eSecurity Planetは3月28日(米国時間)、「IT Security Vulnerability Roundup – March 2019」において、2019年3月に公開された情報のうち、特にCVSSスコア(Common Vulnerability Scoring System:共通脆弱性評価システム)が9.8以上のもの14個を紹介した。
IPAによると、 CVSSは「情報システムの脆弱性に対するオープンで汎用的な評価手法であり、ベンダーに依存しない共通の評価方法を提供している」という。CVSSは、3つの基準で脆弱性を評価し、脆弱性の深刻度を0(低)~10.0(高)の数値で表す。CVSSv3.0においては基本値が9.0~10.0の場合、深刻度が「緊急」とされている。
紹介されている14個の脆弱性は次のとおり。
- Moodleのサーバサイドリクエスト偽造の脆弱性 (CVE-2019-3809)
- Elastic Kibanaにおける任意コード実行の脆弱性 (CVE-2019-7609)
- Apple iOSカーネルにおけるバッファオーバーフローの脆弱性 (CVE-2019-8527)
- PHP EXIFにおける4つのクリティカルな脆弱性 (CVE-2019-9638、CVE-2019-9639、CVE-2019-9640、CVE-2019-9641)
- libseccompにおける特権昇格の脆弱性 (CVE-2019-9893)
- Arch Linux pacmanにおけるディレクトリトラバーサルの脆弱性 (CVE-2019-9686)
- Pythonにおける情報漏えいセキュリティ脆弱性 (CVE-2019-9636)
- Cisco Common Services Platform Collectorにおけるスタティッククレデンシャルの脆弱性 (CVE-2019-1723)
- Pivotal Spring Security OAuthにおけるオープンリダイレクト問題 (CVE-2019-3778)
- Popplerにおけるバッファオーバーリードの脆弱性 (CVE-2019-9631)
- rsshにおける任意シェルコマンド実行の脆弱性 (CVE-2019-3463、CVE-2019-3464)
- Apache JMeterにおける任意コード実行の脆弱性 (CVE-2019-0187)
- Cisco Router Management Interfaceにおける理モードコマンド実行の脆弱性 (CVE-2019-1663)
- Flexera FlexNet Publisherにおける任意コード実行の脆弱性
ソフトウェアの脆弱性は日々発見されている。サイバー攻撃を受けている場合でもその存在に気が付かず、不正侵入やデータ漏洩、ほかの攻撃への踏み台として使われ続けることもある。使用しているソフトウェアは常に最新のバージョンにアップデートするとともに、セキュリティ情報に応じて迅速に対応することが望まれる。