jvn ipedia に関する 活動報告レポート · apache struts2...
TRANSCRIPT
脆弱性対策情報データベース JVN iPedia に関する活動報告レポートについて
本レポートでは、2017 年 1 月 1 日から 2017 年 3 月 31 日までの間に JVN iPedia
で登録をした脆弱性対策情報の統計及び事例について紹介しています。
脆弱性対策情報データベース
JVN iPedia に関する
活動報告レポート
[2017 年第 1 四半期(1 月~3 月)]
独立行政法人情報処理推進機構 技術本部 セキュリティセンター
2017 年 4 月 25 日
目次
1. 2017 年第 1 四半期 脆弱性対策情報データベース JVN iPedia の登録状況 .............................. - 2 -
1-1. 脆弱性対策情報の登録状況 ................................................................................................... - 2 -
1-2. 【注目情報 1】Apache Struts2の脆弱性対策情報について ............................................... - 3 -
1-3. 【注目情報 2】WordPress の脆弱性対策情報について ....................................................... - 5 -
2. JVN iPedia の登録データ分類 ....................................................................................................... - 6 -
2-1. 脆弱性の種類別件数 .............................................................................................................. - 6 -
2-2. 脆弱性に関する深刻度別割合 ................................................................................................ - 7 -
2-3. 脆弱性対策情報を公表した製品の種類別件数 ...................................................................... - 8 -
2-4. 脆弱性対策情報の製品別登録状況 ........................................................................................ - 9 -
3. 脆弱性対策情報の活用状況 ........................................................................................................ - 10 -
2
表 1-1. 2017 年第 1 四半期の登録件数
情報の収集元 登録件数 累計件数
日本語版
国内製品開発者 1 件 180 件
JVN 267 件 7,160 件
NVD 2,599 件 60,145 件
計 2,867 件 67,485 件
英語版
国内製品開発者 1 件 180 件
JVN 47 件 1,456 件
計 48 件 1,636 件
1. 2017 年第 1 四半期 脆弱性対策情報データベース JVN iPedia の登録状況
脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/ )」は、ソフトウェア製品に関
する脆弱性対策情報を 2007 年 4 月 25 日から日本語で公開しています。システム管理者が迅速に脆
弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情
報ポータルサイト JVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所 NIST(*2)の脆弱
性データベース「NVD(*3)」が公開した脆弱性対策情報を集約、翻訳しています。
1-1. 脆弱性対策情報の登録状況
~脆弱性対策情報の登録件数の累計は 67,485 件~
2017 年第 1 四半期(2017 年 1 月 1 日から 3 月
31 日まで)に JVN iPedia 日本語版へ登録した脆弱
性対策情報は右表の通りとなり、脆弱性対策情報の
登録件数の累計は、67,485 件でした(表 1-1、図 1-1)。
登録件数の内訳に注目すると今四半期は NVD が収
集元の登録件数が 2,599 件となっており、2016 年
第 4 四半期の 1,453 件と比較すると 1,000 件以上、
増加しています。NVD の公開件数が前四半期より同
等件数増加していることがその要因です。
また、JVN iPedia 英語版へ登録した脆弱性対策情報は上表の通り、累計で 1,636 件になりました。
58,094 59,547
61,309 63,047 64,618 67,485
0
10,000
20,000
30,000
40,000
