情報セキュリティ
最終更新日:2024年1月5日
注釈:追記すべき情報がある場合には、その都度このページを更新する予定です。
バラクーダネットワークスが提供する「Email Security Gateway Appliance (ESG)」は、セキュリティ対策製品です。
この製品において、任意のコード実行の脆弱性が確認されています。
本脆弱性が悪用された場合、遠隔の認証されていない第三者により、任意のコードを実行される可能性があります。
製品開発者によると本脆弱性を悪用する攻撃が既に確認されているとのことです。
-- 2024 年 1 月 5 日更新 ---
「Barracuda Email Security Gateway(ESG)」は、Excel ファイルの解析機能を提供するオープンソースライブラリ「Spreadsheet::ParseExcel」を利用しています。
本脆弱性 (CVE-2023-7102) は「Spreadsheet::ParseExcel」の脆弱性 (CVE-2023-7101) に起因しています。
「Spreadsheet::ParseExcel」について、脆弱性 (CVE-2023-7101)を修正するためのバージョン 0.66 が公開されました。
そのため、独自の製品またはサービスで「Spreadsheet::ParseExcel」を利用している製品開発者等は、同ライブラリを最新バージョンにアップグレードしてください。
セキュリティ更新プログラムを適用してください。
Barracuda Email Security Gateway Appliance については、開発者によると、セキュリティ更新プログラムは自動で適用されるとのことです。
IPA セキュリティセンター
注釈:個別のシステムおよび環境に関するご質問を頂いても回答ができない場合があります。詳しくは製品ベンダなどにお問合せください。
2024年1月5日
「概要」及び「対策」の内容を更新
「関連リンク」を追加
2023年12月25日
掲載