« ■06/20(日)~06/26(土) のセキュリティ関連情報 | メイン | ■07/04(日)~07/10(土) のセキュリティ関連情報 »

2021年7月 7日 (水)

■06/27(日)~07/03(土) のセキュリティ関連情報

目 次

【1】Windows印刷スプーラーのリモートコード実行の脆弱性
【2】EC-CUBEにアクセス制限不備の脆弱性
【3】boastMachineにクロスサイトスクリプティングの脆弱性
【4】IKaIKa RSSリーダーにクロスサイトスクリプティングの脆弱性
【5】三菱電機製空調管理システムのWEB機能に認証アルゴリズムの不適切な実装に関する脆弱性
【6】三菱電機製空調管理システムにXML外部実体参照(XXE)の不適切な制限に関する脆弱性
【今週のひとくちメモ】金融庁が「ゼロトラストの現状調査と事例分析に関する調査報告書」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr212601.html
https://www.jpcert.or.jp/wr/2021/wr212601.xml
============================================================================


【1】Windows印刷スプーラーのリモートコード実行の脆弱性

情報源
CERT/CC Vulnerability Note VU#383432
Microsoft Windows Print Spooler allows for RCE via AddPrinterDriverEx()
https://www.kb.cert.org/vuls/id/383432

概要
Microsoft WindowsのPrint Spoolerサービスには、アクセス制限の不備に起因
したリモートコード実行の脆弱性があります。その結果、遠隔の第三者がSYSTEM
権限で任意のコードを実行する可能性があります。

対象となる製品は次のとおりです。

- Windows Server 2008
- Windows Server 2008 R2
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Windows Server
- Windows 7
- Windows 8.1
- Windows RT 8.1
- Windows 10

この問題は、マイクロソフト株式会社が提供する更新プログラムを適用するこ
とで解決します。詳しくはマイクロソフト株式会社が提供する情報を参照して
ください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#96262037
Microsoft Windowsの印刷スプーラーにリモートコード実行の脆弱性
https://jvn.jp/vu/JVNVU96262037/

関連文書 (英語)
マイクロソフト株式会社
Windows Print Spooler Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

マイクロソフト株式会社
KB5005010: Restricting installation of new printer drivers after applying the July 6, 2021 updates
https://support.microsoft.com/en-US/topic/kb5005010-restricting-installation-of-new-printer-drivers-after-applying-the-july-6-2021-updates-31b91c02-05bc-4ada-a7ea-183b129578a7

【2】EC-CUBEにアクセス制限不備の脆弱性

情報源
Japan Vulnerability Notes JVN#57942445
EC-CUBE におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN57942445/

概要
EC-CUBEには、アクセス制限不備の脆弱性があります。結果として、遠隔の第
三者が機微な情報を取得する可能性があります。

対象となるバージョンは次のとおりです。

- EC-CUBE 4.0.6(EC-CUBE 4系)

この問題は、株式会社イーシーキューブが提供する修正済みのバージョンに更
新するか、パッチを適用することで解決します。詳細は、株式会社イーシーキュー
ブが提供する情報を参照してください。

関連文書 (日本語)
株式会社イーシーキューブ
EC-CUBE 4.0.6 におけるアクセス制限不備の脆弱性
https://www.ec-cube.net/info/weakness/weakness.php?id=80

【3】boastMachineにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#65660590
boastMachine におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN65660590/

概要
boastMachineには、クロスサイトスクリプティングの脆弱性があります。結果
として、遠隔の第三者が、当該製品を使用しているサイトにアクセスしたユー
ザーのWebブラウザー上で、任意のスクリプトを実行する可能性があります。

対象となるバージョンは次のとおりです。

- boastMachineすべてのバージョン

当該製品のサポートはすでに終了しています。当該製品の使用を停止してくだ
さい。

関連文書 (英語)
knadh
boastmachine
https://github.com/knadh/boastmachine

【4】IKaIKa RSSリーダーにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#15185184
IKaIKa RSSリーダーにおけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN15185184/

概要
IKaIKa RSSリーダーには、クロスサイトスクリプティングの脆弱性があります。
結果として、遠隔の第三者が、当該製品が動作するWebブラウザー上で任意の
スクリプトを実行する可能性があります。

