【サイバーセキュリティ白書】2019年10月の脆弱性情報まとめ

サイバー攻撃の被害が後を絶たない昨今、最新の脆弱性を収集して把握することはセキュリティ対策を行う上で必要不可欠となっています。本シリーズ「サイバーセキュリティ白書」では、クラウド型WAF「攻撃遮断くん」やAWS WAF自動運用サービス「WafCharm」を開発運営するサイバーセキュリティクラウドのセキュリティエンジニアが調査した脆弱性情報を解説していきます。※本記事は2019年10月度 脆弱性情報のまとめとなります。

2019年10月に公開された新たな脆弱性について、いくつかご紹介します。

CVE-ID：CVE-2019-10079
CVSS v3 Base Score：7.5
CVSS v3 Vector：AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-10079
 
Apache Traffic Serverは、
モジュール式のリバースプロキシおよびフォワードプロキシサーバです。
HTTP/2 setting flood attacksにより、DoS状態にされる可能性があります。
バージョン7.1.7、8.0.4へのアップデートが推奨の対応策となります。

・クロスサイトスクリプティングの脆弱性
CVE-ID：CVE-2019-6016
CVSS v3 Base Score：6.1
CVSS v3 Vector：AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
情報源：https://jvn.jp/jp/JVN59436681/index.html
 
・情報開示の脆弱性
CVE-ID：CVE-2019-6017
CVSS v3 Base Score：5.3
CVSS v3 Vector：AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
情報源：https://jvn.jp/jp/JVN59436681/index.html
 
どちらの脆弱性もEC-CUBE用「ルミーズ決済モジュール」に存在するものです。
2.11系、2.12系、2.13系それぞれのバージョン3.0.12以前に影響があります。
バージョン3.0.13へのアップデートが推奨の対応策となります。

CVE-ID：-
CVSS v3 Base Score：-
CVSS v3 Vector：-
情報源：https://blog.hacktivesecurity.com/index.php?controller=post&action=view&id_post=41
 
Joomla!は人気のあるコンテンツマネジメントシステム(CMS)の一つです。
2012-2015年ごろにリリースされていたバージョン3.0.0-3.4.6に影響があります。
CVE-2015-8562とは異なる脆弱性となります。
なお、最新はバージョン3.8.8となります。なお現時点ではCVE-IDは採番されていません。

CVE-ID：CVE-2019-6018
CVSS v3 Base Score：6.1
CVSS v3 Vector：AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
情報源：https://jvn.jp/jp/JVN74530672/
 
NetCommons3は国立情報学研究所NetCommonsプロジェクトが開発している
コンテンツマネジメントシステム(CMS)です。
バージョン3.2.2以前に影響があります。
バージョン3.3.0へのアップデートが推奨の対応策となります。

・情報開示の脆弱性
CVE-ID：CVE-2019-2887
CVSS v3 Base Score：4.3
CVSS v3 Vector：AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-2887
Web Servicesコンポーネントにある脆弱性です。
http経由にて攻撃される可能性があります。
悪用するには通常ユーザの権限が必要です。
 
・情報開示の脆弱性
CVE-ID：CVE-2019-2888
CVSS v3 Base Score：5.3
CVSS v3 Vector：AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-2888
EJB Containerコンポーネントにある脆弱性です。
http経由にて攻撃される可能性があります。
 
・リモートコード実行の脆弱性
CVE-ID：CVE-2019-2889
CVSS v3 Base Score：6.1
CVSS v3 Vector：AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-2889
Sample appsコンポーネントにある脆弱性です。
http経由にて攻撃される可能性があります。
 
・リモートコード実行の脆弱性
CVE-ID：CVE-2019-2890
CVSS v3 Base Score：7.2
CVSS v3 Vector：AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-2890
Web Servicesコンポーネントにある脆弱性です。
T3プロトコル経由にて攻撃される可能性があります。
悪用するには管理者権限が必要です。
 
