【サイバーセキュリティ白書】2019年9月の脆弱性情報まとめ

サイバー攻撃の被害が後を絶たない昨今、最新の脆弱性を収集して把握することはセキュリティ対策を行う上で必要不可欠となっています。本シリーズ「サイバーセキュリティ白書」では、クラウド型WAF「攻撃遮断くん」やAWS WAF自動運用サービス「WafCharm」を開発運営するサイバーセキュリティクラウドのセキュリティエンジニアが調査した脆弱性情報を解説していきます。※本記事は2019年9月度 脆弱性情報のまとめとなります。

2019年9月に公開された新たな脆弱性について、いくつかご紹介します。

・セキュリティバイパスの脆弱性
CVE-ID：CVE-2019-8072
CVSS v3 Base Score：AWAITING ANALYSIS
CVSS v3 Vector：AWAITING ANALYSIS
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-8072

・コマンドインジェクションの脆弱性
CVE-ID：CVE-2019-8073
CVSS v3 Base Score：AWAITING ANALYSIS
CVSS v3 Vector：AWAITING ANALYSIS
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-8073

・パストラバーサルの脆弱性
CVE-ID：CVE-2019-8074
CVSS v3 Base Score：AWAITING ANALYSIS
CVSS v3 Vector：AWAITING ANALYSIS
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-8074

Adobe ColdFusionはアプリケーションフレームワーク、アプリケーションサーバです。
ColdFusion 2018のUpdate 4以前、ColdFusion 2016のUpdate 11以前に影響があります。
それぞれ、ColdFusion 2018 Update 5、ColdFusion 2016 Update 12へのアップデートが
推奨の対応策となります。

CVE-ID：CVE-2019-10098
CVSS v3 Base Score：6.1
CVSS v3 Vector：AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-10098

バージョン2.4.0から2.4.39に影響があります。
バージョン2.4.41へのアップデートが推奨の対応策となります。

CVE-ID：-
CVSS v3 Base Score：-
CVSS v3 Vector：-
情報源：https://www.drupal.org/sa-contrib-2019-069

Drupalは人気のあるコンテンツマネジメントシステム(CMS)の一つです。
エディターモジュール「Gutenberg」にアクセスバイパスの脆弱性があります。
該当モジュールのバージョン8.x-1.xに影響があります。
バージョン8.x-1.8へのアップデートが推奨の対応策となります。

CVE-ID：CVE-2019-15001
CVSS v3 Base Score：7.2
CVSS v3 Vector：AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-15001

Jira Serverはバグトラッキングや課題管理、プロジェクト管理に用いられるソフトウェアです。
以下のバージョンに影響があります。
7.0.10から7.6.15、7.7.0から7.13.7、
8.1.0から8.1.2、8.2.0から8.2.4、8.3.0から8.3.3、8.4.0

それぞれ、バージョン7.6.16、7.13.8、8.1.3、8.2.5、8.3.4、8.4.1への
アップデートが推奨の対応策となります。

CVE-ID：CVE-2019-14994
CVSS v3 Base Score：7.5
CVSS v3 Vector：AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-14994

Jira Service Desk ServerはIT サービスデスク/カスタマーサービスソフトウェアです。
以下のバージョンに影響があります。
3.9.16より以前、3.10.0から3.16.7、4.0.0から4.1.2、4.2.0から4.2.4、4.3.0から4.3.3、4.4.0

それぞれ、バージョン3.9.16、3.16.8、4.1.3、4.2.5、4.3.4、4.4.1への
アップデートが推奨の対応策です。

CVE-ID：CVE-2019-16725
CVSS v3 Base Score：6.1
CVSS v3 Vector：AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-16725

Joomla!は人気のあるコンテンツマネジメントシステム(CMS)の一つです。
バージョン3.9.12より以前の3.xに影響があります。
バージョン3.9.12へのアップデートが推奨の対応策です。

CVE-ID：CVE-2019-6009
CVSS v3 Base Score：6.1
CVSS v3 Vector：AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-6009

SHIRASAGIはRuby on Railsで開発されたコンテンツマネジメントシステム(CMS)で
Webアプリケーション開発プラットフォームとしても利用できるものです。
バージョン1.7.0以前に影響があります。
バージョン1.8.0へのアップデートが推奨の対応策となります。

CVE-ID：CVE-2019-16759
CVSS v3 Base Score：9.8
CVSS v3 Vector：AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-16759

vBulletinはPHPで記述されたインターネットフォーラムソフトウェアパッケージです。
バージョン5.5.4までのバージョン5.xに影響があります。
バージョン5.5.2、5.5.3、5.5.4に対してセキュリティパッチがリリースされており、
こちらの適用が推奨の対応策となります。

・クロスサイトスクリプティングの脆弱性
CVE-ID：CVE-2019-16217
CVSS v3 Base Score：6.1
CVSS v3 Vector：AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-16217

CVE-ID：CVE-2019-16218
CVSS v3 Base Score：6.1
CVSS v3 Vector：AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-16218

CVE-ID：CVE-2019-16219
CVSS v3 Base Score：6.1
CVSS v3 Vector：AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-16219

CVE-ID：CVE-2019-16221
CVSS v3 Base Score：6.1
CVSS v3 Vector：AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-16221

CVE-ID：CVE-2019-16222
CVSS v3 Base Score：6.1
CVSS v3 Vector：AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-16222

CVE-ID：CVE-2019-16223
CVSS v3 Base Score：5.4
CVSS v3 Vector：AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-16223

・オープンリダイレクトの脆弱性
CVE-ID：CVE-2019-16220
CVSS v3 Base Score：6.1
CVSS v3 Vector： AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-16220

WordPressは、人気のあるコンテンツマネジメントシステム(CMS)の一つです。
上記の脆弱性はバージョン5.2.3より以前に影響があります。
バージョン5.2.3がSecurity and Maintenance Releaseとしてリリースされており、
こちらへのアップデートが推奨の対応策となります。

今回ご紹介した脆弱性ですが、実際に公開された脆弱性の数からするとほんの一握りです。
それぞれの脆弱性に対して、製品を提供しているベンダーから推奨の対応策が提供されていますので、早急に対応を実施することが推奨されます。
ただし、様々な理由により、推奨の対策が実施できない場合もあると思います。そういった場合には、マネージドセキュリティサービスを利用してカバーすることも非常に有効となります。