公開:

【CVE-2024-49064】Microsoft SharePoint Serverに情報漏洩の脆弱性、複数バージョンで更新が必要に

text: XEXEQ編集部
(記事は執筆時の情報に基づいており、現在では異なる場合があります)


記事の要約

  • Microsoft SharePoint Server各バージョンで情報漏洩の脆弱性
  • CVE-2024-49064として識別される深刻な脆弱性
  • 影響を受けるバージョンへのアップデートが必須

Microsoft SharePoint Serverの情報漏洩に関する脆弱性

Microsoftは2024年12月10日、SharePoint Enterprise Server 2016、SharePoint Server 2019、SharePoint Server Subscription Editionに影響を及ぼす情報漏洩の脆弱性を公開した。この脆弱性はCVE-2024-49064として識別され、CVSSスコア6.5の中程度の深刻度と評価されている。[1]

SharePoint Enterprise Server 2016では16.0.5478.1000より前のバージョン、SharePoint Server 2019では16.0.10416.20026より前のバージョン、SharePoint Server Subscription Editionでは16.0.17928.20290より前のバージョンが影響を受けることが判明した。この脆弱性は不適切なXML外部エンティティ参照の制限に関連しており、CWE-611に分類される問題である。

脆弱性の影響を受けるプラットフォームはx64ベースのシステムに限定されており、攻撃者がリモートから攻撃を実行する可能性がある。ユーザーの操作が必要となるものの、認証情報は不要であり、情報漏洩のリスクが高い状態となっている。

SharePoint Serverの影響を受けるバージョンまとめ

製品名 影響を受けるバージョン
SharePoint Enterprise Server 2016 16.0.0から16.0.5478.1000未満
SharePoint Server 2019 16.0.0から16.0.10416.20026未満
SharePoint Server Subscription Edition 16.0.0から16.0.17928.20290未満
プラットフォーム x64ベースシステム
CVSSスコア 6.5(中程度)

XML外部エンティティ参照について

XML外部エンティティ参照とは、XMLドキュメント内で外部リソースを参照する機能のことを指しており、主な特徴として以下のような点が挙げられる。

  • 外部ファイルやネットワークリソースの読み込みが可能
  • DTD(Document Type Definition)で定義される参照機能
  • 不適切な設定により情報漏洩のリスクが発生

Microsoft SharePointの脆弱性はXML外部エンティティ参照の不適切な制限に起因しており、攻撃者が特別に細工したリクエストを送信することで情報漏洩を引き起こす可能性がある。この問題はCWE-611として分類され、Webアプリケーションセキュリティにおいて重要な脆弱性の一つとして認識されている。

SharePoint Serverの脆弱性に関する考察

SharePointは企業の重要な情報資産を扱うことが多く、今回の脆弱性は情報漏洩のリスクを高める深刻な問題となっている。特に認証が不要でユーザーの操作のみで攻撃が可能という特徴は、ソーシャルエンジニアリングと組み合わせた攻撃シナリオを想定する必要があるだろう。

今後は組織内のSharePointサーバーのバージョン管理をより厳格に行い、セキュリティアップデートの適用を迅速に実施する体制構築が重要となる。同時にXML外部エンティティ参照に関連する設定の見直しや、不要な外部参照機能の無効化なども検討する必要があるだろう。

将来的にはXML処理におけるセキュリティ機能の強化や、外部リソース参照時の追加的な認証メカニズムの実装も期待される。SharePointの重要性を考慮すると、セキュリティ対策の多層化と運用管理体制の整備が不可欠となる。

参考サイト

  1. ^ CVE. 「CVE-2024-49064 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-49064, (参照 25-01-16).
  2. Microsoft. https://www.microsoft.com/ja-jp

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧
アーカイブ一覧
セキュリティに関する人気タグ
セキュリティに関するカテゴリ
ブログに戻る

コメントを残す

コメントは公開前に承認される必要があることにご注意ください。