脆弱性

【サイバーセキュリティ白書】2020年1月の脆弱性情報まとめ

2020.02.04

脆弱性

【サイバーセキュリティ白書】2020年1月の脆弱性情報まとめ

サイバー攻撃の被害が後を絶たない昨今、最新の脆弱性を収集して把握することはセキュリティ対策を行う上で必要不可欠となっています。本シリーズ「サイバーセキュリティ白書」では、クラウド型WAF「攻撃遮断くん」やAWS WAF自動運用サービス「WafCharm」を開発運営するサイバーセキュリティクラウドのセキュリティエンジニアが調査した脆弱性情報を解説していきます。※本記事は2020年1月度 脆弱性情報のまとめとなります。

目次

2020年1月発表の脆弱性情報

2020年1月に公開された新たな脆弱性について、いくつかご紹介します。

1)Angularに複数の脆弱性

AngularはTypeScriptベースのフロントエンドWebアプリケーションフレームワークです。
 
・クロスサイトスクリプティングの脆弱性
CVE-ID:CVE-2019-14863
CVSS v3 Base Score:6.1
CVSS v3 Vector:AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
情報源:https://nvd.nist.gov/vuln/detail/CVE-2019-14863
 
バージョン1.5.0-beta.0より以前に影響があります。
1.5.0-beta.0以降の新しいバージョンへのアップデートが推奨の対応策となります。
 
・リモートコード実行の脆弱性
CVE-ID:CVE-2020-5219
CVSS v3 Base Score:8.8
CVSS v3 Vector:AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
情報源:https://nvd.nist.gov/vuln/detail/CVE-2020-5219
 
バージョン1.0.1より以前に影響があります。
バージョン1.0.1以降の新しいバージョンへのアップデートが推奨の対応策となります。

2)Citrix製品にパストラバーサルの脆弱性

CVE-ID:CVE-2019-19781
CVSS v3 Base Score:9.8
CVSS v3 Vector:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
情報源:https://nvd.nist.gov/vuln/detail/CVE-2019-19781
 
Citrix Application Delivery Controller、Citrix Gatewayの
バージョン10.5、11.1、12.0、12.1、13.0に影響があります。
以下のCitrix社のアナウンスに従い、アップデートを実施してください。
https://support.citrix.com/article/CTX267027
 

3)Djangoのセッションキーに関する脆弱性

CVE-ID:CVE-2020-5224
CVSS v3 Base Score:8.8
CVSS v3 Vector:AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
情報源:https://nvd.nist.gov/vuln/detail/CVE-2020-5224
 
DjangoはPythonで実装されたWebアプリケーションフレームワークです。
Django User Sessionsのバージョン1.7.1以前に影響があります。
バージョン1.7.1へのアップデートが推奨の対応策となります。
 

4)Joomla!に複数の脆弱性

・CSRFの脆弱性
CVE-ID:CVE-2020-8419
CVSS v3 Base Score:UNDERGOING ANALYSIS
CVSS v3 Vector:UNDERGOING ANALYSIS
情報源:https://nvd.nist.gov/vuln/detail/CVE-2020-8419
 
CVE-ID:CVE-2020-8420
CVSS v3 Base Score:UNDERGOING ANALYSIS
CVSS v3 Vector:UNDERGOING ANALYSIS
情報源:https://nvd.nist.gov/vuln/detail/CVE-2020-8420
 
・クロスサイトスクリプティングの脆弱性
CVE-ID:CVE-2020-8421
CVSS v3 Base Score:UNDERGOING ANALYSIS
CVSS v3 Vector:UNDERGOING ANALYSIS
情報源:https://nvd.nist.gov/vuln/detail/CVE-2020-8421
 
Joomla!は人気のあるコンテンツマネジメントシステム(CMS)の一つです。
上記の脆弱性は、バージョン3.0.0から3.9.14に影響があります。
バージョン3.9.15へのアップデートが推奨の対応策となります。
 
joomla.orgのSecurity Announcementsは以下で確認ができます。
https://developer.joomla.org/security-centre/798-20200101-core-csrf-in-batch-actions
https://developer.joomla.org/security-centre/799-20200102-core-csrf-com-templates-less-compiler
https://developer.joomla.org/security-centre/800-20200103-core-xss-in-com-actionlogs
 

5)Microsoft Windowsに認証バイパスの脆弱性

CVE-ID:CVE-2020-0601
CVSS v3 Base Score:8.1
CVSS v3 Vector:AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
情報源:https://nvd.nist.gov/vuln/detail/CVE-2020-0601
 
