サイバー攻撃の被害が後を絶たない昨今、最新の脆弱性を収集して把握することはセキュリティ対策を行う上で必要不可欠となっています。本シリーズ「サイバーセキュリティ白書」では、クラウド型WAF「攻撃遮断くん」やAWS WAF自動運用サービス「WafCharm」を開発運営するサイバーセキュリティクラウドのセキュリティエンジニアが調査した脆弱性情報を解説していきます。※本記事は2020年2月度 脆弱性情報のまとめとなります。
目次
2020年2月発表の脆弱性情報
2020年2月に公開された新たな脆弱性について、いくつかご紹介します。
1)Apache Tomcatにリモートコード実行の脆弱性
CVE-ID:CVE-2020-1938
CVSS v3 Base Score:9.8
CVSS v3 Vector:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
情報源:https://nvd.nist.gov/vuln/detail/CVE-2020-1938
Apache JServ Protocolに関する脆弱性です。
バージョン9.0.0.M1から9.0.0.30、8.5.0から8.5.50、7.0.0から7.0.99に影響があります。
それぞれバージョン9.0.31、8.5.51、7.0.100へのアップデートが推奨の対応策となります。
2)DjangoにSQLインジェクションの脆弱性
CVE-ID:CVE-2020-7471
CVSS v3 Base Score:9.8
CVSS v3 Vector:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
情報源:https://nvd.nist.gov/vuln/detail/CVE-2020-7471
DjangoはPythonで実装されたWebアプリケーションフレームワークです。
1.11.28以前、2.2.10以前、3.0.3以前に影響があります。
djangoprojectのセキュリティリリースに従い、
パッチを適用することが推奨の対応策となります。
Django security releases issued: 3.0.3, 2.2.10, and 1.11.28
3)GitLabに権限設定の不備に関する脆弱性
CVE-ID:CVE-2020-8795
CVSS v3 Base Score:7.5
CVSS v3 Vector:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
情報源:https://nvd.nist.gov/vuln/detail/CVE-2020-8795
GitLabはWeb型のGitリポジトリマネージャーです。
バージョン12.5.0以降に影響があります。
最新バージョンへのアップデートが推奨の対応策となります。
4)Joomla!のExtensionにReverse Tabnabbingの脆弱性
・J-BusinessDirectory
CVE-ID:CVE-2020-5182
CVSS v3 Base Score:6.5
CVSS v3 Vector:AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
情報源:https://nvd.nist.gov/vuln/detail/CVE-2020-5182
バージョン5.2.9より以前に影響があります。
バージョン5.2.9へのアップデートが推奨の対応策となります。
5)Microsoft Exchange Serverにリモートコード実行の脆弱性
CVE-ID:CVE-2020-0688
CVSS v3 Base Score:8.8
CVSS v3 Vector:AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
情報源:https://nvd.nist.gov/vuln/detail/CVE-2020-0688
Microsoft Exchange Server 2010、2013、2016、2019に影響があります。
セキュリティ更新プログラムの適用が推奨の対応策となります。
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0688
6)Movable Typeにクロスサイトスクリプティングの脆弱性
CVE-ID:CVE-2020-5528
CVSS v3 Base Score:6.1
CVSS v3 Vector:AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
情報源:https://nvd.nist.gov/vuln/detail/CVE-2020-5528
Movable Typeはコンテンツマネジメントシステム(CMS)の一つです。
以下バージョンに影響があります。
6.5.2以前、7 r.4603以前、Advanced 6.5.2以前、Advanced 7 r.4603以前、
Premium 1.26以前、Premium Advanced 1.26以前
それぞれ、最新バージョンへのアップデートが推奨の対応策となります。
7)PostgreSQLに不適切な権限設定の脆弱性
CVE-ID:CVE-2020-1720
CVSS v3 Base Score:RESERVED
CVSS v3 Vector:RESERVED
情報源:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1720
バージョン12.2、11.7、10.12、9.6.17、 9.5.21、 9.4.26へのアップデートが
推奨の対応策となります。
9.4.xについては今回リリースされた9.4.26が最終バージョンとなる予定と
されていますので注意が必要です。
8)SimpleSAMLphpにログインジェクションの脆弱性
CVE-ID:CVE-2020-5225
CVSS v3 Base Score:5.4
CVSS v3 Vector:AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
情報源:https://nvd.nist.gov/vuln/detail/CVE-2020-5225
SimpleSAMLphpはPHPで実装されており、
SP、IdPとしてのSAML 2.0の機能を提供します。
バージョン1.18.3以前に影響があります。
バージョン1.18.4へのアップデートが推奨の対応策となります。
9)WordPressのPluginに任意ファイルダウンロードの脆弱性
・Duplicator Plugin
CVE-ID:-
CVSS v3 Base Score:7.5
CVSS v3 Vector:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
情報源:https://wpvulndb.com/vulnerabilities/10078
WPVDB ID:10078
Duplicator Pluginは、WprdPressで構築したサイトを複製し
サーバ間の移転作業を簡単に行うために利用します。
バージョン1.3.26以前に影響があります。
バージョン1.3.28へのアップデートが推奨の対応策となります。
まとめ
今回ご紹介した脆弱性ですが、実際に公開された脆弱性の数からするとほんの一握りです。
それぞれの脆弱性に対して、製品を提供しているベンダーから推奨の対応策が提供されていますので、早急に対応を実施することが推奨されます。
ただし、様々な理由により、推奨の対策が実施できない場合もあると思います。そういった場合には、マネージドセキュリティサービスを利用してカバーすることも非常に有効となります。
この記事と一緒に読まれています
-
【サイバーセキュリティ白書】2020年1月の脆弱性情報まとめ
2020.02.04
セキュリティ対策
-
【サイバーセキュリティ白書】2019年12月の脆弱性情報まとめ
2020.01.09
セキュリティ対策
-
【サイバーセキュリティ白書】2019年11月の脆弱性情報まとめ
2019.12.04
セキュリティ対策
-
【サイバーセキュリティ白書】2019年10月の脆弱性情報まとめ
2019.11.06
セキュリティ対策
-
【サイバーセキュリティ白書】2019年9月の脆弱性情報まとめ
2019.10.03
セキュリティ対策
-
【サイバーセキュリティ白書】2019年8月の脆弱性情報まとめ
2019.09.03
セキュリティ対策
