脆弱性

【サイバーセキュリティ白書】2019年12月の脆弱性情報まとめ

2020.01.09

脆弱性

Web-vulnerability-diagnosis

サイバー攻撃の被害が後を絶たない昨今、最新の脆弱性を収集して把握することはセキュリティ対策を行う上で必要不可欠となっています。本シリーズ「サイバーセキュリティ白書」では、クラウド型WAF「攻撃遮断くん」やAWS WAF自動運用サービス「WafCharm」を開発運営するサイバーセキュリティクラウドのセキュリティエンジニアが調査した脆弱性情報を解説していきます。※本記事は2019年12月度 脆弱性情報のまとめとなります。

目次

2019年12月の脆弱性情報

2019年12月に公開された新たな脆弱性について、いくつかご紹介します。

1)a-blog cmsにクロスサイトスクリプティングの脆弱性

CVE-ID:CVE-2019-6033
CVSS v3 Base Score:6.1
CVSS v3 Vector:AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
情報源:https://jvn.jp/jp/JVN10377257/index.html
 
CVE-ID:CVE-2019-6034
CVSS v3 Base Score:6.1
CVSS v3 Vector:AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
情報源:https://jvn.jp/jp/JVN10377257/index.html
 
a-blog cmsはコンテンツマネジメントシステム(CMS)の一つです。
どちらもバージョン2.10.23、2.9.26、2.8.64より以前に影響があります。
最新のバージョンへのアップデートが推奨の対応策となります。
ワークアラウンドの情報も開示されています。

2)Adobe ColdFusionに権限昇格の脆弱性

CVE-ID:CVE-2019-8256
CVSS v3 Base Score:9.8
CVSS v3 Vector:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
情報源:https://nvd.nist.gov/vuln/detail/CVE-2019-8256
 
Adobe ColdFusionはアプリケーションフレームワーク、アプリケーションサーバです。
ColdFusion2018のUpdate 6以前に影響があります。
Update 7へのアップデートが推奨の対応策となります。

3)Apache Tomcatに複数の脆弱性

・情報漏えいに関する脆弱性
CVE-ID:CVE-2019-12418
CVSS v3 Base Score:7.0
CVSS v3 Vector:AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
情報源:https://nvd.nist.gov/vuln/detail/CVE-2019-12418
 
バージョン9.0.0.M1から9.0.28、8.5.0から8.5.47、7.0.0から7.0.97に影響があります。
 
・セッション固定攻撃に対する脆弱性
CVE-ID:CVE-2019-17563
CVSS v3 Base Score:9.8
CVSS v3 Vector:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
情報源:https://nvd.nist.gov/vuln/detail/CVE-2019-17563

バージョン9.0.0.M1から9.0.29、8.5.0から8.5.49、7.0.0から7.0.98に影響があります。

どちらの脆弱性もバージョン9.0.29、8.5.49、7.0.99へのアップデートが
推奨の対応策となります。
また、CVE-2019-12418についてはワークアラウンドの情報も開示されています。

4)Djangoに複数の脆弱性

DjangoはPythonで実装されたWebアプリケーションフレームワークです。
 
・不適切な権限設定に関する脆弱性
CVE-ID:CVE-2019-19118
CVSS v3 Base Score:8.8
CVSS v3 Vector:AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
情報源:https://nvd.nist.gov/vuln/detail/CVE-2019-19118
 
バージョン2.1.15以前、2.2.8以前に影響があります。
djangoprojectのセキュリティリリースに従い、
パッチを適用することが推奨の対応策となります。
https://www.djangoproject.com/weblog/2019/dec/02/security-releases/
 
・アカウントハイジャックの可能性につながる脆弱性
CVE-ID:CVE-2019-19844
CVSS v3 Base Score:9.8
CVSS v3 Vector:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
情報源:https://nvd.nist.gov/vuln/detail/CVE-2019-19844
 
バージョン1.11.27、2.2.9、 3.0.1に影響があります。
djangoprojectのセキュリティリリースに従い、パッチを適用することが
推奨の対応策となります。
https://www.djangoproject.com/weblog/2019/dec/18/security-releases/

5)Drupalに複数の脆弱性

Drupalは人気のあるコンテンツマネジメントシステム(CMS)の一つです。
 
・DoSに関する脆弱性
CVE-ID:-
CVSS v3 Base Score:-
CVSS v3 Vector:-
情報源:https://www.drupal.org/sa-core-2019-009
drupal.orgにおける識別番号はSA-CORE-2019-009
 
バージョン8.7.11より以前、8.8.1より以前に影響があります。
バージョン8.7.11、8.8.1へのアップデートが推奨の対応策となります。
 
・不適切なアクセス制御の脆弱性
CVE-ID:-
CVSS v3 Base Score:-
CVSS v3 Vector:-
情報源:https://www.drupal.org/sa-core-2019-010
drupal.orgにおける識別番号はSA-CORE-2019-010
 