50,000
60,000
70,000
80,000
0
1,000
2,000
3,000
4,000
4Q2015
1Q2016
2Q2016
3Q2016
4Q2016
1Q2017
四半期件数
国内製品開発者から収集したもの
JVNから収集したもの
NVDから収集したもの
累計件数(右目盛り)
2007/4/25
公開開始
累計件数
図1-1. JVN iPediaの登録件数の四半期別推移
(*1) Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリ
ティ対策を支援しています。IPA、JPCERT/CC が共同で運営しています。 https://jvn.jp/ (*2) National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する
研究を行う機関。https://www.nist.gov/ (*3)National Vulnerability Database。NIST が運営する脆弱性データベース。https://nvd.nist.gov/home
3
1-2. 【注目情報 1】Apache Struts2の脆弱性対策情報について
~今四半期は CVSSv2 が 10.0 の脆弱性が 1 件、2016 年度は 16 件中 3 件が 10.0 の脆弱性~
2017 年 3 月に Apache Struts2(*4)の脆弱性対策情報(S2-045)が公開されました。本脆弱性を悪用
された場合、遠隔の第三者によって、サーバ上で任意のコードを実行される可能性がありました。本
脆弱性の攻撃コードを用いたと思われる通信や被害が発生したことから、IPA では緊急対策情報を発
信しています(*5)。その後、個人情報が流出する被害も確認され(*6)、本脆弱性は注目を集めました。
表 1-2 は 2016 年度に JVN iPedia へ登録した Apache Struts2 の脆弱性対策情報です。2016 年度
は計 16 件登録しており、その内の JVNDB-2017-001621 は上述した脆弱性です。CVSSv2 基本値
(脆弱性の深刻度を評価するための値)は 10.0 であり、「危険(CVSSv2 基本値=7.0~10.0)」に分
類された中で、最も深刻度が高い脆弱性でした。2016 年度は、CVSSv2 基本値 10.0 の脆弱性とし
て、注目された JVNDB-2017-001621 以外にも 2 件、計 3 件登録しています。2017 年度も継続し
てこのような深刻な脆弱性が不定期に公開される可能性があります。
表 1-2 Apache Struts2 に関する脆弱性対策情報(2016 年 4 月~2017 年 3 月)
No ID(CVE) タイトルCVSSv2基本値
JVN iPedia公開日
1JVNDB-2017-001621
(CVE-2017-5638)Apache Struts2 に任意のコードが実行可能な脆弱性 10.0 2017/3/10
2JVNDB-2017-000012
(N/A)
Apache Struts 2 において devMode が有効な場合に任意の Java(OGNL) コードが実行可能な問題
6.8 2017/1/20
3JVNDB-2016-005078
(CVE-2016-4436)Apache Struts 2 における脆弱性 7.5 2016/10/6
4JVNDB-2016-000121
(CVE-2016-3092)
Apache Commons FileUpload におけるサービス運用妨害 (DoS) の脆弱性
5.0 2016/6/30
5JVNDB-2016-000114
(CVE-2016-4465)
Apache Struts におけるサービス運用妨害 (DoS) の脆弱性
5.0 2016/6/20
6JVNDB-2016-000113
(CVE-2016-4431)Apache Strutsにおける入力値検証の回避の脆弱性 6.8 2016/6/20
7JVNDB-2016-000112
(CVE-2016-4433)
Apache Strutsの Getter メソッドにおける検証回避の脆弱性
6.8 2016/6/20
8JVNDB-2016-000111
(CVE-2016-4430)
Apache Strutsにおけるクロスサイトリクエストフォージェリの脆弱性
4.3 2016/6/20
9JVNDB-2016-000110
(CVE-2016-4438)
Apache Struts において任意のコードを実行可能な脆弱性
6.8 2016/6/20
10JVNDB-2016-003041
(CVE-2016-3093)
Apache Struts におけるサービス運用妨害 (DoS) の脆弱性
5.0 2016/6/10
11JVNDB-2016-003040
(CVE-2016-3087)
Apache Struts における任意のコードを実行される脆弱性
7.5 2016/6/10
12JVNDB-2016-002406
(CVE-2016-3082)
Apache Struts の XSLTResult における任意のコードを実行される脆弱性
10.0 2016/5/6
13JVNDB-2016-002326
(CVE-2016-3081)Apache Struts2 に任意のコード実行の脆弱性 9.3 2016/4/28
14JVNDB-2016-002076
(CVE-2016-2162)
