|
IPAセミナー受付フォームにおけるクロスサイト・スクリプティングのぜい弱性について
平成19年2月1日
独立行政法人 情報処理推進機構
最終更新日 平成19年2月2日
|
1.概要
今般、次の2.a)のIPAセミナー受付フォームにおいて、クロスサイト・スクリプティング(注)のぜい弱性が発見されました。このぜい弱性を悪用された場合、当該フォームにて申し込みをしようとした方のブラウザ上で不正なスクリプトが実行されてしまう可能性がありました。当該脆弱性を確認した時には、当該セミナーは、募集定員(70名)を超えるお申し込みとなっていました。募集を締め切らせていただくとともに、至急同受付フォームを点検し、再発防止策を講ずるため、1月31日午前11時に同受付フォームのページを閉じさせていただきました。
併せて、当該脆弱性が発見された受付フォームのプログラムを共有する他の受付フォームのページについても、点検のためページを閉じさせていただきました。点検の結果、その受付フォームにおいてもクロスサイト・スクリプティングの脆弱性が確認されましたので、改修した上、脆弱性検査を行い、十分に安全性を確認したので、同ページを再開いたしました。
ご迷惑をおかけしたことを心からお詫び申し上げます。
注:ウエブアプリケーションの中には、検索のキーワードや情報登録時の確認画面、掲示板など、利用者からの入力内容やHTTPヘッダの情報を処理し、ウエブページとして出力するものがあります。ここで、ウエブページへの出力処理に問題がある場合、そのウエブページにスクリプトを埋め込まれてしまう可能性があります。この問題を悪用した攻撃手法の一つです。ウエブサイトのページを閲覧している利用者に影響が及びます。
2.脆弱性のあった受付フォーム
a) 暗号モジュール試験及び認証制度並びに要求事項の紹介セミナー受付フォーム
( https://www.ipa.go.jp/app/form/entry_lecture/9 )
当該ページ掲載期間:平成19年1月26日(金)午後2時から1月31日(水)午前11時まで
b) 2007年度 IPAソフトウェア開発事業の「公募説明会」の受付フォーム
(https://www.ipa.go.jp/app/form/entry_lecture/Seminar72) ※再開にあたり、URLは変更しました。
当該ページ掲載期間:平成19年1月15日(月)午後2時から1月31日(水)午前11時まで
3.影響の可能性
(1) 悪意のあるページやメールなどから誘導されて当該受付フォームを閲覧しようとしたときに、偽のページが表示される
(2) 悪意のあるページやメールなどから誘導されて当該受付フォームに入力した当該ページの情報が他のサイトへ送信される
などの影響が考えられます( 2.a) 、b)のいずれも同じ。)。
4.影響を受けない利用者
a) 「暗号モジュール試験及び認証制度並びに要求事項の紹介セミナー開催案内」のページ(http://www.ipa.go.jp/security/event/2006/jcmvp/jcmvp.html)を経て上述(2.a))の受付フォームを閲覧・申し込まれた方は、影響を受けません。
b) 「2007年度 IPAソフトウェア開発事業の「公募説明会」開催について」のページ(http://www.ipa.go.jp/software/2007/koubo_index.html)を経て上述(2.b))の受付フォームを閲覧・申し込まれた方は、影響を受けません。
5.連絡先
・セキュリティ技術に関する事項
電話 03-5978-7527 e-mail:
・その他
電話 03-5978-7503 e-mail:
更新履歴 |
2007年2月1日掲載 |
| |
2007年2月2日更新 |
|