ニュース

IPAの脆弱性被害体験ソフト「安全なウェブサイト運営入門」に脆弱性、使用停止を

任意のOSコマンドを実行される可能性

 独立行政法人情報処理推進機構(IPA)は16日、同社が提供する「安全なウェブサイト運営入門」においてOSコマンドインジェクションの脆弱性が見つかったことを公表し、利用者に対して使用を停止するよう呼び掛けた。セーブデータの読み込み処理に起因するもので、細工されたセーブデータを読み込むことで任意のOSコマンドを実行される可能性があるという。

 「安全なウェブサイト運営入門」は、ウェブサイト運営上のセキュリティ対策を学習するためのソフトとして2008年にリリースされたもの。「脆弱性による被害を体験できる」としている。IPAでは、同ソフトの開発およびサポートはすでに終了しており、脆弱性を修正したバージョンを提供する予定はないとし、使用停止を呼び掛けるかたちとなった。

IPAの告知ページ

 IPAでは、同社が提供する脆弱性体験学習ツール「AppGoat~突いてみますか?脆弱性~」においても今年2月、脆弱性が見つかったことを公表している。なお、同ツールについては修正バージョンをリリースしている。