ニュース
CVSS v3スコアは10.0 オンラインストレージownCloudに深刻なリスク:セキュリティニュースアラート
OSSのオンラインストレージ「ownCloud」に3つの脆弱性が見つかった。そのうち一つはCVSS v3のスコア値が10.0と評価されている。
ownCloudは2023年11月21日(現地時間)、オープンソースソフトウェア(OSS)のオンラインストレージ「ownCloud」に3つの脆弱(ぜいじゃく)性が存在すると発表した。
CVSSスコア値は10.0 推奨される対策は?
公開された3つの脆弱性の深刻度は「緊急」(Critical)で、そのうち一つは共通脆弱性評価システム(CVSS) v3のスコア値が10.0と評価されている。
今回発表された脆弱性は以下の通りだ。
- CWE-200: コンテナ化されたデプロイにおける機密性の高いアカウント情報と構成情報の漏えいを引き起こす脆弱性。深刻度「緊急」(Critical)で、CVSS v3のスコア値が10.0に評価されている。「Graph API 」のバージョン0.2.0〜0.3.0が対象。Graph API の特定のURLにアクセスすることで環境変数などの情報にアクセスでき、これらに管理者のパスワードやメールサーバのアカウント情報、ライセンスキーなどの情報が含まれている場合がある
- CWE-665: 署名付きURLを使用したWebDAV API認証バイパスの脆弱性。深刻度「緊急」(Critical)で、CVSS v3のスコア値が9.8に評価されている。core 10.6.0〜10.13.0が対象。攻撃対象のユーザー名が分かっていて、ユーザーが署名キーの設定をしていない場合、認証なしでファイルへのアクセスや変更、削除が可能になる
- CWE-284: サブドメイン検証バイパスの脆弱性。深刻度「緊急」(Critical)で、CVSS v3のスコア値が9.0に評価されている。「OAuth2.0」の0.6.1より以前のバージョンが対象。これを悪用することで、OAuth2.0アプリ内で検証コードをバイパスする特別に細工されたリダイレクトURLを利用できるようになる。攻撃者が制御するTLDにコールバックをリダイレクトさせることが可能
ownCloudは、CWE-200の修正に向けて対象ファイルの削除や無効化を実施しており、今後のコアリリースでさらに同様の脆弱性の発生を軽減するように取り組みを強化する予定だ。ownCloud管理者パスワードの変更や電子メールサーバアカウント情報、データベースアカウント情報の変更、オブジェクトストアやS3アクセスキーを変更しておくことが推奨されている
関連記事
- 徳丸 浩氏に聞いてみた 「なぜサイバーセキュリティ人材は足りないの?」
サイバーセキュリティ人材はなぜ不足しているのか。企業は素養がある人材をどのように見極めて、獲得に向けて何をすればいいのか。徳丸 浩氏がこの難問に答えた。 - “大流行するマルウェアには発生周期がある”は、トンデモ仮説かそれとも予言か?
「大規模なワーム型マルウェアには発生周期がある」という大胆な仮説が提示された。果たして本当だろうか。 - 攻撃者の“裏事情”から考える いま注目のランサムウェアグループとその特徴
ランサムウェアに対抗するには攻撃者の動向を把握することが重要だ。著名なホワイトハッカーがサイバー攻撃者たちの裏事情に加えて、注目すべき新たなランサムウェアグループとその特徴などを明らかにした。 - 「サイバー攻撃でいくら損する?」を試算できる待望のフレームワークが誕生
The FAIR Instituteはランサムウェアをはじめとした重大なサイバー攻撃に関連するコストを試算し、関係者がより適切にリスクを算定するための基準を作ろうとしている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.