(注意)
CVSS 基本値=4.0~6.9
深刻度=レベル II(警告)
CVSS 基本値=7.0~10.0
深刻度=レベル III(危険)
注 2)公開日の年による色分け
2015 年以前の公開 2016 年の公開 2017 年の公開