Apache Struts におけるクロスサイトスクリプティングの脆弱性
4.3 2016/4/18
15JVNDB-2016-002075
(CVE-2016-0785)
Apache Struts における任意のコードを実行される脆弱性
10.0 2016/4/18
16JVNDB-2016-002004
(CVE-2016-4003)
Apache Struts で使用される JRE の URLDecoder 関数におけるクロスサイトスクリプティングの脆弱性
4.3 2016/4/13
(*4)java を用いたウェブアプリケーションなどを開発するためのオープンソースのソフトウェアフレームワーク (*5)更新:Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)(S2-046)
https://www.ipa.go.jp/security/ciadr/vul/20170308-struts.html (*6) 事務委託先であるGMOペイメントゲートウェイ株式会社のシステムへの不正アクセス及び個人情報流出のおそれについて
http://www.jhf.go.jp/topics/topics_20170310_im.html
4
ウェブサイトはインターネット上に公開するといつでもどこからでもアクセスが可能です。そのた
め、Apache Struts2 のように広く使われるソフトウェアフレームワークの脆弱性が公開された場合、
それを使って構築されたウェブサイトは、攻撃者に狙われやすく、情報漏えい等の被害を受ける可能
性があります。システムの運用・管理者は自組織のシステムで利用しているソフトウェアフレームワ
ークについて、ニュースサイトやベンダサイト、脆弱性情報を収集しているウェブサイト等(*7)で情
報収集を行うことが大切です。そして脆弱性が公開された場合には、迅速に対応を行うことで脆弱性
への攻撃を防ぐことが可能です。
(*7) Apache Struts2 の脆弱性対策情報一覧
https://www.ipa.go.jp/security/announce/struts2_list.html
5
1-3. 【注目情報 2】WordPress の脆弱性対策情報について
~今四半期の WordPress の登録件数は 16 件、直近 3 年間の推移は増加傾向~
2017 年 2 月に CMS である WordPress の脆弱性が公開されました。本脆弱性を悪用された場合、
遠隔の第三者にサーバ上でコンテンツを改ざんされる可能性があり、攻撃コードが確認されたため
IPA では緊急対策情報を発信しています(*8)。さらに本脆弱性の公開後、攻撃コードの入手が容易な
ことから 6 万件以上のウェブサイトが改ざんされました(*9)。改ざんの被害を受けたのはいずれもバ
ージョンの更新を行っていないウェブサイトでした。
図 1-3 は 2014 年 4 月から 2017 年 3 月までの直近 3 年間に JVN iPedia に登録した WordPress
の脆弱性対策情報を四半期別で集計したグラフです。3 年間に計 70 件を登録しており、2017 年第 1
四半期の件数に着目すると、16 件登録しています。また、直近 3 年間の推移を見ると、件数が減少
している時期はあるものの、増加傾向であることが見て取れます。そのため、今後も脆弱性の公開が
増加していく可能性があります。
2
69
5
11
3
14
4
16
0
5
10
15
20
2Q2014
3Q2014
4Q2014
1Q2015
2Q2015
3Q2015
4Q2015
1Q2016
2Q2016
3Q2016
4Q2016
1Q2017
件数
図1-3. WordPressの脆弱性対策情報の登録件数
WordPress の脆弱性を悪用された場合、ウェブサイトを改ざんされ、任意のスクリプトや HTML
を挿入される可能性があります。また、改ざんされた結果、ウィルスの拡散に悪用され、加害者にな
ってしまうとも限りません。ウェブサイト運営者は、WordPress や WordPress に使用しているプラ
グインの利用の有無について確認し、利用している場合は、それらの製品バージョンについて把握す
る必要があります。また、ベンダーよりアップデート情報が公開された場合には、すぐに最新バージ
ョンの適用を実施してください。
[注目情報 1]で紹介した Apache Struts2、[注目情報 2]で紹介した WordPress は、両製品ともウ
ェブサイトに関する製品です。今四半期の状況を見ると、ウェブサイトに関する脆弱性の攻撃コード
が確認されると、被害が拡大する傾向が見て取れます。
IPA では深刻な脆弱性攻撃の発生に対して、緊急対策情報を公開しており、その情報をいち早く受
け取れる「icat for JSON(*10)」というサービスを提供しています。このサービスのご活用も是非ご検
討ください。
(*8) WordPress の脆弱性対策について
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html (*9) WordPress の脆弱性突く攻撃が激増、6 万以上の Web サイトで改ざん被害
http://www.itmedia.co.jp/enterprise/articles/1702/09/news064.html (*10) IPA から発信する重要なセキュリティ情報をリアルタイムに配信するサービスで、1000 組織以上が活用しています。
