2018年3月1日初版公開

• 2018年2月に公開された危険度の高い脆弱性情報
• CVSSによる深刻度とは
• 脆弱性を悪用した攻撃に犯されてしまうと・・

1.2018年2月に公開された危険度の高い脆弱性情報

掲載範囲：CVSS により深刻度が危険と指定され、一般的に影響が大きいとされるものを抜粋

(1)Event Manager における SQL インジェクションの脆弱性(CVE-2018-6576)

ベンダ情報	codecanyon : Event Manager PHP Script + Admin panel https://codecanyon.net/item/eventmanager-php-script-admin-panel/21280741
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	Event Manager には、SQL インジェクションの脆弱性が存在します。
影響を受ける製品	EZCode Event Manager 1.0
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報	Event Manager における SQL インジェクションの脆弱性(JVNDB-2018-001669) http://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-001669.html Vulnerability Summary for CVE-2018-6576 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-6576

(2)Joomla! 用 JEXTN Classified コンポーネントにおける SQL インジェクションの脆弱性(CVE-2018-6575)

ベンダ情報	Jextn : JEXTN Classifieds http://www.jextn.com/joomla-classifieds-component-extensions-downloads Joomla! Extensions Directory : JEXTN Classified https://extensions.joomla.org/extensions/extension/ads-a-affiliates/classified-ads/jextn-classified/
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	Joomla! 用 JEXTN Classified コンポーネントには、SQL インジェクションの脆弱性が存在します。
影響を受ける製品	Jextn JEXTN Classifieds 1.0.0
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報	Joomla! 用 JEXTN Classified コンポーネントにおける SQL インジェクションの脆弱性(JVNDB-2018-001668) http://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-001668.html Vulnerability Summary for CVE-2018-6575 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-6575

(3)Joomla! 用 JMS Music における SQL インジェクションの脆弱性(CVE-2018-6581)

ベンダ情報	JMS : JMS Music https://www.joommasters.com/store/jms-music.html Joomla! Extensions Directory : JMS Music https://extensions.joomla.org/extensions/extension/multimedia/multimedia-players/jms-music/
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	Joomla! 用 JMS Music には、SQL インジェクションの脆弱性が存在します。
影響を受ける製品	Joommasters JMS Music 1.1.1
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報	Joomla! 用 JMS Music における SQL インジェクションの脆弱性(JVNDB-2018-001667) http://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-001667.html Vulnerability Summary for CVE-2018-6581 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-6581

(4)Joomla! 用 Jimtawl コンポーネントにおける危険なタイプのファイルの無制限アップロードに関する脆弱性(CVE-2018-6580)

ベンダ情報	Janguo : Jimtawl http://janguo.de/lang-en/joomla-25-higher/jimtawl.html Joomla! Extensions Directory : Jimtawl https://extensions.joomla.org/extensions/extension/multimedia/streaming-a-broadcasting/jimtawl/
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	Joomla! 用 Jimtawl コンポーネントには、危険なタイプのファイルの無制限アップロードに関する脆弱性が存在します。
影響を受ける製品	Janguo Jimtawl 2.1.6 Jimtawl 2.2.5
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報	Joomla! 用 Jimtawl コンポーネントにおける危険なタイプのファイルの無制限アップロードに関する脆弱性(JVNDB-2018-001666) http://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-001666.html Vulnerability Summary for CVE-2018-6580 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-6580

(5)Joomla! 用 JEXTN Reverse Auction コンポーネントにおける SQL インジェクションの脆弱性(CVE-2018-6579)

ベンダ情報	Jextn : JEXTN Reverse Auction http://jextn.com/joomla-reverseauction-component Joomla! Extensions Directory : JEXTN Reverse Auction https://extensions.joomla.org/extensions/extension/e-commerce/auction/jextn-reverse-auction/
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	Joomla! 用 JEXTN Reverse Auction コンポーネントには、SQL インジェクションの脆弱性が存在します。
影響を受ける製品	Jextn JEXTN Reverse Auction 3.1.0
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報	Joomla! 用 JEXTN Reverse Auction コンポーネントにおける SQL インジェクションの脆弱性(JVNDB-2018-001665) http://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-001665.html Vulnerability Summary for CVE-2018-6579 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-6579

(6)Joomla! 用 JE PayperVideo コンポーネントにおける SQL インジェクションの脆弱性(CVE-2018-6578)

ベンダ情報	Jextn : JEXTN PayperVideo http://www.jextn.com/joomla-paypervideo-component-extensions-downloads Joomla! Extensions Directory : JE PayperVideo https://extensions.joomla.org/extensions/extension/multimedia/multimedia-players/je-paypervideo/
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	Joomla! 用 JE PayperVideo コンポーネントには、SQL インジェクションの脆弱性が存在します。
影響を受ける製品	Jextn JEXTN PayperVideo 3.0.0
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報	Joomla! 用 JE PayperVideo コンポーネントにおける SQL インジェクションの脆弱性(JVNDB-2018-001664) http://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-001664.html Vulnerability Summary for CVE-2018-6578 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-6578

(7)Joomla! 用 JEXTN Membership コンポーネントにおける SQL インジェクションの脆弱性(CVE-2018-6577)

