ニュース
» 2006年07月06日 15時05分 公開

オープンソースのeラーニングシステムにXSSなどの脆弱性――IPA

オープンソースのeラーニングCMSアプリケーション「ATutor」および「ACollab」において、クロスサイトスクリプティング(XSS)やSQLインジェクションに関する脆弱性が発見された。

[ITmedia]

 情報処理推進機構セキュリティセンター(IPA)およびJPCERTコーディネーションセンター(JPCERT/CC)は7月5日、脆弱性情報サイトJP Vendor Status Notes(JVN)において、オープンソースのeラーニングアプリケーション「ATutor」などに脆弱性があることを明らかにした。この脆弱性を突かれると、情報漏えいやなりすましを許してしまう危険性がある。

 脆弱性が発見されたのは、eラーニング用のCMS(コンテンツ管理システム)ATutorおよびATutorのアドオンとして動作するコラボレーションソフト「ACollab」。

 ATutorでは、1.5.2以前のバージョンにおいて、クロスサイトスクリプティング(XSS)の脆弱性が存在し、Webブラウザ上で悪意のあるスクリプトを実行されるとユーザー認証情報などが漏えいする恐れがある。これを回避するには、最新のバージョン1.5.3にアップグレードすること。

 またACollabでは、1.2以前のバージョンでSQLインジェクションに関する脆弱性が存在し、悪意のある第三者によってリモートから不正なSQLコマンドを入力されると、データベースのデータの改ざんや盗難などが可能となり、また認証を回避してなりすましが行われる恐れがある。ACollabはバージョン1.2で開発・メンテナンスが終了しており、最新のATutor 1.5.3でACollabと同等の機能が実装されているため、IPA、JPCERT/CCでは回避策としてATutor 1.5.3に移行することを推奨している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -