Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

インフォサイエンスの複数ログ管理製品に脆弱性 - OSコマンド実行のおそれ

インフォサイエンスの複数ログ管理製品に「OSコマンドインジェクション」の脆弱性が含まれていることが明らかとなった。

「Logstorage 8.0.0」「ELC Analytics 3.0.0」や以前のバージョンにおいて「OSコマンドインジェクション」の脆弱性「CVE-2020-5626」が判明したもの。

これら製品においてログをFTP経由でアップロードする際、対象ファイル名の指定に不備があると、細工されたログをアップロードされた場合に任意のOSコマンドを実行されるおそれがある。共通脆弱性評価システム「CVSSv3.0」のベーススコアは「7.5」。

同脆弱性は、三井物産セキュアディレクションの塚本泰三氏が情報処理推進機構(IPA)へ報告したもので、JPCERTコーディネーションセンターが調整を実施。脆弱性を修正したアップデートが提供されているほか、緩和策がアナウンスされている。

(Security NEXT - 2021/01/28 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Microsoft Streaming Service」の脆弱性に対する攻撃に注意
Ivanti、「外部整合性チェックツールICT」の機能強化版を公開
Ivanti製品の侵害、以前のツールでは検証回避のおそれ
「Trend Micro」の複数製品に脆弱性 - アップデートで修正
Progress Softwareの「OpenEdge」に認証バイパスの脆弱性
Cisco、セキュリティアドバイザリ5件を公開 - DoS脆弱性などに対応
脅威情報共有プラットフォーム「MISP」に脆弱性 - 最新版へ更新を
ブラウザ「Chrome」にアップデート - セキュリティに関する4件の修正
「baserCMS」に脆弱性 - アップデートで修正を実施
「VMware Workstation」「Fusion」にセキュリティアップデート