https://www.ipa.go.jp/security/vuln/icat.html
6
2. JVN iPedia の登録データ分類
2-1. 脆弱性の種類別件数
図 2-1 は、2017 年第 1 四半期(1 月~3 月)に JVN iPedia へ登録した脆弱性対策情報を、共通脆
弱性タイプ一覧(CWE)によって分類し、件数を集計したものです。
集計結果は件数が多い順に、CWE-119(バッファエラー)が 400 件、CWE-200(情報漏えい)
が 327 件、CWE-284(不適切なアクセス制御)が 323 件、CWE-79(クロスサイト・スクリプティ
ング)が 290 件、CWE-264(認可・権限・アクセス制御)が 243 件でした。最も件数の多かった
CWE-119(バッファエラー)は、悪用されるとサーバや PC 上で悪意のあるコードが実行され、デ
ータを盗み見られたり、改ざんされる、などの被害が発生する可能性があります。
製品開発者は、ソフトウェアの企画・設計段階から、脆弱性の低減に努めることが求められます。
なお、IPA ではそのための資料やツールとして、開発者や運営者がセキュリティを考慮したウェブサ
イトを作成するための資料「安全なウェブサイトの作り方(*11)」や「IPA セキュア・プログラミング
講座(*12)」などを公開しています。
400 327 323 290
243 191
122 72 71 68
0
50
100
150
200
250
300
350
400
450
CWE-119 CWE-200 CWE-284 CWE-79 CWE-264 CWE-20 CWE-125 CWE-89 CWE-476 CWE-399
件数
CWE-119 :バッファエラーCWE-200 :情報漏えいCWE-284 :不適切なアクセス制御CWE-79 :クロスサイト・スクリプティングCWE-264 :認可・権限・アクセス制御CWE-20 :不適切な入力確認CWE-125 :境界外読み取りCWE-89 :SQLインジェクションCWE-476 :NULL ポインタデリファレンスCWE-399 :リソース管理の問題
図2-1. 2017年第1四半期に登録された脆弱性の種類別件数
(*11)「安全なウェブサイトの作り方」 https://www.ipa.go.jp/security/vuln/websecurity.html (*12)「IPA セキュア・プログラミング講座」 https://www.ipa.go.jp/security/awareness/vendor/programming/
7
2-2. 脆弱性に関する深刻度別割合
図 2-2 は JVN iPedia に登録済みの脆弱性対策情報を CVSSv2 の値に基づいて深刻度別に分類し、
公表年別にその推移を示したものです。
脆弱性対策情報の登録開始から 2017 年 3 月 31 日までに JVN iPedia に登録した脆弱性対策情報
は深刻度別に、レベルⅢが全体の 39.5%、レベルⅡが 52.9%、レベルⅠが 7.6%となっており、情報
の漏えいや改ざんされるような高い脅威であるレベルⅡ以上が、92.4%を占めています。
既知の脆弱性による脅威を回避するため、製品利用者は脆弱性が解消されている製品へのバージョ
ンアップやアップデートなどを速やかに行ってください。
なお、JVN iPedia では、CVSSv2 によるこれまでの評価方法に加えて、2015 年 12 月 1 日より
CVSSv3(*13)による評価方法も試行運用しています(*14)。
6,598 6,463
5,721 5,695
4,746 4,483
5,462 5,875
7,325
6,573 7,198
1,241
0
1,000
2,000
3,000
4,000
5,000
6,000
7,000
8,000
9,000
10,000
~2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017
件数
レベルⅢ(危険、CVSS基本値=7.0~10.0)レベルⅡ(警告、CVSS基本値=4.0~6.9)レベルⅠ(注意、CVSS基本値=0.0~3.9)
図2-2. 脆弱性の深刻度別件数
(~2017/3/31)
(*13)CVSSv3:脆弱性の深刻度を評価するための指標。仮想化やサンドボックス化などが進んできていることから、利用状況の変化
を取り込んだ仕様
https://www.ipa.go.jp/security/vuln/CVSSv3.html (*14)共通脆弱性評価システム CVSS v3 (新バージョン)での評価の開始について
https://www.ipa.go.jp/security/vuln/SeverityLevel3.html
8
2-3. 脆弱性対策情報を公表した製品の種類別件数
図 2-3 は JVN iPedia に登録済みの脆弱性対策情報を、ソフトウェア製品の種類別に件数を集計し、
年次でその推移を示したものです。2017 年で最も多い種別はアプリケーションに関する脆弱性対策
情報で、2017 年の件数全件の 73.5%を占めています。
73.5%
6,618 6,465
5,726 5,697 4,762
4,508
5,469 5,881
7,336
6,578 7,204
1,241
0
1,000
2,000
3,000
4,000
5,000
6,000
7,000
8,000
9,000
10,000
