Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

SonicWallの「SonicOS」やメールセキュリティ製品に脆弱性

SonicWallは、現地時間3月13日にセキュリティアドバイザリ3件を公開し、「SonicOS」や「SonicWall Email Security」に関する脆弱性について明らかにした。

「SonicOS」に関する2件の脆弱性「CVE-2024-22396」「CVE-2024-22397」や、「SonicWall Email Security」の脆弱性「CVE-2024-22398」に関するアドバイザリをリリースしたもの。いずれも重要度は4段階中、上から3番目にあたる「中(Medium)」とレーティングしている。

「CVE-2024-22396」は「SonicOS」の「IPSec」において整数バッファオーバーフローが生じる脆弱性。「IKEv2」において細工したファイルを送りつけることでリモートより任意のコードを実行したり、サービス拒否を引き起こすことが可能となる。

また「SonicOS」の「SSL VPNポータル」においてクロスサイトスクリプティング(XSS)の脆弱性「CVE-2024-22397」が明らかとなった。共通脆弱性評価システム「CVSSv3」のベーススコアを見ると、「CVE-2024-22396」については「5.3」、「CVE-2024-22397」は「4.8」としている。

さらに「SonicWall Email Security」では、パストラバーサルの脆弱性「CVE-2024-22398」が明らかとなった。悪用には管理者権限が必要となるが、任意のファイルを削除することが可能だという。CVSS基本値については「4.9」と評価している。

バージョンによって影響を受ける脆弱性は異なるが、「SonicOS 7.1.1-7051」「同7.0.1-5151」「同6.5.4.v_21s_RC2395」「同6.5.4.14-107n」「SonicWall Email Security 10.0.28.7941」にてこれら脆弱性は修正されている。

(Security NEXT - 2024/03/14 ) このエントリーをはてなブックマークに追加

PR

関連記事

「PAN-OS」脆弱性に対する攻撃が増加 - コマンドで悪用試行を確認可能
認可保育所に無関係の副食費免除対象者情報を誤送信 - 青梅市
市内小学校で児童指導要録抄本が所在不明に - 川崎市
被災労働者の個人情報含むファイルをメール誤送信 - 労働基準監督署
ウェブサーバが迷惑メール送信の踏み台に - タカラベルモント
「JVN iPedia」登録、前四半期から4割減 - 累計20万件を突破
WP向けメールマーケティングプラグインにSQLi脆弱性
HashiCorpのGo言語向けライブラリ「go-getter」に脆弱性
Cisco、セキュリティアドバイザリ3件を公開 - 一部でPoCが公開済み
「Chrome 124」が公開 - セキュリティ関連で23件の修正