ルータ向けLinuxディストロにRCE脆弱性 - 修正版は未提供
ルーターやファイアウォールなどの機能を提供するLinuxディストリビューション「ZeroShell」に、リモートよりコマンドの実行が可能となる深刻な脆弱性が明らかとなった。最新版も影響を受けるとされており、注意が必要だ。
CGI処理にコマンドインジェクションの脆弱性「CVE-2020-29390」が明らかとなったもの。ウェブインタフェースへアクセスできる攻撃者によって認証なしにコマンドを実行されるおそれがある。
米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、共通脆弱性評価システム「CVSSv3.1」のベーススコアが「9.8」、重要度が「クリティカル(Critical)」とレーティングされている。
脆弱性を発見した研究者は、過去の脆弱性について調査したところ、今回の脆弱性を発見したと説明。2019年8月4日にリリースされた最新版となる「同3.9.3」についても影響を受けると指摘している。
「Zeroshell」に関しては、7月ごろより既知の脆弱性「CVE-2019-12725」を狙った攻撃が増加。国内でも攻撃パケットが観測されている。
(Security NEXT - 2020/12/08 )
ツイート
PR
関連記事
「JavaScript」のランタイム環境「Deno」に脆弱性
「Chrome」にセキュリティアップデート - 8件の修正を実施
IoT機器ファームウェアのOSS構成分析ツール - バイナリにも対応
「Telerik UI」の既知脆弱性、米政府で被害 - 脆弱性スキャナ導入も検知できず
狙われる「Telerik UI for ASP.NET AJAX」の既知脆弱性
Cisco製の小規模向け一部ルータに脆弱性、PoCも - EOLで修正予定なし
「Apache Sling Resource Merger」にサービス拒否の脆弱性
PDF生成に用いられるPHPライブラリに深刻な脆弱性
ビデオ会議「Zoom」のクライアントなどに脆弱性 - アップデートで修正
ArubaのNAC製品に深刻な脆弱性 - 任意のユーザーを作成可能に