脆弱性

【サイバーセキュリティ白書】2019年2月の脆弱性情報まとめ

2019.03.08

脆弱性

サイバー攻撃の被害が後を絶たない昨今、最新の脆弱性を収集して把握することはセキュリティ対策を行う上で必要不可欠となっています。本シリーズ「サイバーセキュリティ白書」では、クラウド型WAF「攻撃遮断くん」やAWS WAF自動運用サービス「WafCharm」を開発運営するサイバーセキュリティクラウドのセキュリティエンジニアが調査した脆弱性情報を解説していきます。※本記事は2019年2月度 脆弱性情報のまとめとなります。

目次

2019年2月発表の脆弱性情報

2019年2月に公開された新たな脆弱性について、いくつかご紹介します。

Apache HTTP Serverに入力確認に関する脆弱性

CVE-ID:CVE-2018-11763
CVSS v3 Base Score:5.9
CVSS v3 Vector:AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H
情報源:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11763
以下のバージョンが対象です。
2.4.34、2.4.33、2.4.30、2.4.29、2.4.28、2.4.27、2.4.26、2.4.25、2.4.23、2.4.20、2.4.18
HTTP/2接続で最大サイズのSETTINGSフレームを連続で送り続けることで
DoS状態にされる可能性があります。
http/2を動作させていない環境であれば、影響はありません。

CubeCartにクロスサイトスクリプティングの脆弱性

CVE-ID:CVE-2018-20703
CVSS v3 Base Score:5.4
CVSS v3 Vector:AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
情報源:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-20703
CubeCartはオープンソースのecommerce softwareです。
バージョン6.2.2が対象です。

DjangoにDoSの脆弱性

CVE-ID:CVE-2019-6975
CVSS v3 Base Score:7.5
CVSS v3 Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
情報源:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6975
DjangoはPythonで実装されたWebアプリケーションフレームワークです。
バージョン2.2、2.1、2.0、1.11が対象で、DoS状態にされる可能性があります。
2019/02/11にsecurity releasesが公開されており、
適切なバージョンにアップデートすることが推奨の対応策となります。

Drupalに検証不備の脆弱性

CVE-ID:CVE-2019-6340
CVSS v3 Base Score:8.1
CVSS v3 Vector:AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
情報源:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6340
Drupal は人気のあるCMSの一つです。
Drupal.orgのSecurity advisoriesにてSA-CORE-2019-003として公開されています。
RESTful Web Services 等の REST APIを有効にしている場合、
リモートからコードが実行できてしまう可能性があります。
RESTful Web Services 等の REST APIを無効にすることで暫定の対応策となりますが、
バージョン8.5.11、8.6.10へのアップデートを強く推奨いたします。

Laravelにデシリアライゼーションに関する脆弱性

CVE-ID:CVE-2019-9081
CVSS v3 Base Score:9.8
CVSS v3 Vector:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
情報源:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9081
LaravelはPHPで実装されたWebアプリケーションフレームワークです。
バージョン5.7.xが対象です。
デシリアライゼーションに関する脆弱性により、
リモートからコードが実行できてしまう可能性があります。

Microsoft IISにDoSの脆弱性

CVE-ID:-
CVSS v3 Base Score:-
CVSS v3 Vector:-
情報源:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190005
HTTP/2接続でSETTINGSフレームを連続で送り続けることで
DoS状態にされる可能性があります。
2019/02のWindows Updateの実施が推奨の対応策となります。

NablarchにXML 外部実体参照 (XXE) の脆弱性

CVE-ID:CVE-2019-5918
CVSS v3 Base Score:8.2
CVSS v3 Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:H
情報源:https://jvndb.jvn.jp/ja/contents/2019/JVNDB-2019-000012.html
Nablarch(ナブラーク)はJavaアプリケーション開発⁄実行基盤です。
バージョン5および5u1から5u13までが対象です。
バージョン5u14へのアップデートが推奨の対応策となります。

TikiにSQL インジェクションの脆弱性

CVE-ID:CVE-2018-20719
CVSS v3 Base Score:8.8
CVSS v3 Vector: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
情報源:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-20719
TikiはWikiやCMSなどの機能をもつソフトウェアです。
バージョン17.2以前が対象となります。

WordPress用 プラグイン Simple Social Buttonsの脆弱性

CVE-ID:-
CVSS v3 Base Score:-
CVSS v3 Vector: –
情報源:https://wpvulndb.com/vulnerabilities/9216
Social Mediaの共有ボタンをWordPressに追加するプラグインです。
バージョン2.0.4-2.0.21に権限昇格の脆弱性があります。
バージョン2.0.22にて改善されています。

まとめ

今回ご紹介した脆弱性ですが、実際に公開された脆弱性の数からするとほんの一握りです。
それぞれの脆弱性に対して、製品を提供しているベンダーから推奨の対応策が提供されていますので、早急に対応を実施することが推奨されます。
ただし、様々な理由により、推奨の対策が実施できない場合もあると思います。そういった場合には、マネージドセキュリティサービスを利用してカバーすることも非常に有効となります。