【サイバーセキュリティ白書】2019年2月の脆弱性情報まとめ

サイバー攻撃の被害が後を絶たない昨今、最新の脆弱性を収集して把握することはセキュリティ対策を行う上で必要不可欠となっています。本シリーズ「サイバーセキュリティ白書」では、クラウド型WAF「攻撃遮断くん」やAWS WAF自動運用サービス「WafCharm」を開発運営するサイバーセキュリティクラウドのセキュリティエンジニアが調査した脆弱性情報を解説していきます。※本記事は2019年2月度 脆弱性情報のまとめとなります。

2019年2月に公開された新たな脆弱性について、いくつかご紹介します。

CVE-ID：CVE-2018-11763
CVSS v3 Base Score：5.9
CVSS v3 Vector：AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H
情報源：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11763
以下のバージョンが対象です。
2.4.34、2.4.33、2.4.30、2.4.29、2.4.28、2.4.27、2.4.26、2.4.25、2.4.23、2.4.20、2.4.18
HTTP/2接続で最大サイズのSETTINGSフレームを連続で送り続けることで
DoS状態にされる可能性があります。
http/2を動作させていない環境であれば、影響はありません。

CVE-ID：CVE-2018-20703
CVSS v3 Base Score：5.4
CVSS v3 Vector：AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
情報源：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-20703
CubeCartはオープンソースのecommerce softwareです。
バージョン6.2.2が対象です。

CVE-ID：CVE-2019-6975
CVSS v3 Base Score：7.5
CVSS v3 Vector： AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
情報源：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6975
DjangoはPythonで実装されたWebアプリケーションフレームワークです。
バージョン2.2、2.1、2.0、1.11が対象で、DoS状態にされる可能性があります。
2019/02/11にsecurity releasesが公開されており、
適切なバージョンにアップデートすることが推奨の対応策となります。

CVE-ID：CVE-2019-6340
CVSS v3 Base Score：8.1
CVSS v3 Vector：AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
情報源：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6340
Drupal は人気のあるCMSの一つです。
Drupal.orgのSecurity advisoriesにてSA-CORE-2019-003として公開されています。
RESTful Web Services 等の REST APIを有効にしている場合、
リモートからコードが実行できてしまう可能性があります。
RESTful Web Services 等の REST APIを無効にすることで暫定の対応策となりますが、
バージョン8.5.11、8.6.10へのアップデートを強く推奨いたします。

CVE-ID：CVE-2019-9081
CVSS v3 Base Score：9.8
CVSS v3 Vector：AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
情報源：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9081
LaravelはPHPで実装されたWebアプリケーションフレームワークです。
バージョン5.7.xが対象です。
デシリアライゼーションに関する脆弱性により、
リモートからコードが実行できてしまう可能性があります。

CVE-ID：-
CVSS v3 Base Score：-
CVSS v3 Vector：-
情報源：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190005
HTTP/2接続でSETTINGSフレームを連続で送り続けることで
DoS状態にされる可能性があります。
2019/02のWindows Updateの実施が推奨の対応策となります。

CVE-ID：CVE-2019-5918
CVSS v3 Base Score：8.2
CVSS v3 Vector： AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:H
情報源：https://jvndb.jvn.jp/ja/contents/2019/JVNDB-2019-000012.html
Nablarch（ナブラーク）はJavaアプリケーション開発⁄実行基盤です。
バージョン5および5u1から5u13までが対象です。
バージョン5u14へのアップデートが推奨の対応策となります。

CVE-ID：CVE-2018-20719
CVSS v3 Base Score：8.8
CVSS v3 Vector： AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
情報源：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-20719
TikiはWikiやCMSなどの機能をもつソフトウェアです。
バージョン17.2以前が対象となります。

CVE-ID：-
CVSS v3 Base Score：-
CVSS v3 Vector： –
情報源：https://wpvulndb.com/vulnerabilities/9216
Social Mediaの共有ボタンをWordPressに追加するプラグインです。
バージョン2.0.4-2.0.21に権限昇格の脆弱性があります。
バージョン2.0.22にて改善されています。

今回ご紹介した脆弱性ですが、実際に公開された脆弱性の数からするとほんの一握りです。
それぞれの脆弱性に対して、製品を提供しているベンダーから推奨の対応策が提供されていますので、早急に対応を実施することが推奨されます。
ただし、様々な理由により、推奨の対策が実施できない場合もあると思います。そういった場合には、マネージドセキュリティサービスを利用してカバーすることも非常に有効となります。