【サイバーセキュリティ白書】2019年11月の脆弱性情報まとめ

サイバー攻撃の被害が後を絶たない昨今、最新の脆弱性を収集して把握することはセキュリティ対策を行う上で必要不可欠となっています。本シリーズ「サイバーセキュリティ白書」では、クラウド型WAF「攻撃遮断くん」やAWS WAF自動運用サービス「WafCharm」を開発運営するサイバーセキュリティクラウドのセキュリティエンジニアが調査した脆弱性情報を解説していきます。※本記事は2019年11月度 脆弱性情報のまとめとなります。

2019年11月に公開された新たな脆弱性について、いくつかご紹介します。

CVE-ID：CVE-2019-12409
CVSS v3 Base Score：9.8
CVSS v3 Vector：AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-12409
 
Apache Solrはオープンソースの全文検索ソフトウェアです。
Linux向けのバージョン8.1.1、8.2.0に影響があります。
lucene.apache.orgがアナウンスしている設定を適用することが
推奨の対応策となります。

・認証不備の脆弱性
CVE-ID：CVE-2019-15003
CVSS v3 Base Score：5.3
CVSS v3 Vector：AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-15003
 
・パストラバーサルの脆弱性
CVE-ID：CVE-2019-15004
CVSS v3 Base Score：7.5
CVSS v3 Vector：AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-15004
 
Jira Service Desk はITサービスマネジメントのためのソフトウェアです。
上記の脆弱性はともに
Jira Service Desk ServerおよびJira Service Desk Data Centerの
バージョン3.9.17より以前、3.16.10より以前、4.2.6より以前、
4.3.5より以前、4.4.3より以前、4.5.1以前に影響があります。
それぞれ、バージョン3.9.17、3.16.11、4.2.6、4.3.5、4.4.3、4.5.1へのアップデートが
推奨の対応策となります。

・クロスサイトリクエストフォージェリの脆弱性
CVE-ID：CVE-2019-18650
CVSS v3 Base Score：8.8
CVSS v3 Vector：AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-18650
 
バージョン3.2.0から3.9.12に影響があります。
 
・認証不備の脆弱性
CVE-ID：CVE-2019-18674
CVSS v3 Base Score：5.3
CVSS v3 Vector：AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-18674
 
バージョン3.6.0から3.9.12に影響があります。
 
Joomla!は人気のあるコンテンツマネジメントシステム(CMS)の一つです。
上記の脆弱性は、ともにバージョン3.9.13へのアップデートが推奨の対応策となります。

CVE-ID：CVE-2019-8144
CVSS v3 Base Score：9.8
CVSS v3 Vector：AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-8144
 
MagentoはPHPで記述されたオープンソースのeコマースプラットフォームです。
バージョン2.3.3より以前、2.3.2-p1より以前に影響があります。
バージョン2.3.2-p1、2.3.3へのアップデートが推奨の対応策となります。

moodleはオープンソースのeラーニングプラットフォームです。
 
・クロスサイトスクリプティングの脆弱性
CVE-ID：CVE-2019-14881
CVSS v3 Base Score：RESERVED
CVSS v3 Vector：RESERVED
情報源：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-14881
 
バージョン3.7.2に影響があります。
バージョン3.7.3へのアップデートが推奨の対応策となります。
 
・オープンリダイレクトの脆弱性
CVE-ID：CVE-2019-14882
CVSS v3 Base Score：RESERVED
CVSS v3 Vector：RESERVED
情報源：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-14882
 
3.7.2以前、3.6.6以前、3.5.8以前および、
既にサポートが終了しているバージョンに影響があります。
バージョン3.7.3、3.6.7、3.5.9へのアップデートが推奨の対応策となります。
 
・クロスサイトスクリプティングの脆弱性
CVE-ID：CVE-2019-14884
CVSS v3 Base Score：RESERVED
CVSS v3 Vector：RESERVED
情報源：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-14884
 
3.7.2以前、3.6.6以前、3.5.8以前および、
既にサポートが終了しているバージョンに影響があります。
バージョン3.7.3、3.6.7、3.5.9へのアップデートが推奨の対応策となります。

CVE-ID：CVE-2019-6025
CVSS v3 Base Score：4.7
CVSS v3 Vector：AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N
情報源：https://jvn.jp/jp/JVN65280626/index.html
 