CVE-ID: –
CVSS v3 Base Score:-
CVSS v3 Vector:-
情報源:https://www.drupal.org/sa-core-2019-011
drupal.orgにおける識別番号はSA-CORE-2019-011
 
上記2つの脆弱性は、バージョン8.7.11より以前、8.8.1より以前に影響があります。
バージョン8.7.11、8.8.1へのアップデートが推奨の対応策となります。
 
・サードパーティライブラリに関する脆弱性
CVE-ID:-
CVSS v3 Base Score:-
CVSS v3 Vector:-
情報源:https://www.drupal.org/sa-core-2019-012
drupal.orgにおける識別番号はSA-CORE-2019-012
 
サードパーティライブラリのArchive_Tarの脆弱性の影響を受けています。
バージョン7.69以前、8.7.11より以前、8.8.1より以前に影響があります。
バージョン7.69、8.7.11、8.8.1へのアップデートが推奨の対応策となります。

6)GitLabにパストラバーサルの脆弱性

CVE-ID:CVE-2019-19628
CVSS v3 Base Score:AWAITING ANALYSIS
CVSS v3 Vector:AWAITING ANALYSIS
情報源:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19628
 
GitLabはWeb型のGitリポジトリマネージャーです。
バージョン11.3以前に影響があります。
最新バージョンへのアップデートが推奨の対応策となります。

7)Joomla!に複数の脆弱性

Joomla!は人気のあるコンテンツマネジメントシステム(CMS)の一つです。
 
・情報開示に関する脆弱性
CVE-ID:CVE-2019-19845
CVSS v3 Base Score:5.3
CVSS v3 Vector:AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
情報源:https://nvd.nist.gov/vuln/detail/CVE-2019-19845
 
バージョン3.8.0から3.9.13に影響があります。
バージョン3.9.14へのアップデートが推奨の対応策となります。
 
・SQLインジェクションの脆弱性
CVE-ID:CVE-2019-19846
CVSS v3 Base Score:9.8
CVSS v3 Vector:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
情報源:https://nvd.nist.gov/vuln/detail/CVE-2019-19846
 
バージョン2.5.0から3.9.13に影響があります。
バージョン3.9.14へのアップデートが推奨の対応策となります。

8)Microsoft SharePoint Serverに情報開示の脆弱性

CVE-ID:CVE-2019-1491
CVSS v3 Base Score:RESERVED
CVSS v3 Vector:RESERVED
情報源:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1491
 
SharePoint Serverはドキュメント管理等を行うためのソフトウェアです。
MicrosoftのSecurity Update Guideに従い、
適切なSecurity Updatesを適用することが推奨の対応策となります。
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1491

9)Ruby on Railsに情報開示の脆弱性

CVE-ID:CVE-2019-16782
CVSS v3 Base Score:AWAITING ANALYSIS
CVSS v3 Vector:AWAITING ANALYSIS
情報源:https://nvd.nist.gov/vuln/detail/CVE-2019-16782
 
Ruby on RailsはRubyで実装されたWebアプリケーションフレームワークです。
rubyonrails.orgのリリース情報に従い、
バージョン6.0.2.1へのアップデートが推奨の対応策となります。
https://weblog.rubyonrails.org/2019/12/18/Rails-6-0-2-1-has-been-released/

10)WordPressに複数の脆弱性

・不適切なアクセス制御の脆弱性
CVE-ID:CVE-2019-20043
CVSS v3 Base Score:5.3
CVSS v3 Vector:AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
情報源:https://nvd.nist.gov/vuln/detail/CVE-2019-20043
 
・クロスサイトスクリプティングの脆弱性
CVE-ID:CVE-2019-20042
CVSS v3 Base Score:6.1
CVSS v3 Vector:AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
情報源:https://nvd.nist.gov/vuln/detail/CVE-2019-20042
 
CVE-ID:CVE-2019-16780
CVSS v3 Base Score:5.4
CVSS v3 Vector:AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
情報源:https://nvd.nist.gov/vuln/detail/CVE-2019-16781
 
CVE-ID:CVE-2019-16781
CVSS v3 Base Score:5.4
CVSS v3 Vector:AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
情報源:https://nvd.nist.gov/vuln/detail/CVE-2019-16781
 
WordPressは人気のあるコンテンツマネジメントシステム(CMS)の一つです。
3つの脆弱性はバージョン5.3以前に影響があります。
バージョン5.3.1へのアップデートが推奨の対応策となります。
バージョン5.3.1はセキュリティリリースとして提供されています。
https://wordpress.org/news/2019/12/wordpress-5-3-1-security-and-maintenance-release/

まとめ

今回ご紹介した脆弱性ですが、実際に公開された脆弱性の数からするとほんの一握りです。
それぞれの脆弱性に対して、製品を提供しているベンダーから推奨の対応策が提供されていますので、早急に対応を実施することが推奨されます。
ただし、様々な理由により、推奨の対策が実施できない場合もあると思います。そういった場合には、マネージドセキュリティサービスを利用してカバーすることも非常に有効となります。