・リモートコード実行の脆弱性
CVE-ID：CVE-2019-2891
CVSS v3 Base Score：8.1
CVSS v3 Vector：AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-2891
Consoleコンポーネントにある脆弱性です。
http経由にて攻撃される可能性があります。
 
Oracle WebLogic ServerはOracle社が提供するアプリケーションサーバです。
バージョン10.3.6.0.0、12.1.3.0.0から12.2.1.3.0に影響があります。
2019年10月にリリースされたCritical Patchを適用することが推奨の対応策となります。

CVE-ID：CVE-2019-11043
CVSS v3 Base Score：9.8
CVSS v3 Vector：AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-11043
nginx環境にてPHP-FPMを利用しており、特定のnginxの設定をしている場合に、
影響を受けます。
PHPのバージョン7.1.33より以前、7.2.24より以前、7.3.11より以前に影響があります。
バージョン7.1.33、7.2.24、7.3.11へのアップデートが推奨の対応策となります。

CVE-ID：CVE-2019-6020
CVSS v3 Base Score：4.7
CVSS v3 Vector： AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N
情報源：https://jvn.jp/jp/JVN34634458/index.html
 
PowerCMSは、コンテンツマネジメントシステム(CMS)の一つです。
バージョン5.12以前、4.42以前、3.293以前に影響があります。
バージョン5.13、4.43、3.294へのアップデートが推奨の対応策となります。

・SQLインジェクションの脆弱性
CVE-ID：CVE-2019-17271
CVSS v3 Base Score：4.9
CVSS v3 Vector：AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-17271
バージョン5.5.4に影響があります。
 
・リモートコード実行の脆弱性
CVE-ID：CVE-2019-17132
CVSS v3 Base Score：9.8
CVSS v3 Vector：AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-17132
バージョン5.5.4以前に影響があります。
 
vBulletinはPHPで記述されたインターネットフォーラムソフトウェアパッケージです。
どちらの脆弱性もバージョン5.5.5へのアップデートが推奨の対応策となります。

・クロスサイトスクリプティングの脆弱性
CVE-ID：CVE-2019-17672
CVSS v3 Base Score：6.1
CVSS v3 Vector： AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-17672
 
CVE-ID：CVE-2019-17674
CVSS v3 Base Score：5.4
CVSS v3 Vector： AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-17674
 
・情報開示の脆弱性
CVE-ID：CVE-2019-17671
CVSS v3 Base Score：5.3
CVSS v3 Vector：AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-17671
 
・キャッシュポイズニングの脆弱性
CVE-ID：CVE-2019-17673
CVSS v3 Base Score：7.5
CVSS v3 Vector：AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-17673
 
・サーバサイドリクエストフォージェリの脆弱性
CVE-ID：CVE-2019-17669
CVSS v3 Base Score：9.8
CVSS v3 Vector：AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-17669
 
CVE-ID：CVE-2019-17670
CVSS v3 Base Score：9.8
CVSS v3 Vector：AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
情報源： https://nvd.nist.gov/vuln/detail/CVE-2019-17670
 
・入力検証不備の脆弱性
CVE-ID：CVE-2019-17675
CVSS v3 Base Score：8.8
CVSS v3 Vector： AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-17675
 
WordPressは、人気のあるコンテンツマネジメントシステム(CMS)の一つです。
 
上記の脆弱性についてはバージョン5.2.4以前に影響があります。
バージョン5.2.4へのアップデートが推奨の対応策となります。

今回ご紹介した脆弱性ですが、実際に公開された脆弱性の数からするとほんの一握りです。
それぞれの脆弱性に対して、製品を提供しているベンダーから推奨の対応策が提供されていますので、早急に対応を実施することが推奨されます。
ただし、様々な理由により、推奨の対策が実施できない場合もあると思います。そういった場合には、マネージドセキュリティサービスを利用してカバーすることも非常に有効となります。