~2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017
件数
産業用制御システム組込みソフトウェアアプリケーションOS
図2-3. 脆弱性対策情報を公表した製品の種類別件数の公開年別推移(~2017/3/31)
また 2007 年以降、重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報
を登録しています。これまでに累計で 1,022 件を登録しています(図 2-4)。
1 8 1022
94
178140
191
145
211
220
40
80
120
160
200
240
2007年 2008年 2009年 2010年 2011年 2012年 2013年 2014年 2015年 2016年 2017年
件数
図2-4. JVN iPedia 登録件数(産業用制御システムのみ抽出)(~2017/3/31)
9
2-4. 脆弱性対策情報の製品別登録状況
表 2-4 は 2017 年第 1 四半期(1 月~3 月)に JVN iPedia へ脆弱性対策情報の登録が多かった製
品の上位 20 件を示したものであり、1 位の OS 製品である Linux Kernel の登録件数は 210 件でした。
2 位以降も OS 製品が上位にランクインしており、マイクロソフトやアップル、オラクルなど、一般
に広く利用されているベンダーの製品に関する脆弱性対策情報が多く登録されました。
JVN iPedia は、表にある製品だけではなく、国内の企業や家庭で使われている製品に関する脆弱性
対策情報を登録しています。製品の利用者や開発者は、自組織などで使用しているソフトウェアの脆
弱性対策情報を迅速に入手し、効率的な対策に役立ててください(*15)。
表 2-4. 製品別 JVN iPedia の脆弱性対策情報登録件数 上位 20 件 [2017 年 1 月~2017 年 3 月]
順位 カテゴリ 製品名(ベンダー) 登録件数
1 OS Linux Kernel(kernel.org) 210
2 OS Android(Google) 159
3 統合業務パッケ
ージ
Oracle E-Business Suite(オラクル) 121
4 OS iOS(アップル) 108
4 OS Apple Mac OS X(アップル) 79
6 OS tvOS(アップル) 78
7 OS Microsoft Windows Server 2008(マイクロソフト) 66
8 OS Microsoft Windows 7(マイクロソフト) 65
9 ブラウザ Google Chrome(Google) 63
10 OS Microsoft Windows Vista(マイクロソフト) 57
11 OS Microsoft Windows Server 2016(マイクロソフト) 47
12 OS Microsoft Windows 10(マイクロソフト) 46
13 OS Debian GNU/Linux(Debian) 45
13 OS watchOS(アップル) 43
13 OS Microsoft Windows Server 2012(マイクロソフト) 42
13 ブラウザ Safari(アップル) 42
17 サービス管理 Oracle Advanced Outbound Telephony(オラクル) 41
17 パケットキャプ
チャ
tcpdump(The Tcpdump Group) 41
19 OS Microsoft Windows 8.1(マイクロソフト) 39
20 時刻同期 NTP(NTP Project) 38
(*15)脆弱性情報の収集や集めた情報の活用方法についての手引きをまとめたレポート
「脆弱性対策の効果的な進め方(実践編)」を公開。
https://www.ipa.go.jp/security/technicalwatch/20150331.html
10
3. 脆弱性対策情報の活用状況
表 3-1 は 2017 年第 1 四半期(1 月~3 月)にアクセスの多かった JVN iPedia の脆弱性対策情報
の上位 20 件を示したものです。
Apache Struts2 に関する脆弱性は、1 位、2 位にランクインしており、注目度が非常に高いことが
見て取れます。4 位の SKYSEA Client View は、前四半期に登録した脆弱性対策情報でしたが、資産
管理用ツールとして様々な組織が利用している可能性があることからシステム管理者や利用者が今
四半期も参照する機会が多かったものと考えられます。なお、Apache Struts2 や SKYSEA Client View
の脆弱性は攻撃が確認されたため、IPA から緊急対策情報を発信しています。
表 3-1.JVN iPedia の脆弱性対策情報へのアクセス 上位 20 件 [2017 年 1 月~2017 年 3 月]
順位 ID タイトル CVSSv2 基本値
公開日 アクセス数
1 JVNDB-2017-000012
Apache Struts 2 において devMode が有効な
場合に任意の Java(OGNL) コードが実行可能な
問題
6.8 2017/1/20 5,778
2 JVNDB-2017-001621 Apache Struts2 に任意のコードが実行可能な脆
弱性 10.0 2017/3/10 5,432
3 JVNDB-2017-000003 Olive Diary DX におけるクロスサイトスクリプ
