サイバー攻撃の被害が後を絶たない昨今、最新の脆弱性を収集して把握することはセキュリティ対策を行う上で必要不可欠となっています。本シリーズ「サイバーセキュリティ白書」では、クラウド型WAF「攻撃遮断くん」やAWS WAF自動運用サービス「WafCharm」を開発運営するサイバーセキュリティクラウドのセキュリティエンジニアが調査した脆弱性情報を解説していきます。※本記事は2020年1月度 脆弱性情報のまとめとなります。
2020年1月に公開された新たな脆弱性について、いくつかご紹介します。
AngularはTypeScriptベースのフロントエンドWebアプリケーションフレームワークです。
・クロスサイトスクリプティングの脆弱性
CVE-ID:CVE-2019-14863
CVSS v3 Base Score:6.1
CVSS v3 Vector:AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
情報源:https://nvd.nist.gov/vuln/detail/CVE-2019-14863
バージョン1.5.0-beta.0より以前に影響があります。
1.5.0-beta.0以降の新しいバージョンへのアップデートが推奨の対応策となります。
・リモートコード実行の脆弱性
CVE-ID:CVE-2020-5219
CVSS v3 Base Score:8.8
CVSS v3 Vector:AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
情報源:https://nvd.nist.gov/vuln/detail/CVE-2020-5219
バージョン1.0.1より以前に影響があります。
バージョン1.0.1以降の新しいバージョンへのアップデートが推奨の対応策となります。
CVE-ID:CVE-2019-19781
CVSS v3 Base Score:9.8
CVSS v3 Vector:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
情報源:https://nvd.nist.gov/vuln/detail/CVE-2019-19781
Citrix Application Delivery Controller、Citrix Gatewayの
バージョン10.5、11.1、12.0、12.1、13.0に影響があります。
以下のCitrix社のアナウンスに従い、アップデートを実施してください。
https://support.citrix.com/article/CTX267027
CVE-ID:CVE-2020-5224
CVSS v3 Base Score:8.8
CVSS v3 Vector:AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
情報源:https://nvd.nist.gov/vuln/detail/CVE-2020-5224
DjangoはPythonで実装されたWebアプリケーションフレームワークです。
Django User Sessionsのバージョン1.7.1以前に影響があります。
バージョン1.7.1へのアップデートが推奨の対応策となります。
・CSRFの脆弱性
CVE-ID:CVE-2020-8419
CVSS v3 Base Score:UNDERGOING ANALYSIS
CVSS v3 Vector:UNDERGOING ANALYSIS
情報源:https://nvd.nist.gov/vuln/detail/CVE-2020-8419
CVE-ID:CVE-2020-8420
CVSS v3 Base Score:UNDERGOING ANALYSIS
CVSS v3 Vector:UNDERGOING ANALYSIS
情報源:https://nvd.nist.gov/vuln/detail/CVE-2020-8420
・クロスサイトスクリプティングの脆弱性
CVE-ID:CVE-2020-8421
CVSS v3 Base Score:UNDERGOING ANALYSIS
CVSS v3 Vector:UNDERGOING ANALYSIS
情報源:https://nvd.nist.gov/vuln/detail/CVE-2020-8421
Joomla!は人気のあるコンテンツマネジメントシステム(CMS)の一つです。
上記の脆弱性は、バージョン3.0.0から3.9.14に影響があります。
バージョン3.9.15へのアップデートが推奨の対応策となります。
joomla.orgのSecurity Announcementsは以下で確認ができます。
https://developer.joomla.org/security-centre/798-20200101-core-csrf-in-batch-actions
https://developer.joomla.org/security-centre/799-20200102-core-csrf-com-templates-less-compiler
https://developer.joomla.org/security-centre/800-20200103-core-xss-in-com-actionlogs
CVE-ID:CVE-2020-0601
CVSS v3 Base Score:8.1
CVSS v3 Vector:AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
情報源:https://nvd.nist.gov/vuln/detail/CVE-2020-0601
証明書の検証に関して、なりすましが可能となる脆弱性です。
本脆弱性は「Curveball」とも呼称されています。
Windows 10、Windows Server 2016、Windows Server 2019が影響を受けます。
2020年1月のセキュリティ更新プログラムの適用が推奨の対応策となります。
