APIフレームワーク「Swagger」に深刻な脆弱性、主要言語に影響

攻撃者が悪質な細工を施したSwagger文書を利用して、クライアントやサーバでリモートからコードを実行し、サービスシステムの定義に干渉できてしまう恐れがあるという。

» 2016年06月24日 08時03分 公開
[鈴木聖子ITmedia]
Swagger

 セキュリティ企業のRapid7は6月22日、オープンソースのAPIフレームワーク「Swagger」に深刻な脆弱性が見つかったと報告した。NodeJS、PHP、Ruby、Javaなど主要言語向けのSwaggerコードジェネレータに脆弱性が存在すると指摘している。

 Rapid7によると、脆弱性はSwaggerの一部のコードジェネレータで、悪質なSwagger定義文書の可能性が考慮されていないことに起因する。Swagger文書内のパラメータのチェックが不適切なために、攻撃者が悪質な細工を施したSwagger文書を利用して、クライアントやサーバでリモートのコードを実行し、サービスシステムの定義に干渉できてしまう恐れがあるという。

 同社はこの脆弱性を実証するMetasploitモジュールを公開。JavaScript、HTML、PHP、Ruby、Javaクライアントに対して悪用が成立することを実証した。コードジェネレータのパッチが公開されるまでは、ユーザーがSwagger文書を入念にチェックする必要があると勧告している。

脆弱性検査ツールに登録された(Rapid7より)

 Swaggerの仕様は、2016年1月にOpen API Initiative(OAI)に寄贈されてOpenAPI仕様の基盤となり、RESTful API記述のベースとして利用されている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