2021年第4四半期の「JVN iPedia」登録状況、Windows 11とApache HTTP Serverの脆弱性 ほか

　独立行政法人情報処理推進機構（IPA）は1月19日、2021年第4四半期（10月から12月）における「脆弱性対策情報データベース『JVN iPedia』の登録状況」を発表した。発表によると、同期間にJVN iPedia日本語版へ登録された脆弱性対策情報は4,676件で、累計登録件数が137,702件となった。内訳は、国内製品開発者から収集したもの5件（公開開始からの累計は261件）、JVNから収集したもの358件（累計10,814件）、NVDから収集したもの4,313件（累計126,627件）となっている。

　同四半期の注目情報として、2021年10月5日（日本時間）にリリースされた Windows 11において2021年12月末までに89件と多くの脆弱性が公開されている件と、Apache Software Foundation から2021年10月に情報公開された Apache HTTP Serverの脆弱性（CVE-2021-41773）を挙げている。

　件数が多かった脆弱性は、「CWE-79（クロスサイトスクリプティング：XSS）」501件、「CWE-787（境界外書き込み）」274件、「CWE-269（不適切な権限管理）」172件、「CWE-89（SQL インジェクション）」165件、「CWE-125（境界外読み取り）」145件などとなっている。

　製品別登録状況では、1位に「Qualcomm component（クアルコム）」、2位に「Fedora（Fedora Project）」、3位に「Debian GNU/Linux（Debian）」、4位に「Android（Google）」、5位に「Google Chrome（Google）」、6位から15位、17位、20位をWindows OSが占めている。

　アクセスの多かったJVN iPediaの脆弱性対策情報は、1位に「Movable Type の XMLRPC API における OS コマンドインジェクションの脆弱性」、2位に「Apache Log4j における任意のコードが実行可能な脆弱性」、3位に「Apache HTTP Server におけるディレクトリトラバーサルの脆弱性」、4位に「Log4j における信頼性のないデータのデシリアライゼーションに関する脆弱性」、5位に「サイボウズ リモートサービスにおける複数の脆弱性」、6位に「トレンドマイクロ製 ServerProtect における認証回避の脆弱性」、7位に「スマートフォンアプリ「Nike」における Custom URL Scheme の処理にアクセス制限不備の脆弱性」、8位に「CLUSTERPRO X および EXPRESSCLUSTER X における複数の脆弱性」、9位に「サイボウズ Office に複数の脆弱性」、10位に「Hitachi Tuning Manager、Hitachi Infrastructure Analytics Advisor および Hitachi Ops Center Analyzer における情報露出の脆弱性」となっている。