【脆弱性】オープンソースAPIフレームワーク「Swagger」に深刻な脆弱性---「RESTful API」標準フォーマット、「パッチが公開されるまでは、ユーザーがSwagger文書を入念にチェックする必要がある」と勧告

OSS×クラウド最新TOPICS　2016年6月25日 10:03

セキュリティ企業「Rapid7」は、6月22日、
オープンソースAPIフレームワーク「Swagger」に深刻な脆弱性が見つかったと報告した。

【Swaggerとは】
・オープンソース
・ドキュメントフォーマットおよびビューワー
・「RESTful API」の標準フォーマット

【脆弱性】
・NodeJS、PHP、Ruby、Javaなど主要言語向けのSwaggerコードジェネレータに脆弱性が存在すると指摘
・Swagger文書内のパラメータのチェックが不適切なために、攻撃者が悪質な細工を施したSwagger文書を利用して、クライアントやサーバでリモートのコードを実行し、サービスシステムの定義に干渉できてしまう恐れがあるという

【対応策】
コードジェネレータのパッチが公開されるまでは、ユーザーがSwagger文書を入念にチェックする必要があると勧告。

（出所：http://www.itmedia.co.jp/enterprise/articles/1606/24/news071.html）