ビュー:

脆弱性の影響を受ける製品/コンポーネント/ツール

該当する脆弱性製品/コンポーネント/ツールバージョン
CVSS3.0
スコア
深刻度
CVE-2023-3823
Deep Discovery Inspector5.6~6.58.6緊急
CVE-2023-3824
9.4緊急
 

脆弱性の概要

CVE-2023-3823
8.6: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L

PHP 8.0.* (8.0.30 以前)、8.2.* (8.1.22 以前)、8.2.* (8.2.8 以前) のバージョンでは、さまざまな XML 関数がライブラリ libxml のグローバルステートに依存して、 外部のエンティティの参照があるかなどの設定変数を確認しています。 このグローバルステートは、ユーザが適切な関数を呼び出して意図的に変更を行わない限り、変更されないものとされています。 ただし、このグローバルステートはプロセス・グローバルであるため、ImageMagickなどの他モジュールが同一プロセス内で libxml を使用して グローバルステートを変更し、外部エンティティが参照可能な状態のままとなる可能性があります。 この外部エンティティの参照が可能な状態では、外部 XML が解析されて PHP がアクセス可能なローカルファイルの漏洩につながる可能性があります。

 

CVE-2023-3824
9.4: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L

PHP のバージョン 8.0.* (8.0.30 以前)、8.1.* (8.1.22 以前)、8.2.* (8.2.8 以前) において、 phar ファイルを読み込む際、PHAR ディレクトリエントリの読み取り中に、不十分な長さチェックによって スタックバッファオーバーフローが発生し、メモリの破損や任意のコードが実行される可能性があります。

 

対処方法

     
製品/コンポーネント/ツールバージョン修正Readme
Deep Discovery Inspector5.65.6 Critical Patch ビルド2070Readme
Deep Discovery Inspector5.75.7 Critical Patch ビルド2038Readme
Deep Discovery Inspector5.7 SP35.7 SP3 Critical Patch ビルド 2038Readme
Deep Discovery Inspector5.8 SP15.8 SP1 Critical Patch ビルド 2022Readme
Deep Discovery Inspector5.8 SP25.8 SP2 Critical Patch ビルド 2019Readme
Deep Discovery Inspector6.06.0 Critical Patch ビルド 2058Readme
Deep Discovery Inspector6.26.2 Critical Patch ビルド 2033Readme
Deep Discovery Inspector6.56.5 Critical Patch ビルド 2033Readme
 

「修正」に記載されている内容は、掲載された脆弱性の対応に必要となる公表時点でのバージョン、ビルド番号です。より新しいバージョン、ビルドが公開されている場合は、最新のものを適用してください。 弊社では、広く最新の脅威に対応するために、常に最新のバージョンの製品をご利用いただくことを推奨しています。古いバージョンをお使いのお客様は新しいバージョンへのアップグレードをご検討ください。

 

軽減要素

通常この脆弱性を悪用するには、攻撃者が脆弱性の影響を受けるバージョンの Deep Discovery Inspector に物理的またはリモートでアクセスする必要があります。 Critical Patch を適用することに加え、リモートアクセス設定の見直しや、運用環境のセキュリティが最新であること確認することを推奨します。 ただし、本脆弱性の悪用が特定の条件を満たす必要がある場合でも、できるだけ早く最新のビルドにアップデートすることを推奨しています。

 

参照情報

CVE-2023-3823

CVE-2023-3824

 

更新情報

2023年09月21日 公開

2023年10月26日 バージョン5.6、 5.7 および 5.8 SP1 に対応する Critical Patch を追加

2023年11月22日 バージョン6.0 に対応するCritical Patch に問題が見つかったため、修正を含むバージョンの情報に更新