Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Cloudflareのゼロトラストサービスでポリシーのバイパス可能となる脆弱性

Cloudflareが提供する「ゼロトラストサービス」において、クライアントよりポリシーのバイパスが可能となる脆弱性が明らかとなった。

クライアントソフト「WARP」のコマンドラインインタフェースよりサブコマンドを使用することで、ポリシーのバイパスが可能となる脆弱性「CVE-2022-3320」が判明したもの。

サービスへ接続されていない端末よりコマンドを実行すると、ゼロトラストサービスへ登録された端末の管理制限をバイパスすることができる。

Cloudflareでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「6.7」、重要度を「中(Medium)」としている。一方、米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、CVSS基本値を「9.8」、重要度を「クリティカル(Critical)」とした。

9月にリリースされた「同2022.8.857.0(Windows)」「同2022.8.861.0(macOS)」「同2022.8.936(Linux)」にて修正済みだという。

(Security NEXT - 2022/11/15 ) このエントリーをはてなブックマークに追加

PR

関連記事

メールアカウント3件に不正アクセス、個人情報が流出 - 近大関連会社
エレコム製の複数無線「LAN」ルータに3件の脆弱性
ラック、生成AIシステム特有のセキュリティ問題を診断するサービス
中学校で生徒用端末から教員用資料が閲覧可能な状態に - 文京区
イズミ、ランサム被害で宅配など一部サービスを停止 - 新店舗オープンを延期
マイナンバー含むデータ入力を委託先が無断で再委託 - 熊谷市
GitLab、アップデートで4件の脆弱性を修正
「GitLab」に月例セキュリティリリース - 深刻な脆弱性を解消
「GitHub Enterprise Server」に10件の脆弱性 - アップデートで修正
「Apache Tomcat」にアップデート - 「同8.5.x」は3月31日にサポート終了