ティングの脆弱性 4.3 2017/1/6 5,025
4 JVNDB-2016-000249 SKYSEA Client View において任意のコードが
実行可能な脆弱性 10.0 2016/12/22 4,989
5 JVNDB-2017-000002 WEB SCHEDULE におけるクロスサイトスクリ
プティングの脆弱性 4.3 2017/1/6 4,898
6 JVNDB-2017-000008 アタッシェケースにおけるディレクトリトラバ
ーサルの脆弱性 4.3 2017/1/16 4,658
7 JVNDB-2017-001054 GigaCC OFFICE における任意のファイルをア
ップロード可能な脆弱性 5.5 2017/1/20 4,605
8 JVNDB-2017-000001 Olive Blog におけるクロスサイトスクリプティ
ングの脆弱性 4.3 2017/1/6 4,561
9 JVNDB-2017-000013 Nessus におけるクロスサイトスクリプティン
グの脆弱性 4.3 2017/1/24 4,392
10 JVNDB-2017-000007 サイボウズ リモートサービスマネージャーにお
けるクライアント証明書の検証不備の脆弱性 4.9 2017/1/11 4,201
11 JVNDB-2017-001053
GigaCC OFFICE におけるメール送信処理に使
用される Apache Velocity テンプレートエンジ
ンの設定不備の脆弱性
6.0 2017/1/20 4,182
12 JVNDB-2017-000009
MaruUo Factory 製の複数のアタッシェケース
製品におけるディレクトリトラバーサルの脆弱
性
4.3 2017/1/16 4,077
13 JVNDB-2016-004511
TLS プロトコルなどの製品で使用される DES
および Triple DES 暗号における平文のデータ
を取得される脆弱性
5.0 2016/9/2 3,782
11
順位 ID タイトル CVSSv2 基本値
公開日 アクセス数
14 JVNDB-2017-000015 Norton Download Manager における任意の
DLL 読み込みに関する脆弱性 6.8 2017/2/10 3,677
15 JVNDB-2017-000011 Knowledge におけるクロスサイトリクエスト
フォージェリの脆弱性 4.0 2017/1/24 3,623
16 JVNDB-2016-000250 Windows 版 Wireshark における任意ファイル
が削除される問題 4.0 2016/12/26 3,592
17 JVNDB-2016-000251 WinSparkle におけるレジストリ値を検証しな
い問題 4.0 2016/12/26 3,567
18 JVNDB-2017-000024 7-ZIP32.DLL で作成された自己解凍書庫におけ
る任意の DLL 読み込みに関する脆弱性 6.8 2017/2/17 3,545
19 JVNDB-2017-000010 smalruby-editor における OS コマンドインジ
ェクションの脆弱性 7.5 2017/1/24 3,398
20 JVNDB-2016-000247 BlueZ 付属のユーティリティにおけるバッファ
オーバーフローの脆弱性 3.5 2016/12/22 3,355
表 3-2 は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位 5 件を示してい
ます。対象製品を利用している場合、システム管理者は、ベンダーが提供する対策パッチなどを早期
に自システムに適用し、攻撃による被害を未然に防ぐことが重要です。
表 3-2.国内の製品開発者から収集した脆弱性対策情報へのアクセス 上位 5 件 [2017 年 1 月~2017 年 3 月]
順位 ID タイトル CVSSv2 基本値
公開日 アクセス数
1 JVNDB-2016-006450 JP1/Cm2/Network Node Manager i における
脆弱性 4.3 2017/1/4 1,885
2 JVNDB-2016-005655 JP1/IT Desktop Management 2 - Manager お
よび JP1/NETM/DM における脆弱性 10.0 2016/11/1 835
3 JVNDB-2011-001632
Hitachi Web Server の SSL および TLS プロ
トコルにおける任意のデータが挿入される脆弱
性
4.3 2011/5/26 227
4 JVNDB-2007-001022
Apache の mod_autoindex.c に お け る
UTF-7 エンコードに関するクロスサイトスク
リプティングの脆弱性
4.3 2007/12/25 227
5 JVNDB-2011-001633
Hitachi Web Server の RequestHeader ディ
レクティブによるヘッダカスタマイズにおける
破棄したメモリ内のデータが参照される脆弱性
5.1 2011/5/26 206
注 1)CVSSv2 基本値の深刻度による色分け
CVSS 基本値=0.0~3.9
深刻度=レベル I(注意)
CVSS 基本値=4.0~6.9
深刻度=レベル II(警告)
CVSS 基本値=7.0~10.0
深刻度=レベル III(危険)
注 2)公開日の年による色分け
2015 年以前の公開 2016 年の公開 2017 年の公開