Movable Typeはコンテンツマネジメントシステム(CMS)の一つです。
以下バージョンに影響があります。
7 r.4602(7.1.3)以前、6.5.0、6.5.1、6.3.9以前、
Advanced 7 r.4602(7.1.3)以前、Advanced 6.5.0、Advanced 6.5.1、Advanced 6.3.9以前、Premium 1.24以前、Premium(Advanced Edition)1.24以前
それぞれ、最新バージョンへのアップデートが推奨の対応策となります。
なお、5.x系およびそれ以前のバージョンはサポートが終了しているため、
6.5系または7系へのアップデートが推奨となります。

CVE-ID：CVE-2019-18622
CVSS v3 Base Score：AWAITING ANALYSIS
CVSS v3 Vector：AWAITING ANALYSIS
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-18622
 
phpMyAdminはMySQLサーバをWebブラウザで管理するための
データベース接続クライアントツールです。バージョン4.9.2より以前に影響があります。
バージョン4.9.2へのアップデート、またはリリースされているセキュリティパッチの
適用が推奨の対応策となります。

CVE-ID：CVE-2019-18890
CVSS v3 Base Score：6.5
CVSS v3 Vector：AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-18890
 
RedmineはWebベースのプロジェクト管理ソフトウェアです。
3.3系のバージョン3.3.9以前に影響があります。
3.3系のメンテナンスは2018年12月に終了していましたが、本脆弱性に伴い
特別にバージョン3.3.10がリリースされています。
バージョン3.3.10へのアップデートが推奨の対応策となります。

・リモートコード実行の脆弱性
CVE-ID：CVE-2019-11325
CVSS v3 Base Score：AWAITING ANALYSIS
CVSS v3 Vector：AWAITING ANALYSIS
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-11325
 
バージョン4.2.11以前、4.3.7以前に影響があります。
バージョン4.2.12または4.3.8へのアップデートが推奨の対応策となります。
 
・情報開示の脆弱性
CVE-ID：CVE-2019-18886
CVSS v3 Base Score：AWAITING ANALYSIS
CVSS v3 Vector：AWAITING ANALYSIS
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-18886
 
バージョン4.2.11以前、4.3.7以前に影響があります。
バージョン4.2.12または4.3.8へのアップデートが推奨の対応策となります。
 
・タイミング攻撃に関する脆弱性
CVE-ID：CVE-2019-18887
CVSS v3 Base Score：AWAITING ANALYSIS
CVSS v3 Vector：AWAITING ANALYSIS
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-18887
 
バージョン2.8.51以前、3.4.34以前、4.2.11以前、4.3.7以前に影響があります。
それぞれバージョン2.8.52、3.4.35、4.2.12、4.3.8への
アップデートが推奨の対応策となります。
 
・入力検証不備の脆弱性
CVE-ID：CVE-2019-18888
CVSS v3 Base Score：AWAITING ANALYSIS
CVSS v3 Vector：AWAITING ANALYSIS
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-18888
 
バージョン2.8.51以前、3.4.34以前、4.2.11以前、4.3.7以前に影響があります。
それぞれバージョン2.8.52、3.4.35、4.2.12、4.3.8への
アップデートが推奨の対応策となります。
 
・リモートコード実行の脆弱性
CVE-ID：CVE-2019-18889
CVSS v3 Base Score：AWAITING ANALYSIS
CVSS v3 Vector：AWAITING ANALYSIS
情報源：https://nvd.nist.gov/vuln/detail/CVE-2019-18889
 
バージョン3.4.34以前、4.2.11以前、4.3.7以前に影響があります。
それぞれバージョン3.4.35、4.2.12、4.3.8へのアップデートが推奨の対応策となります。
 

SymfonyはPHPで実装されたWebアプリケーションフレームワークです。
バージョン3.0、3.1、3.2、3.3、4.0、4.1については
既にサポートが終了となっているため、注意が必要です。

今回ご紹介した脆弱性ですが、実際に公開された脆弱性の数からするとほんの一握りです。
それぞれの脆弱性に対して、製品を提供しているベンダーから推奨の対応策が提供されていますので、早急に対応を実施することが推奨されます。
ただし、様々な理由により、推奨の対策が実施できない場合もあると思います。そういった場合には、マネージドセキュリティサービスを利用してカバーすることも非常に有効となります。