編集部からのお知らせ
ZDNet Japanが新しくなりました!
New! 懸念高まる産業機器のセキュリティ

Swaggerに深刻な脆弱性、NodeJS、PHP、Ruby、Javaなどのコードジェネレータに影響

Charlie Osborne (Special to ZDNet.com) 翻訳校正: 編集部

2016-06-24 10:29

 「Swagger」の仕様に、NodeJS、PHP、Ruby、Javaのコードジェネレータツールに影響を及ぼす脆弱性が発見された。

 Rapid7によれば、この脆弱性は、これらの言語用のSwagger Code Generatorを通じて生成された、インジェクション可能なコードペイロードに見つかった。この脆弱性が悪用されると、攻撃者は遠隔からクライアントまたはサーバ内でコードを実行して、サービスシステムの定義に干渉できる。

 同様の他のプログラミング言語用のツールにも、同じ脆弱性が存在する可能性がある。

 Swaggerの仕様は寄付され、現在はOpen API Initiative(OAI)の基盤となっており、REST APIの記述のベースとして使用されている。このフレームワークは、拡張可能なAPIの導入、テスト、ドキュメント化、定義システムなどを含む、さまざまな目的に使用されている。

 しかし今回、悪意を持って作成されたSwaggerドキュメントが、任意に実行可能なコードが埋め込まれたHTTP APIクライアントおよびサーバの作成に使用できることが明らかになった。多くの場合、これが可能になるのは、コードのサニタイズ処理が不十分なためだ。

 今回のケースでは、クライアントサイドで、悪質なSwaggerドキュメントによってローカルに生成された任意のコードベース(多くの場合、動的に生成されたAPIの形式を取る)が信頼されてしまうという脆弱性が存在する。

 またサーバサイドにも、SwaggerドキュメントからAPIクライアントや、モックサーバ、テスト仕様を動的に生成して提供するサービスに脆弱性が存在する。

 脆弱性が悪用されると、ターゲット言語によって、遠隔からのコード実行や、ブラウザへのコードインジェクション、ブロックコメントの不正な終了などの問題が発生する。

 Rapid7は、まず2016年4月にベンダーおよびSwagger.ioのAPIチームに連絡を試み、6月16日にはCERTに修正コード案を提供している。6月23日には一般にこの問題の情報が開示され、Rapid7が運営するプロジェクトがリリースしているペネトレーションテストツール「Metasploit」のモジュールもリリースされた。同社は、この脅威を緩和するため、当面は「OWASP ESAPI」などのサニタイズ処理ツールを使用することを推奨している。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]