ベンダ情報	Jextn : JEXTN Membership http://www.jextn.com/joomla-membership-component-extensions-downloads Joomla! Extensions Directory : JEXTN Membership https://extensions.joomla.org/extensions/extension/e-commerce/membership-a-subscriptions/jextn-membership/
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	Joomla! 用 JEXTN Membership コンポーネントには、SQL インジェクションの脆弱性が存在します。
影響を受ける製品	Jextn JEXTN Membership 3.1.0
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報	Joomla! 用 JEXTN Membership コンポーネントにおける SQL インジェクションの脆弱性(JVNDB-2018-001663) http://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-001663.html Vulnerability Summary for CVE-2018-6577 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-6577

(8)WXR-1900DHP2 における複数の脆弱性(CVE-2018-0521)

ベンダ情報	製品セキュリティ情報 : WXR-1900DHP2における複数の脆弱性 http://buffalo.jp/support_s/s20180223.html
CVSS による深刻度	8.3 (危険) [ NVD値 ]
概要	株式会社バッファローが提供する WXR-1900DHP2 は無線 LAN ルータです。WXR-1900DHP2 には、次の複数の脆弱性が存在します。 ・認証欠如の問題 (CWE-306) - CVE-2018-0521 ・バッファオーバーフロー (CWE-119) - CVE-2018-0522 ・OS コマンドインジェクション (CWE-78) - CVE-2018-0523 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 三井物産セキュアディレクション株式会社 塚本 泰三 氏
影響を受ける製品	バッファロー WXR-1900DHP2 ファームウエア Ver.2.48 およびそれ以前
対策	[アップデートする] 開発者が提供する情報をもとに、ファームウェアをアップデートしてください。
参考情報	WXR-1900DHP2 における複数の脆弱性(JVNDB-2018-000017) http://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-000017.html Vulnerability Summary for CVE-2018-0521 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-0521

(9)Quagga bgpd に複数の脆弱性(CVE-2018-5381)

ベンダ情報	GNU Savannah : Quagga 1.2.3 Release, with significant BGP security fixes https://savannah.nongnu.org/forum/forum.php?forum_id=9095
CVSS による深刻度	9.3 (危険) [ NVD値 ]
概要	Quagga bgpd には、次の複数の脆弱性が存在します。 　* バッファオーバフロー (CWE-119) - CVE-2018-5378 (Quagga-2018-0543) 　* メモリ二重解放 (CWE-415) - CVE-2018-5379 (Quagga-2018-1114) 　* 境界外読み取り (CWE-125) - CVE-2018-5380 (Quagga-2018-1550) 　* 不正な構文構造の不適切な処理 (CWE-228) - CVE-2018-5381 (Quagga-2018-1975) 詳細は開発者が提供する情報を参照して下さい。
影響を受ける製品	Quagga Quagga 1.2.3 より前のバージョン
対策	[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 開発者は、本脆弱性の対策版として Quagga version 1.2.3 をリリースしています。
参考情報	Quagga bgpd に複数の脆弱性(JVNDB-2018-001492) http://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-001492.html Vulnerability Summary for CVE-2018-5381 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-5381

2.CVSSによる深刻度とは

本レポートにて設定されている値は、共通脆弱性評価システムである CVSS を用いて評価されております。
CVSS による深刻度（JVN iPedia）
http://jvndb.jvn.jp/nav/jvndbhelp.html#jvndb3
CVSS でぜい弱性を評価してみよう（ITpro）
http://itpro.nikkeibp.co.jp/article/COLUMN/20070808/279327/
National Vulnerability Database（NVD）
http://nvd.nist.gov/home.cfm

3. 脆弱性を悪用した攻撃に犯されてしまうと・・

上記脆弱性を悪用した攻撃やその他マルウェアに感染してしまうと、お使いの PC を乗っ取られたり金銭を要求する詐欺行為の被害に遭う恐れがあります。 また、昨今のサイバー攻撃の被害は企業レベルに及ぶ場合もあり、その被害金額や対処に必要な工数が膨大になったり、訴訟問題になる事例も確認されております。 業務やご家庭で PC をご利用されている以上、最低限のレベルでのセキュリティ対策は必須と言っても過言ではありません。 まずはご使用の PC のセキュリティ状況をチェックし、各ベンダ提供のセキュリティパッチの適用、ウイルス対策ソフトのインストール等ご対応をお願い致します。
更なるサイバー犯罪の脅威の対策をお望みの方は、弊社がご提供させていただいているセキュリティソリューション「SHIELD」や、弊社も推奨させていただいている、 最新ウイルスの駆除に特化した従来のパターンファイルでの駆除に依存しない次世代セキュリティソリューション「yarai」をお勧め致します。
http://www.hitachi-systems.com/solution/t01/shield/
http://www.hitachi-systems.com/solution/s105/yarai/index.html

※ ウイルス対策製品は企業ごと多種多様の性能を備えております。詳しくは各ベンダのサイト等をご参照下さい。

上に戻る
※ 各会社名、団体名、商品名は各社、各団体の商品名称、または登録商標です。