証明書の検証に関して、なりすましが可能となる脆弱性です。
本脆弱性は「Curveball」とも呼称されています。
Windows 10、Windows Server 2016、Windows Server 2019が影響を受けます。
2020年1月のセキュリティ更新プログラムの適用が推奨の対応策となります。
 

6)Oracle HTTP Serverに情報窃取の脆弱性

CVE-ID:CVE-2020-2530
CVSS v3 Base Score:6.1
CVSS v3 Vector:AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
情報源:https://nvd.nist.gov/vuln/detail/CVE-2020-2530
 
Oracle HTTP ServerはOracle Fusion Middlewareの
Webサーバ・コンポーネントです。
バージョン11.1.1.9.0、12.1.3.0.0、12.2.1.3.0に影響があります。
January 2020のCritical Patchの適用が推奨の対応策となります。
 

7)phpMyAdminにSQLインジェクションの脆弱性

CVE-ID:CVE-2020-5504
CVSS v3 Base Score:8.8
CVSS v3 Vector:AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
情報源:https://nvd.nist.gov/vuln/detail/CVE-2020-5504
 
phpMyAdminは、MySQLをウェブブラウザで管理するための
PHPで実装されているデータベース接続クライアントツールです。
バージョン4.xにおける4.9.4より以前、5.xにおける5.0.0に影響があります。
それぞれ、バージョン4.9.4、5.0.1へのアップデートが推奨の対応策となります。
 

8)Spring Frameworkに複数の脆弱性

Spring Framework は、Javaプラットフォーム向けの
Webアプリケーションフレームワークです。
 
・CSRFの脆弱性
CVE-ID:CVE-2020-5397
CVSS v3 Base Score:5.3
CVSS v3 Vector:AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
情報源:https://nvd.nist.gov/vuln/detail/CVE-2020-5397
バージョン5.2.0から5.2.2に影響があります。
それぞれ、バージョン5.2.3へのアップデートが推奨の対応策となります。
 
・reflected file download攻撃に関する脆弱性
CVE-ID:CVE-2020-5398
CVSS v3 Base Score:7.5
CVSS v3 Vector:AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
情報源:https://nvd.nist.gov/vuln/detail/CVE-2020-5398
 
バージョン5.2.0から5.2.2、5.1.0から5.1.12、5.0.0から5.0.15に影響があります。
それぞれ、バージョン5.2.3、5.1.13、5.0.16へのアップデートが推奨の対応策となります。
 

9)SymfonyにSQLインジェクションの脆弱性

CVE-ID:CVE-2019-10913
CVSS v3 Base Score:9.8
CVSS v3 Vector:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
情報源:https://nvd.nist.gov/vuln/detail/CVE-2019-10913
 
SymfonyはPHPで実装されたWebアプリケーションフレームワークです。
以下のバージョンに影響があります。
2.7.0から2.7.50、2.8.0から2.8.49、3.4.0から3.4.25、4.1.0から4.1.11、4.2.0から4.2.6
バージョン2.7.51、2.8.50、3.4.26、4.1.12、4.2.7へのアップデートが
推奨の対応策となりますが、バージョン3.0、3.1、3.2、3.3、4.0については
メンテナンスのサポートが終了しているため、注意が必要です。
 

10)WordPressに複数の脆弱性

・クロスサイトスクリプティングに関する脆弱性
CVE-ID:CVE-2019-16773
CVSS v3 Base Score:5.4
CVSS v3 Vector:AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
情報源:https://nvd.nist.gov/vuln/detail/CVE-2019-16773
 
・認証の不備に関する脆弱性
CVE-ID:CVE-2019-16788
CVSS v3 Base Score:4.3
CVSS v3 Vector:AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
情報源:https://nvd.nist.gov/vuln/detail/CVE-2019-16788
 
WordPressは人気のあるコンテンツマネジメントシステム(CMS)の一つです。
どちらの脆弱性もバージョン3.7から5.3までに影響があります。
バージョン5.3.1へのアップデートが推奨の対応策となります。
 

まとめ

今回ご紹介した脆弱性ですが、実際に公開された脆弱性の数からするとほんの一握りです。
それぞれの脆弱性に対して、製品を提供しているベンダーから推奨の対応策が提供されていますので、早急に対応を実施することが推奨されます。
ただし、様々な理由により、推奨の対策が実施できない場合もあると思います。そういった場合には、マネージドセキュリティサービスを利用してカバーすることも非常に有効となります。

  • DDoS攻撃対策|導入社数、導入サイト数No.1|選ばれ続ける理由とは?クラウド型WAFでWebセキュリティ対策|今すぐ無料でダウンロード