旬のトピック、最新ニュースのマピオンニュース。地図の確認も。

2020年危険なソフトウェアの脆弱性トップ25が発表

2020年08月22日21時52分 / 提供:マイナビニュース

United States Computer Emergency Readiness Team (US-CERT)は8月20日(米国時間)、「2020 CWE Top 25 Most Dangerous Software Weaknesses|CISA」において、アメリカ合衆国国土安全保障省システムエンジニアリングおよび開発機関(HSSEDI: Homeland Security Systems Engineering and Development Institute)から、2020年Common Weakness Enumeration (CWE:共通脆弱性タイプ一覧)におけるソフトウェアに深刻な被害をもたらすおそれがある脆弱性トップ25が発表されたと伝えた。攻撃者はこうした脆弱性を悪用して影響を受けるシステムを制御したり、機密情報を窃取したり、サービス妨害攻撃(DoS: Denial of Service attack)を仕掛けたりすると説明している。

脆弱性に関する情報は次のページにまとまっている。

CWE - 2020 CWE Top 25 Most Dangerous Software Weaknesses

HSSEDIが報告しているトップ25は次のとおり。

CWE-79 - Webページ生成中の入力データの不適切な処理(クロスサイトスクリプティング)

CWE-787 - 範囲外の書き込み

CWE-20 - 不適切な入力検証

CWE-125 - 範囲外の読み取り

CWE-119 - メモリバッファ境界内での不適切な処理制限

CWE-89 - SQLコマンドで使用される特殊要素の不適切な処理(SQLインジェクション)

CWE-200 - 権限を持たないユーザへの機密情報の漏洩

CWE-416 - 解放したメモリの使用

CWE-352 - クロスサイトリクエストフォージェリ(CSRF)

CWE-78 - OSコマンドで使用される特殊要素の不適切な処理(OSコマンドインジェクション)

CWE-190 - 整数オーバーフローまたはラップアラウンド

CWE-22 - 制限されたディレクトリに対する不適切なパス名制限(パストラバーサル)

CWE-476 - NULLポインター逆参照

CWE-287 - 不適切な認証

CWE-434 - 危険なタイプのファイルのアップロード許可

CWE-732 - 重要なリソースの不正な権限割り当て

CWE-94 - 不適切な制御コード生成(コードインジェクション)

CWE-522 - 十分に保護されていない資格情報

CWE-611 - XML外部エンティティ参照の不適切な制限

CWE-798 - ハードコードされた資格情報の使用

CWE-502 - 信頼できないデータの逆シリアル化

CWE-269 - 不適切な権限管理

CWE-400 - 制御されていないリソース消費

CWE-306 - 重要な機能の使用に対する認証の欠如

CWE-862 - 認証の欠如

Cybersecurity and Infrastructure Security Agency (CISA)はユーザーおよび管理者に対して、トップ25の内容をチェックするとともに、適切な緩和策を適用していくことを推奨している。

続きを読む ]

このエントリーをはてなブックマークに追加

関連してるっぽい地図

あなたにおすすめの記事

関連記事

ネタ・コラムカテゴリのその他の記事

マピオンニュース ページ上部へ戻る