旧地理院地図のソースに脆弱性。きゅうちりいん?

国土地理院が提供する「平成27年1月以前の旧地理院地図のソース」に脆弱性が見つかっております。

 

脆弱性情報

  • ディレクトリトラバーサル

 

発見されたシステム・バージョン

2016年5月25日より前に GitHub で公開されていた平成27年1月以前の旧地理院地図のソース

(対象ファイル名:kml2jsonp.php)

※ 「なお、このバージョンの旧地理院地図は現在、国土地理院では運用しておりません。」とのこと。

 

想定される影響

Windows上で当該製品を運用している環境において、第三者によって当該製品が動作しているサーバ上の任意のファイルの内容を取得される可能性があります。

 

対応方法

開発者情報を元に対象ファイル「kml2jsonp.php」を下記GitHubページで公開している最新版へアップデートしてください。

https://github.com/gsi-cyberjapan/legacy_old_gsimaps/blob/gh-pages/kml2jsonp.php

 

なお、国土交通省によれば、現在運用されている地理院地図のソースが下記GitHubページにて掲載されており、今後は、こちらの利用を推奨する、とのこと。
https://github.com/gsi-cyberjapan/gsimaps

 

ご利用の方は、該当ファイルのアップデート、または最新地図への差し替えを早急に行ったほうがよさそうです。

 

【ベンダーページ】

平成27年1月以前の旧地理院地図のソースの脆弱性に対するアップデート

国土地理院とは?

国土地理院(こくどちりいん)はwikipediaによれば

国土交通省設置法及び測量法に基づいて測量行政を行う、国土交通省に置かれる特別の機関である。

とのこと。ちょっと訳が分かりません。

 

まあ現代の伊能 忠敬(いのう ただたか)ということでしょうか。

 

ちょっとあれですね、あと気になることと言えば「「ちりいん」って連続で言いにくいよね。」ってことでしょうか。   完

レオンテクノロジーは現在、一緒に働く仲間を募集しております!
興味がある方はこちらから!

セキュリティに関するご相談はこちらから!

こんな記事も読まれています

2022年8月24日

Movable TypeのXMLRPC APIにコマンドインジェクションの脆弱性

2021年12月13日

Java用のログ出力ライブラリ「Log4j」にリモートコード実行の脆弱性

2021年12月2日

Movable TypeのXMLRPC APIにOSコマンドインジェクションの脆弱性