2024年5月8日 (水)、 VexCloud内の一部の脆弱性の脆弱性名の統合と変更および危険度の変更を行いました。変更内容は以下の通りです。
① 脆弱性名の統合
以下の通り、複数の脆弱性名を1つに統合し、同系統の脆弱性をひとまとめに管理しやすくしました。
■ 「クロスサイトスクリプティング」に統合
・クロスサイトスクリプティング
・パラメータ追加を利用したクロスサイトスクリプティング
・マルチバイト文字を利用したクロスサイトスクリプティング
■ 「ディレクトリトラバーサル」に統合
・UNIX系OSにおけるディレクトリトラバーサル
・Windowsにおけるディレクトリトラバーサル
■ 「レスポンスへのデフォルトエラーメッセージの表示」へ統合
・不正なマルチパートリクエストを利用したエラーメッセージの出力
・パラメータ削除を利用したエラーメッセージの出力
・全てのパラメータに対する特殊記号を利用したエラーメッセージの出力
・大量データを利用したエラーメッセージの出力
・特殊記号を利用したエラーメッセージの出力
・パラメータのネスト化を利用したエラーメッセージの出力
■「機微情報を含むリクエストURL」に統合
・マイナンバー(個人番号)を含むリクエストURL
・URLに含まれるセッションID
■ 「機微情報を含むHTTPリクエスト」に統合
・機微情報を含むHTTPリクエスト
・マイナンバー(個人番号)を含むHTTPレスポンス
■「混在コンテンツの利用」に統合
・混在コンテンツの利用
・HTTPS未使用のリンクおよびフォームターゲットの存在
■「オープンリダイレクト」に統合
・パラメータ置換によるオープンリダイレクト
・特定のパラメータを利用したオープンリダイレクト
■ 「XML外部実体参照」に統合
・Unix系OSにおけるXML外部実体参照
・WindowsにおけるXML外部実体参照
統合前の脆弱性名の先頭には「【廃止済み】」と表示されます。
(例):【廃止済み】UNIX系OSにおけるディレクトリトラバーサル
統合前の脆弱性名と統合後の脆弱性名は、システム上、別の脆弱性として扱われるため、
統合後に脆弱性を検知した場合、統合前の脆弱性名で既に検知されていたとしても、統合後の脆弱性名で新規検知されます。
例えば、検知結果が以下だった場合、
・① 脆弱性名「UNIX系OSにおけるディレクトリトラバーサル」、ステータス「受容」
・② 脆弱性名「Windowsにおけるディレクトリトラバーサル」、ステータス「要対応」
統合後にスキャンを実施した後は
・① 脆弱性名「【廃止済み】 UNIX系OSにおけるディレクトリトラバーサル」、ステータス「受容」
・② 脆弱性名「【廃止済み】 Windowsにおけるディレクトリトラバーサル」、ステータス「要対応」
・③ 脆弱性名「ディレクトリトラバーサル」、ステータス「検知」
となります。
※ URLやメソッドなどの検知条件が一致する場合、統合後に新規検知される検知結果は統合されるため、統合前の検知結果よりも件数は少なくなります。検知結果の件数は少なくなりますが、検知結果の検知タブから複数の検知理由を確認できます。
※ 廃止済み脆弱性の検知結果を削除する機能を今後リリース予定です。
脆弱性名の統合は、VexCloud上で扱う名称の変更のみであり、スキャン性能の変更はございません。
② 脆弱性名の変更
以下の通り脆弱性名を変更いたしました。
・(変更前)大量データを利用したサービス運用妨害 → (変更後)バッファオーバーフロー
・(変更前)X-Frame-Optionsヘッダの不備 → (変更後)クリックジャッキング対策の不備
・(変更前)クレジットカード情報の露呈 → (変更後)レスポンスへのクレジットカード情報の露呈
・(変更前)レスポンスへのローカルアドレス出力 → (変更後)レスポンスへのローカルIPアドレスの出力
・(変更前)レスポンスへのマイナンバー(個人番号)出力 → (変更後)レスポンスへのマイナンバー(個人番号)の出力
・(変更前)レスポンスへのバージョン情報出力 → (変更後)レスポンスへのバージョン情報の出力
スキャンログや脆弱性一覧に表示される脆弱性名を上記の通り変更いたしました。
③ 危険度の変更
脆弱性の危険度を再評価した結果、
脆弱性「Set-CookieヘッダのPath属性不備」の危険度を以下の通り変更いたしました。
・(変更前)Medium → (変更後)Low