公開日: 2017/02/09  最終更新日: 2017/02/09

独立行政法人情報処理推進機構 (IPA)からの情報

脆弱性識別番号:JVN#88176589
脆弱性タイトル:脆弱性体験学習ツール AppGoat における認証不備の脆弱性
ステータス:該当製品あり

以下の情報は、製品開発者から JVN に提供されたものです。

■概要
弊機構で公開している「脆弱性体験学習ツール AppGoat ウェブアプリケーション用学習ツール」において、複数の脆弱性が存在することを確認いたしました。
継続して利用する場合は、最新版へのバージョンアップをお願いいたします。

■該当製品の確認方法
影響を受ける製品は以下の通りです。
製品名称:脆弱性体験学習ツール AppGoat ウェブアプリケーション用学習ツール
該当バージョン:V3.0.0以前

使用しているバージョンは、解凍先のフォルダ内の「変更履歴.txt」を確認してください。
変更履歴下方に記載されているバージョンが本ツールのバージョンです。

例えば、V2系がインストールされていれば、以下の記載があります。
 V2.0.0 (2014/03/10)

なお、解凍先のフォルダ内に「変更履歴.txt」のファイルが存在しない場合、使用しているバージョンはV3.0.0です。

■脆弱性の説明
「脆弱性体験学習ツール AppGoat ウェブアプリケーション用学習ツール」において、認証不備の脆弱性が存在します。

■脆弱性がもたらす脅威
集合学習モード利用時に個人学習モードのアカウントでログインされ、集合学習モードでは出来ない操作等を行うことが可能となります。

■対策方法
修正版のV3.0.1をダウンロードして利用してください。
ダウンロード方法については以下のURLの手順にしたがってください。
・脆弱性体験学習ツール AppGoat ウェブアプリケーション用学習ツール(個人学習モード)
 https://www.ipa.go.jp/security/vuln/appgoat/toolabust.html
・脆弱性体験学習ツール AppGoat ウェブアプリケーション用学習ツール(集合学習モード)
https://www.ipa.go.jp/security/vuln/appgoat/classroom.html

※ダウンロードするためにはIPA宛にメールによる申請が必要です。