VPN製品「SonicWall SMA 100シリーズ」に深刻な脆弱性 - WAF有効時も影響、早急に対応を

SonicWallのリモートアクセス製品「SonicWall SMA 100シリーズ」に深刻な脆弱性が複数含まれていることがわかった。悪用は確認されていないが、同社ではできる限り早急にパッチを適用するよう注意を呼びかけている。

リモートよりコードを実行されるおそれがあるバッファオーバーフローの脆弱性「CVE-2021-20038」「CVE-2021-20045」など、あわせて8件の脆弱性が明らかとなったもの。「SonicWall SMA 500v」「同410」「同400」「同210」「同200」が影響を受ける

共通脆弱性評価システム「CVSSv3」のベーススコアを見ると、なかでも「CVE-2021-20038」が「9.8」、「CVE-2021-20045」が「9.4」と高い。

さらにバッファオーバーフローの脆弱性「CVE-2021-20043」が「8.8」、CPUリソースの枯渇「CVE-2021-20041」が「7.5」と続く。これ以外にもコマンドインジェクションの脆弱性などCVSS基本値が「7.2」の脆弱性2件が含まれる。

これら製品には「ウェブアプリケーションファイアウォール（WAF）」が提供されているが、有効化していた場合も、「CVE-2021-20038」「CVE-2021-20045」をはじめ大半の脆弱性の影響を受けるという。

（Security NEXT - 2021/12/09 ） ツイート

PR

関連記事

「Spring Framework」に複数の脆弱性 - 重要度「Critical」も
Apple、「iOS/iPadOS 16.4」を公開 - 「同15.7.4」も同時リリース
Windowsの「Snipping Tool」にアップデート - 加工前に復元できる脆弱性
「OpenSSL」に脆弱性、重要度低く今後修正予定
MLOpsプラットフォーム「MLflow」に深刻な脆弱性
「Microsoft Edge 111.0.1661.54」がリリースに - 独自に脆弱性2件を修正
「JavaScript」のランタイム環境「Deno」に脆弱性
「Chrome」にセキュリティアップデート - 8件の修正を実施
IoT機器ファームウェアのOSS構成分析ツール - バイナリにも対応
「Telerik UI」の既知脆弱性、米政府で被害 - 脆弱性スキャナ導入も検知できず