脆弱性

【サイバーセキュリティ白書】2020年2月の脆弱性情報まとめ

2020.03.04

脆弱性

webサイトのセキュリティ対策はなぜ必要か【サイバーセキュリティ白書】2020年2月の脆弱性情報まとめ

サイバー攻撃の被害が後を絶たない昨今、最新の脆弱性を収集して把握することはセキュリティ対策を行う上で必要不可欠となっています。本シリーズ「サイバーセキュリティ白書」では、クラウド型WAF「攻撃遮断くん」やAWS WAF自動運用サービス「WafCharm」を開発運営するサイバーセキュリティクラウドのセキュリティエンジニアが調査した脆弱性情報を解説していきます。※本記事は2020年2月度 脆弱性情報のまとめとなります。

目次

2020年2月発表の脆弱性情報

2020年2月に公開された新たな脆弱性について、いくつかご紹介します。

1)Apache Tomcatにリモートコード実行の脆弱性

CVE-ID:CVE-2020-1938
CVSS v3 Base Score:9.8
CVSS v3 Vector:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
情報源:https://nvd.nist.gov/vuln/detail/CVE-2020-1938
Apache JServ Protocolに関する脆弱性です。
バージョン9.0.0.M1から9.0.0.30、8.5.0から8.5.50、7.0.0から7.0.99に影響があります。
それぞれバージョン9.0.31、8.5.51、7.0.100へのアップデートが推奨の対応策となります。

2)DjangoにSQLインジェクションの脆弱性

CVE-ID:CVE-2020-7471
CVSS v3 Base Score:9.8
CVSS v3 Vector:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
情報源:https://nvd.nist.gov/vuln/detail/CVE-2020-7471

DjangoはPythonで実装されたWebアプリケーションフレームワークです。
1.11.28以前、2.2.10以前、3.0.3以前に影響があります。
djangoprojectのセキュリティリリースに従い、
パッチを適用することが推奨の対応策となります。
Django security releases issued: 3.0.3, 2.2.10, and 1.11.28

3)GitLabに権限設定の不備に関する脆弱性

CVE-ID:CVE-2020-8795
CVSS v3 Base Score:7.5
CVSS v3 Vector:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
情報源:https://nvd.nist.gov/vuln/detail/CVE-2020-8795

GitLabはWeb型のGitリポジトリマネージャーです。
バージョン12.5.0以降に影響があります。
最新バージョンへのアップデートが推奨の対応策となります。

4)Joomla!のExtensionにReverse Tabnabbingの脆弱性

・J-BusinessDirectory
CVE-ID:CVE-2020-5182
CVSS v3 Base Score:6.5
CVSS v3 Vector:AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
情報源:https://nvd.nist.gov/vuln/detail/CVE-2020-5182

バージョン5.2.9より以前に影響があります。
バージョン5.2.9へのアップデートが推奨の対応策となります。

5)Microsoft Exchange Serverにリモートコード実行の脆弱性

CVE-ID:CVE-2020-0688
CVSS v3 Base Score:8.8
CVSS v3 Vector:AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
情報源:https://nvd.nist.gov/vuln/detail/CVE-2020-0688

Microsoft Exchange Server 2010、2013、2016、2019に影響があります。
セキュリティ更新プログラムの適用が推奨の対応策となります。
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0688

6)Movable Typeにクロスサイトスクリプティングの脆弱性

CVE-ID:CVE-2020-5528
CVSS v3 Base Score:6.1
CVSS v3 Vector:AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
情報源:https://nvd.nist.gov/vuln/detail/CVE-2020-5528

Movable Typeはコンテンツマネジメントシステム(CMS)の一つです。
以下バージョンに影響があります。
6.5.2以前、7 r.4603以前、Advanced 6.5.2以前、Advanced 7 r.4603以前、
Premium 1.26以前、Premium Advanced 1.26以前
それぞれ、最新バージョンへのアップデートが推奨の対応策となります。

7)PostgreSQLに不適切な権限設定の脆弱性

CVE-ID:CVE-2020-1720
CVSS v3 Base Score:RESERVED
CVSS v3 Vector:RESERVED
情報源:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1720

バージョン12.2、11.7、10.12、9.6.17、 9.5.21、 9.4.26へのアップデートが
推奨の対応策となります。
9.4.xについては今回リリースされた9.4.26が最終バージョンとなる予定と
されていますので注意が必要です。

8)SimpleSAMLphpにログインジェクションの脆弱性

CVE-ID:CVE-2020-5225
CVSS v3 Base Score:5.4
CVSS v3 Vector:AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
情報源:https://nvd.nist.gov/vuln/detail/CVE-2020-5225

SimpleSAMLphpはPHPで実装されており、
SP、IdPとしてのSAML 2.0の機能を提供します。
バージョン1.18.3以前に影響があります。
バージョン1.18.4へのアップデートが推奨の対応策となります。

9)WordPressのPluginに任意ファイルダウンロードの脆弱性

・Duplicator Plugin
CVE-ID:-
CVSS v3 Base Score:7.5
CVSS v3 Vector:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
情報源:https://wpvulndb.com/vulnerabilities/10078
WPVDB ID:10078

Duplicator Pluginは、WprdPressで構築したサイトを複製し
サーバ間の移転作業を簡単に行うために利用します。
バージョン1.3.26以前に影響があります。
バージョン1.3.28へのアップデートが推奨の対応策となります。

まとめ

今回ご紹介した脆弱性ですが、実際に公開された脆弱性の数からするとほんの一握りです。
それぞれの脆弱性に対して、製品を提供しているベンダーから推奨の対応策が提供されていますので、早急に対応を実施することが推奨されます。
ただし、様々な理由により、推奨の対策が実施できない場合もあると思います。そういった場合には、マネージドセキュリティサービスを利用してカバーすることも非常に有効となります。

  • DDoS攻撃対策|導入社数、導入サイト数No.1|選ばれ続ける理由とは?クラウド型WAFでWebセキュリティ対策|今すぐ無料でダウンロード