注目すべき脆弱性:EmbedThis GoAhead に存在する 2 つの脆弱性
EmbedThis 社の GoAhead Web サーバには、脆弱性が 2 つ存在します。いずれも、multi-part/form-data HTTP リクエストを処理しようとした際に発生します。これらの脆弱性がエクスプロイトされると、侵入されたマシンでリモートからコードが実行されるか、サービス妨害状態になる危険性があります。
GoAhead Web サーバは、よく知られた組み込み型の Web サーバです。組み込みデバイス向けに完全にカスタマイズ可能な Web アプリケーション フレームワークおよびサーバとして設計されています。HTTP サーバとしての基本的な機能をすべて備え、組み込み Web アプリケーションの開発者が自由にカスタマイズできるプラットフォームを提供しています。
Cisco Talos は情報開示方針に従って EmbedThis 社と協力し、今回の脆弱性が解決済みであり、影響を受けた利用者向けにアップデート
が利用可能であることを確認しています。
脆弱性の詳細
EmbedThis GoAhead Web サーバにおけるコード実行の脆弱性(TALOS-2019-0888/CVE-2019-5096)
エクスプロイト可能なコード実行の脆弱性は、GoAhead のベースとなる Web サーバ アプリケーション(バージョン v5.0.1、v.4.1.1、v3.6.5)で multi-part/form-data リクエストを処理する際に発生します。細工された HTTP リクエストの処理中に、解放されたメモリが使用されてヒープ構造が破損し、完全にコードを実行できる状態になる危険性があります。このリクエストは、GET または POST リクエストの形式では認証を受けない可能性があり、リクエストしたリソースがサーバに存在する必要もありません。
詳細は、こちらからアドバイザリ全文をお読みください。
EmbedThis GoAhead Web サーバにおけるサービス妨害の脆弱性(TALOS-2019-0889/CVE-2019-5097)
サービス妨害の脆弱性は、GoAhead のベースとなる Web サーバ アプリケーション(バージョン v5.0.1、v.4.1.1、v3.6.5)で multi-part/form-data リクエストを処理する際に発生します。細工された HTTP リクエストによって、プロセスで無限ループが発生する可能性があります。このリクエストは、GET または POST リクエストの形式では認証を受けない可能性があり、リクエストしたリソースがサーバに存在する必要もありません。
詳細は、こちらからアドバイザリ全文をお読みください。
脆弱性が確認されたバージョン
Talos の研究者は、EmbedThis GoAhead バージョン 5.0.1、4.1.1、3.6.5 をテストし、上記の脆弱性の影響を受けることを確認しました。
カバレッジ
脆弱性のエクスプロイトは、以下の SNORTⓇ ルールにより検出可能です。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。最新のルールの詳細については、Firepower Management Center または Snort.org を参照してください。
Snort ルール:51331、51332
Tags:本稿は 2019年12月2日に Talos Group
