インフィニティソリューションズ株式会社ブログ

OWASPのトップ10リスクリストに追加された脆弱性があるコンポーネントとは

Open Web Application Security Project(OWASP)によれば、オープンソースで、コンポーネントベースの開発ではリスクがつきものだという。OWASPファウンデーションは、NPO組織で、ソフトウェアセキュリティの向上に注力している。10周年をむかえるが、OWASPのトップ10リスクリストには最もクリティカルなウェブアプリケーションに関するセキュリティリスクがリストアップされているとのこと。SD Timesの記事より。

‘The first new risk to be added to the OWASP Top 10 list in three years, “Using Components with Known Vulnerabilities” highlights the importance of developers using secure components in applications to avoid exploitation by hackers. As stated in the 2013 OWASP Top 10, “Vulnerable components, such as libraries, frameworks and other software modules, almost always run with full privilege. So, if exploited, they can cause serious data loss or server takeover. Applications using these vulnerable components may undermine their defenses and enable a range of possible attacks and impacts.”’

「ここ3年で新しくOWASPトップ10リストに追加されたリスク、『既知の脆弱性を持つコンポーネントに使用』では、ハッカーによる悪用を避けるため、開発者がアプリケーションにセキュアなコンポーネントを使用することの重要性を浮き彫りにしている。2013年のOWASPトップ10で述べられているように、ライブラリ、フレームワーク、その他のソフトウェアモジュールの脆弱性があるコンポーネントは、ほとんど場合、常にフルの権限で実行されている。従って、悪用された場合、深刻なデータ流出やサーバ乗っ取りになる可能性がある。これらの脆弱性があるコンポーネントを使用しているアプリケーションは、防御が破綻しており、様々な攻撃や影響が起こりえる。」

risk

‘According to OWASP, two of the most common vulnerable components are the Apache CXF Authentication Bypass and the Spring Remote Code Execution, which were downloaded 22 million times by developers in 2011. And, according to application security consulting firm Aspect Security (in “The Unfortunate Reality of Insecure Libraries”), developers downloaded at least 17 additional vulnerable libraries in 2011. Four of the most-downloaded, vulnerable libraries in 2011, according to Aspect Security, were the Google Web Toolkit, Apache Xerces, Spring MVC and Struts 1.x. Aspect Security published the paper based on 2011 research done in conjunction with component life-cycle management solution provider Sonatype.’

「OWASPによれば、脆弱性があるコンポーネントで最もよくあるものは、Apache CXF認証バイパスとSpring Remote Code Executionで、2012年には開発者により2200万回ダウンロードされている。また、(『アプリケーションセキュリティコンサルティング会社Aspect Securityが(『非安全なライブラリの不幸な現実』で)述べているところによると、2011年に開発者は少なくとも17種類の脆弱性があるライブラリをダウンロードしているという。Aspect Securityによれば、2011年にダウンロードされている脆弱性があるライブラリで最も多かったのは、Google Web Toolkit、Apache Xerces、Spring MVC1、Struts 1.xだという。Aspect Securityは、コンポーネントライフサイクル管理ソリューションのプロバイダSonatypeと関連して行なった2011年の調査結果を基に同報告書を公開している。」

‘To avoid using vulnerable components, developers should always keep their open-source components up-to-date, said Williams. According to OWASP, many open-source projects do not create security patches for older versions of components; instead, most simply fix the problem in the next version. This can present a problem for developers who might not understand the risks they are taking by using out-of-date libraries. “We think it’s important enough that every software project ought to think about whether the libraries they’re using are secure enough for what they’re using them,” said Williams. “It’s critical for developers to make sure they’re not using out-of-date libraries.’

「脆弱性があるコンポーネントを避けるため、開発者は常にオープンソースコンポーネントを最新すべきだと、(OWASPの創設メンバーである)Williams氏は語っている。OWASPによると、多くのオープンソースプロジェクトでは、古いバージョンのコンポーネントに対するセキュリティパッチを作らない。代わりに、ほとんどの場合、問題を次のバージョンで解決している。これは、古いライブラリを使い続けることによって発生しているリスクを理解していない開発者には問題となる可能性がある。『あらゆるソフトウェアプロジェクトで、使用しているライブラリが使用目的に対して十分にセキュアかどうかを十分に検討することが重要である」とWilliams氏。『開発者が古いライブラリを使っていないことを確認することが必須だ。」