eSecurity Planetは3月28日(米国時間)、「IT Security Vulnerability Roundup – March 2019」において、2019年3月に公開された情報のうち、特にCVSSスコア(Common Vulnerability Scoring System:共通脆弱性評価システム)が9.8以上のもの14個を紹介した。

IPAによると、 CVSSは「情報システムの脆弱性に対するオープンで汎用的な評価手法であり、ベンダーに依存しない共通の評価方法を提供している」という。CVSSは、3つの基準で脆弱性を評価し、脆弱性の深刻度を0(低)~10.0(高)の数値で表す。CVSSv3.0においては基本値が9.0~10.0の場合、深刻度が「緊急」とされている。

紹介されている14個の脆弱性は次のとおり。

  1. Moodleのサーバサイドリクエスト偽造の脆弱性 (CVE-2019-3809)
  2. Elastic Kibanaにおける任意コード実行の脆弱性 (CVE-2019-7609)
  3. Apple iOSカーネルにおけるバッファオーバーフローの脆弱性 (CVE-2019-8527)
  4. PHP EXIFにおける4つのクリティカルな脆弱性 (CVE-2019-9638、CVE-2019-9639、CVE-2019-9640、CVE-2019-9641)
  5. libseccompにおける特権昇格の脆弱性 (CVE-2019-9893)
  6. Arch Linux pacmanにおけるディレクトリトラバーサルの脆弱性 (CVE-2019-9686)
  7. Pythonにおける情報漏えいセキュリティ脆弱性 (CVE-2019-9636)
  8. Cisco Common Services Platform Collectorにおけるスタティッククレデンシャルの脆弱性 (CVE-2019-1723)
  9. Pivotal Spring Security OAuthにおけるオープンリダイレクト問題 (CVE-2019-3778)
  10. Popplerにおけるバッファオーバーリードの脆弱性 (CVE-2019-9631)
  11. rsshにおける任意シェルコマンド実行の脆弱性 (CVE-2019-3463、CVE-2019-3464)
  12. Apache JMeterにおける任意コード実行の脆弱性 (CVE-2019-0187)
  13. Cisco Router Management Interfaceにおける理モードコマンド実行の脆弱性 (CVE-2019-1663)
  14. Flexera FlexNet Publisherにおける任意コード実行の脆弱性
  • NVD - CVE-2019-3809

    NVD - CVE-2019-3809

ソフトウェアの脆弱性は日々発見されている。サイバー攻撃を受けている場合でもその存在に気が付かず、不正侵入やデータ漏洩、ほかの攻撃への踏み台として使われ続けることもある。使用しているソフトウェアは常に最新のバージョンにアップデートするとともに、セキュリティ情報に応じて迅速に対応することが望まれる。