脆弱性検査ツールNessusに、HTMLリポート出力時、任意のスクリプトが埋め込める脆弱性が見つかった。
情報処理推進機構(IPA)セキュリティセンターおよびJPCERTコーディネーションセンター(JPCERT/CC)は7月20日、コンピュータの脆弱性検査ツール「Nessus」のリポート出力機能に脆弱性が見つかったとして、JVN(Japan Vulnerability Notes)に情報を公開した。
Nessusは、コンピュータシステム内にセキュリティホールがないかを調査できるフリーの脆弱性スキャナ。分かりやすいGUIや、豊富な機能拡張プラグインが用意されているのが特徴。Tenable Network Securityが提供している。
Nessusには検査結果のリポートをさまざまな形式のファイルに出力する機能があるが、このうちHTML形式のファイルでリポート出力する際の処理が不適切なため、出力されたHTMLファイルをWebブラウザで閲覧すると任意のスクリプトが実行される可能性があるという。
影響を受けるのは、Windows版Nessus 3.0.5およびそれ以前のバージョン。最新バージョンの3.0.6にアップグレードすればこの問題を回避できる。
Copyright © ITmedia, Inc. All Rights Reserved.