旧地理院地図のソースにディレクトリトラバーサルの脆弱性

　独立行政法人情報処理推進機構（IPA）セキュリティセンターと一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）は30日、「平成27年1月以前の旧地理院地図のソース」におけるディレクトリトラバーサルの脆弱性（CWE-22）を公表した。

　影響を受けるのは、5月25日以前に国土地理院がGitHubで公開していた「平成27年1月以前の旧地理院地図のソース」。Windowsで運用している場合に、リモートからサーバー上の任意のファイルの内容を取得される可能性がある。共通脆弱性評価システム「CVSS v3」のスコアは5.8。

　国土地理院では、「平成27年1月以前の旧地理院地図のソース」に含まれる「kml2jsonp.php」を最新版へアップデートすることを対策方法に挙げている。また、現在運用している地理院地図のソースをGitHubで公開しており、そちらの利用を推奨している。

　ディレクトリトラバーサルはパストラバーサルとも呼ばれ、ファイル名を扱うプログラムでパスを指定する際に、1階層上となる「../」の文字列を送信することにより、通常はアクセスできないディレクトリの内容を取得する手法、または脆弱性のこと。「../」の文字列が無効に設定されていても、エンコード後に「../」と等価になる文字列が適切に処理されていない場合にも問題となる。