今週報告された脆弱性の概要:2021年2月15〜19日

2021/02/20 セキュリティーニュース
logo

今週、QNAPはSurveillance Stationアプリケーションの重大な脆弱性にパッチを適用しました。この脆弱性を悪用すると、攻撃者は脆弱なソフトウェアを実行しているQNAPNASで悪意のあるコードをリモートで実行できます。 この脆弱性(CVE-2020-2501)は、5.1.5.3.3、5.1.5.4.3より古いバージョンのSurveillanceStationに影響を及ぼします。

OpenSSLの脆弱性

OpenSSL開発者は、プロジェクトの3つの脆弱性に対する修正をリリースしました。これらの脆弱性を悪用すると、サービス拒否(DoS)攻撃とMitM攻撃が可能になります。 問題CVE-2021-23841およびCVE-2021-23840は、OpenSSLバージョン1.1.1jおよびバージョン1.0.2yのCVE-2021-23839で修正されています。

Agora Video SDKの脆弱性

脆弱性(CVE-2020-25605)が、多くのアプリケーション(eHarmony、Plenty of Fish、MeetMe、Skout Talkspace、Practoなど)で使用されている人気のあるで発見されました。これにより、プライベートビデオおよびオーディオ通話を密かに監視できます。 この問題は信頼性の低い暗号化に関連しており、侵入者が中間者攻撃を実行し、対話の参加者間の通信を傍受するために悪用される可能性があります。 この脆弱性は、AgoraSDKバージョン3.2.1で修正されています。

Digi ConnectPortX2eネットワークゲートウェイの脆弱性

今週、ソーラー設備で使用されるにも脆弱性が発見されました。 特に、Digi ConnectPort X2eには、攻撃者が脆弱なデバイスを介してホームネットワークまたは企業ネットワークにアクセスするために使用できる2つの脆弱性(CVE-2020-9306およびCVE-2020-12878)が含まれています。  1つはハードコードされた資格情報の存在に関連し、2つ目は特権昇格の脆弱性です。

Google Chromeの脆弱性

Googleは、Chromeブラウザの複数の脆弱性にパッチを適用しており、そのほとんどすべてがリモートコード実行を可能にしました。  Microsoftは、これらの問題も修正するChromiumベースのEdgeブラウザーの更新をリリースしました。

RCEの脆弱性

複数のRCEの脆弱性は、多くの製品、特にlibmaxminddbライブラリ、Soar Cloud System HR Portal、ISC BIND、SPIP、およびnpmのstatic-evalパッケージでも報告されています(この脆弱性の修正はありません)。

まとめ

ホームネットワークの脆弱性が報告されましたが、何十年も利用するシステムになりますが、ハウスメーカーはサポートしてくれるのでしょうか?通常の機器は2-3年サポートして終わりです。脆弱性をそのままにした場合、攻撃者に悪用される可能性があります。