更新:Barracuda 製 Email Security Gateway Appliance (ESG) の脆弱性について(CVE-2023-7102)(CVE-2023-7101)

情報セキュリティ04

概要

バラクーダネットワークスが提供する「Email Security Gateway Appliance (ESG)」は、セキュリティ対策製品です。
この製品において、任意のコード実行の脆弱性が確認されています。
本脆弱性が悪用された場合、遠隔の認証されていない第三者により、任意のコードを実行される可能性があります。

製品開発者によると本脆弱性を悪用する攻撃が既に確認されているとのことです。

-- 2024 年 1 月 5 日更新 ---
「Barracuda Email Security Gateway(ESG)」は、Excel ファイルの解析機能を提供するオープンソースライブラリ「Spreadsheet::ParseExcel」を利用しています。

本脆弱性 (CVE-2023-7102) は「Spreadsheet::ParseExcel」の脆弱性 (CVE-2023-7101) に起因しています。
「Spreadsheet::ParseExcel」について、脆弱性 (CVE-2023-7101)を修正するためのバージョン 0.66 が公開されました。
そのため、独自の製品またはサービスで「Spreadsheet::ParseExcel」を利用している製品開発者等は、同ライブラリを最新バージョンにアップグレードしてください。

影響を受けるシステム

・Barracuda Email Security Gateway Appliance (ESG) バージョン 5.1.3.001 から 9.2.1.001 まで

対策

脆弱性の解消 - 修正プログラムの適用

セキュリティ更新プログラムを適用してください。
Barracuda Email Security Gateway Appliance については、開発者によると、セキュリティ更新プログラムは自動で適用されるとのことです。


参照:IPA 情報処理推進機構


-脆弱性