ソフトウエア製品脆弱性関連情報届出様式 2017年5月31日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター この届出様式は、ソフトウエア等に関する脆弱性関連情報を独立行政法人情 報処理推進機構(IPA)に届け出る際に、届出者の方に使用していただくもの です。円滑な取扱いのために、ご協力をお願いいたします。 届出に際しては、「ソフトウエア製品脆弱性関連情報届出様式の記入の手引き」 をご一読ください。 https://www.ipa.go.jp/security/vuln/report/guide.txt ====================================================================== 2017年 12月 28日 0. 取扱い方針 ■ 脆弱性関連情報の取扱いプロセスに則り、脆弱性関連情報を取扱うことへの 了解 ■ 以下、本ガイドライン適用範囲への了解 ・日本国内で利用されているソフトウエア製品に関わる脆弱性である ・その脆弱性に起因する影響が不特定または多数の人々におよぶおそれのある ※ 上記2つにチェックがない場合は、届出を行うことができません。 ※ 以下、* がある項目は入力必須項目です。 1. 届出者情報 1) 届出者情報 住所(都道府県):東京都 所属:IPA セキュリティセンター 氏名*:IPA 太郎 電子メールアドレス*:foo@ipa.go.jp TEL: FAX: 届出証明書*: □ 希望する ■ 希望しない 2) 届出者情報の取り扱いについて* ■ 届出者情報を製品開発者に知らせても良い(調整機関経由になります) □ 届出者情報を製品開発者には知らせず、すべてのやりとりを IPAとのみ 行う(調整機関にも伝わりません) ※ 「IPAとのみ」を希望する場合、「2. 脆弱性関連情報」等に届出者情報 は記入しないでください。また、ファイルのプロパティ等に個人情報が 含まれる場合がありますので、ファイルを添付する場合は個人情報を 削除してください。 3) 対策情報公表時の謝辞への届出者名の記載について* 3-1) JVNでの記載 ■ 記載しても良い □ 記載して欲しくない 3-2) 製品開発者サイトでの記載 ■ 記載しても良い □ 記載して欲しくない 記載しても良い場合は、記載する情報を記入してください(日本語、英語) 所属:IPA セキュリティセンター、IPA Security Center 氏名:IPA 太郎、Taro IPA ※ 謝辞を希望する場合は、必ず日本語表記、英語表記をそれぞれ記載して ください。JVN 日本語版の謝辞についても英語表記を希望する場合は、 お手数ですが、英語表記を 2 つ句読点で区切って記入してください。 ※ 謝辞に所属の記載を希望しない場合、「記載なし」と記入してください。 ※ JPCERT/CC から製品開発者に対し、発見者への謝辞を掲載するよう 推奨いたしますが、掲載されるかどうかは製品開発者の判断となります。 2. 脆弱性関連情報 1) この脆弱性関連情報の入手先* ■ 自分で発見した □ 人から入手した □ ウェブサイトから入手した(URL: ) 2) 脆弱性を確認したソフトウエア等に関する情報 脆弱性の確認日*:2017年 12月 26日 名称*:FoobarbazWebServer バージョン*:1.2.34 パッチレベル*:- 製品開発言語*:- 製品開発者名*:株式会社○○ 製品開発者のウェブサイトURL*:https://www.shop-a.example.jp/ 製品ダウンロードサイトまたは、ソフトウエア製品の情報URL*:https://www.shop-a.example.jp/ 製品開発者の連絡先メールアドレス*:info@shop-a.example.jp 製品開発者の住所、電話番号: 設定情報*:標準インストール直後の設定 ※ パッチレベルについては、マイナーバージョンや適用されたパッチに 対する情報、あるいはサービスパックやホットフィックス等の情報を 含みます。 ※ 製品ダウンロードサイトURLについては、製品ダウンロードサイトURL がない場合は、製品情報URLを含みます。 ※ 開発者の連絡先については、メールアドレス、またはメールアドレスが ない場合は、電話番号、住所等の情報を含みます。 3) 脆弱性の種類* バッファ・オーバーフロー 4) CWEとの関連付け CWE-119 5) 脆弱性の再現手順と判断理由* ・再現手順の概要 - 想定される攻撃者の条件: 特になし - 想定される被害者: 当該製品を使用しているサイト運営者 - 脆弱性と判断した理由: リクエストの送信により、サーバが異常終了したため。 ・具体的な手順 FoobarbazWebServer に対して特定のリクエストを送信した場合、バッ ファオーバーフローが発生し、サーバが異常終了しプロセスが停止し ます。任意のコードが実行可能かどうかはわかりません。 リクエストに関しては、以下の条件をすべて満たす必要があります。 1. メソッドが PUT 2. 1024 octet 以上の長さの引数 6) 再現の状況* ■ 常に □ 時々 □ まれに 補足説明(バージョンによる、言語による、などを記入) Version 1.2.00では再現しなかった。 Version 1.2.34で再現を確認できた。 7) 脆弱性により発生しうる脅威* - 機密性: サーバ内の情報が漏えいする。 - 完全性: サーバ内の情報が改ざんされる。 - 可用性: 当該製品が永続的に停止し、復旧不能になる。 攻撃者が意図的なコードを含む PUT リクエストを送信することにより 以下の被害が生じる可能性があります。 ・ 対象のサーバの停止 ・ FoobarbazWebServer の権限での任意のコード実行 ※ 攻撃者が脆弱性を用いずに通常の操作の範囲内で同等のことが可能な場合、 脅威とはいえません。 8) 回避策* 別のフィルタリングソフトウエアを使用して、リクエストが FoobarbazWebServer に到達する以前に PUT メソッドをフィルタリングする。 9) 検証コード* 添付ファイルをご参照ください。 10) 脆弱性が再現した証跡* 添付ファイルをご参照ください。 ※ 当該脆弱性を再現したことが確認できる画面キャプチャ、ログファイルなどを 添付してください。 ※ 証拠の取得に際しては、関連法令に触れることがないように留意してください。 11) 深刻度と影響範囲 CVSS v3 基本値スコア: CVSS:3.0/AV:A/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H/BS:6.8 利用者数の根拠:なし 重要インフラの影響:なし 攻撃コード公表の有無:なし 本脆弱性を用いた攻撃発生の有無:なし 12) その他 この問題を悪用された場合、サーバの停止だけでなくサーバを含むシス テム全体のセキュリティに対する侵害となる可能性があるため、早急な 対応が必要と考えます。 3. 当該ソフトウエアの海外での利用状況について* □ 海外で開発されたソフトウエアである ■ 国内で開発されたソフトウエアであるが、他のソフトウエアに組み 込まれ、海外で配布/販売されている □ 国内で開発されたソフトウエアであるが、海外で配布/販売されて いる □ 国内で開発されたソフトウエアであり、海外で配布/販売されてい るかどうかは不明である。 □ その他( ) 4. IPA 以外の組織への届出について* ■ あり □ なし 届出年月日*:2017年 12月 26日 届出番号:なし 届出先組織*:株式会社○○ 問い合わせ窓口URL*:https://www.shop-a.example.jp/contact 窓口メールアドレス*:info@shop-a.example.jp 窓口電話番号: 届出内容*:メールを添付しました。 ※ 届出内容は、届出メールそのものをエクスポートして添付頂くか、メールの ヘッダ情報(送信日時、件名などを含む)と本文を転記してください。 5.今後の調整方針について* 1) 開発者へ届出されている場合 ■ 開発者との調整を発見者自身で対応する □ 開発者との調整をパートナーシップに依頼する ※ 開発者の混乱を避けるため、発見者から調整依頼があるまで本制度での対応は開始しません。 ※ 開発者の了承が得られずに、JVN公表できない恐れがあります。 ※ JVN公表を要望している場合は、その旨を予め発見者から製品開発者へ伝えてください。 2) 開発者との調整をパートナーシップに依頼する場合 □ 今後の調整方針を開発者に連絡済み □ 今後の調整方針を開発者に未連絡 ※ 開発者との調整を本制度に依頼する場合、その旨を製品開発者へ連絡して下さい。 もし、未連絡の場合は、理由を記載してください。 6. 今後の連絡について 1) IPA からの連絡における暗号化* ■ 希望する □ 希望しない ※ 希望する場合は、公開鍵を添付してください。 7. その他 特になし ======================================================================