CVE-ID:CVE-2020-2530
CVSS v3 Base Score:6.1
CVSS v3 Vector:AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
情報源:https://nvd.nist.gov/vuln/detail/CVE-2020-2530
Oracle HTTP ServerはOracle Fusion Middlewareの
Webサーバ・コンポーネントです。
バージョン11.1.1.9.0、12.1.3.0.0、12.2.1.3.0に影響があります。
January 2020のCritical Patchの適用が推奨の対応策となります。
CVE-ID:CVE-2020-5504
CVSS v3 Base Score:8.8
CVSS v3 Vector:AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
情報源:https://nvd.nist.gov/vuln/detail/CVE-2020-5504
phpMyAdminは、MySQLをウェブブラウザで管理するための
PHPで実装されているデータベース接続クライアントツールです。
バージョン4.xにおける4.9.4より以前、5.xにおける5.0.0に影響があります。
それぞれ、バージョン4.9.4、5.0.1へのアップデートが推奨の対応策となります。
Spring Framework は、Javaプラットフォーム向けの
Webアプリケーションフレームワークです。
・CSRFの脆弱性
CVE-ID:CVE-2020-5397
CVSS v3 Base Score:5.3
CVSS v3 Vector:AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
情報源:https://nvd.nist.gov/vuln/detail/CVE-2020-5397
バージョン5.2.0から5.2.2に影響があります。
それぞれ、バージョン5.2.3へのアップデートが推奨の対応策となります。
・reflected file download攻撃に関する脆弱性
CVE-ID:CVE-2020-5398
CVSS v3 Base Score:7.5
CVSS v3 Vector:AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
情報源:https://nvd.nist.gov/vuln/detail/CVE-2020-5398
バージョン5.2.0から5.2.2、5.1.0から5.1.12、5.0.0から5.0.15に影響があります。
それぞれ、バージョン5.2.3、5.1.13、5.0.16へのアップデートが推奨の対応策となります。
CVE-ID:CVE-2019-10913
CVSS v3 Base Score:9.8
CVSS v3 Vector:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
情報源:https://nvd.nist.gov/vuln/detail/CVE-2019-10913
SymfonyはPHPで実装されたWebアプリケーションフレームワークです。
以下のバージョンに影響があります。
2.7.0から2.7.50、2.8.0から2.8.49、3.4.0から3.4.25、4.1.0から4.1.11、4.2.0から4.2.6
バージョン2.7.51、2.8.50、3.4.26、4.1.12、4.2.7へのアップデートが
推奨の対応策となりますが、バージョン3.0、3.1、3.2、3.3、4.0については
メンテナンスのサポートが終了しているため、注意が必要です。
・クロスサイトスクリプティングに関する脆弱性
CVE-ID:CVE-2019-16773
CVSS v3 Base Score:5.4
CVSS v3 Vector:AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
情報源:https://nvd.nist.gov/vuln/detail/CVE-2019-16773
・認証の不備に関する脆弱性
CVE-ID:CVE-2019-16788
CVSS v3 Base Score:4.3
CVSS v3 Vector:AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
情報源:https://nvd.nist.gov/vuln/detail/CVE-2019-16788
WordPressは人気のあるコンテンツマネジメントシステム(CMS)の一つです。
どちらの脆弱性もバージョン3.7から5.3までに影響があります。
バージョン5.3.1へのアップデートが推奨の対応策となります。
今回ご紹介した脆弱性ですが、実際に公開された脆弱性の数からするとほんの一握りです。
それぞれの脆弱性に対して、製品を提供しているベンダーから推奨の対応策が提供されていますので、早急に対応を実施することが推奨されます。
ただし、様々な理由により、推奨の対策が実施できない場合もあると思います。そういった場合には、マネージドセキュリティサービスを利用してカバーすることも非常に有効となります。
この記事と一緒に読まれています
【サイバーセキュリティ白書】2019年12月の脆弱性情報まとめ
2020.01.09
セキュリティ対策
【サイバーセキュリティ白書】2019年11月の脆弱性情報まとめ
2019.12.04
セキュリティ対策
【サイバーセキュリティ白書】2019年10月の脆弱性情報まとめ
2019.11.06
セキュリティ対策
【サイバーセキュリティ白書】2019年9月の脆弱性情報まとめ
2019.10.03
セキュリティ対策
【サイバーセキュリティ白書】2019年8月の脆弱性情報まとめ
2019.09.03
セキュリティ対策
【サイバーセキュリティ白書】2019年7月の脆弱性情報まとめ
2019.08.05
セキュリティ対策