対象となるバージョンは次のとおりです。

- IKaIKa RSSリーダーすべてのバージョン

当該製品のサポートはすでに終了しています。当該製品の使用を停止してくだ
さい。

【5】三菱電機製空調管理システムのWEB機能に認証アルゴリズムの不適切な実装に関する脆弱性

情報源
Japan Vulnerability Notes JVNVU#96046575
三菱電機製空調管理システムの WEB 機能における認証アルゴリズムの不適切な実装に関する脆弱性
https://jvn.jp/vu/JVNVU96046575/

概要
三菱電機製空調管理システムのWEB機能には、認証アルゴリズムの不適切な実
装に関する脆弱性があります。結果として、当該製品のWEB機能にログイン可
能な遠隔の第三者が、当該空調管理システムの運転操作や設定情報を改ざんす
るなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- G-50 Ver.2.50から3.35まで
- G-50-W Ver.2.50から3.35まで
- GB-50 Ver.2.50から3.35まで
- G-150AD Ver.3.20およびそれ以前
- GB-50AD Ver.3.20およびそれ以前
- AE-200J Ver.7.93およびそれ以前
- AE-50J Ver.7.93およびそれ以前
- EW-50J Ver.7.93およびそれ以前
- PAC-YG50EC Ver.2.20およびそれ以前

この問題は、三菱電機株式会社が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、三菱電機株式会社が提供する情報を参照してくださ
い。

関連文書 (日本語)
三菱電機株式会社
空調管理システムのWEB機能における権限昇格の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-004.pdf

三菱電機エンジニアリング株式会社
CB型空調システム制御ボックスにおける権限昇格の脆弱性
http://www.mee.co.jp/psirt/vulnerability/pdf/2021-001.pdf

【6】三菱電機製空調管理システムにXML外部実体参照(XXE)の不適切な制限に関する脆弱性

情報源
Japan Vulnerability Notes JVNVU#93086468
三菱電機製空調管理システムにおける XML 外部実体参照 (XXE) の不適切な制限に関する脆弱性
https://jvn.jp/vu/JVNVU93086468/

概要
三菱電機製空調管理システムには、XML外部実体参照(XXE)の不適切な制限に
関する脆弱性があります。結果として、遠隔の第三者が、当該機器内部の一部
の情報を窃取したり、当該機器がサービス運用妨害(DoS)状態になったりす
る可能性があります。

対象となる製品およびバージョンは次のとおりです。

- G-50 Ver.3.35およびそれ以前
- G-50-W Ver.3.35およびそれ以前
- GB-50 Ver.3.35およびそれ以前
- G-150AD Ver.3.20およびそれ以前
- GB-50AD Ver.3.20およびそれ以前
- AE-200J Ver.7.93およびそれ以前
- AE-50J Ver.7.93およびそれ以前
- EW-50J Ver.7.93およびそれ以前
- PAC-YG50EC Ver.2.20およびそれ以前
- PAC-YW01BAC Ver.5.13およびそれ以前
- PAC-YW51BAC Ver.8.11およびそれ以前

この問題は、三菱電機株式会社が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、三菱電機株式会社が提供する情報を参照してくださ
い。

関連文書 (日本語)
三菱電機株式会社
空調管理システムにおける情報漏えい等の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-005.pdf

三菱電機エンジニアリング株式会社
CB型空調システム制御ボックスにおける情報漏えい等の脆弱性
http://www.mee.co.jp/psirt/vulnerability/pdf/2021-002.pdf


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○金融庁が「ゼロトラストの現状調査と事例分析に関する調査報告書」を公開

2021年6月30日、金融庁は「ゼロトラストの現状調査と事例分析に関する調査
報告書」を公開しました。本報告書は、ゼロトラストセキュリティモデルにつ
いて、国内・海外金融機関および国内企業における採用に向けた検討や取り組
みの事例などを調査しています。セキュリティ・アーキテクチャーの見直しや
高度化を行う上でのヒントとなるポイントや、ゼロトラストセキュリティモデ
ルの適用を進める上での考え方の考察を実施しています。

参考文献 (日本語)
金融庁
「ゼロトラストの現状調査と事例分析に関する調査報告書」の公表について
https://www.fsa.go.jp/common/about/research/20210630.html

コメント

この記事へのコメントは終了しました。