<<< JPCERT/CC WEEKLY REPORT 2021-07-07 >>>
■06/27(日)〜07/03(土) のセキュリティ関連情報
目 次
【1】Windows印刷スプーラーのリモートコード実行の脆弱性
【2】EC-CUBEにアクセス制限不備の脆弱性
【3】boastMachineにクロスサイトスクリプティングの脆弱性
【4】IKaIKa RSSリーダーにクロスサイトスクリプティングの脆弱性
【5】三菱電機製空調管理システムのWEB機能に認証アルゴリズムの不適切な実装に関する脆弱性
【6】三菱電機製空調管理システムにXML外部実体参照(XXE)の不適切な制限に関する脆弱性
【今週のひとくちメモ】金融庁が「ゼロトラストの現状調査と事例分析に関する調査報告書」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr212601.txt
https://www.jpcert.or.jp/wr/2021/wr212601.xml
【1】Windows印刷スプーラーのリモートコード実行の脆弱性
情報源
CERT/CC Vulnerability Note VU#383432
Microsoft Windows Print Spooler allows for RCE via AddPrinterDriverEx()
https://www.kb.cert.org/vuls/id/383432
概要
Microsoft WindowsのPrint Spoolerサービスには、アクセス制限の不備に起因 したリモートコード実行の脆弱性があります。その結果、遠隔の第三者がSYSTEM 権限で任意のコードを実行する可能性があります。 対象となる製品は次のとおりです。 - Windows Server 2008 - Windows Server 2008 R2 - Windows Server 2012 - Windows Server 2012 R2 - Windows Server 2016 - Windows Server 2019 - Windows Server - Windows 7 - Windows 8.1 - Windows RT 8.1 - Windows 10 この問題は、マイクロソフト株式会社が提供する更新プログラムを適用するこ とで解決します。詳しくはマイクロソフト株式会社が提供する情報を参照して ください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#96262037
Microsoft Windowsの印刷スプーラーにリモートコード実行の脆弱性
https://jvn.jp/vu/JVNVU96262037/
関連文書 (英語)
マイクロソフト株式会社
Windows Print Spooler Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527マイクロソフト株式会社
KB5005010: Restricting installation of new printer drivers after applying the July 6, 2021 updates
https://support.microsoft.com/en-US/topic/kb5005010-restricting-installation-of-new-printer-drivers-after-applying-the-july-6-2021-updates-31b91c02-05bc-4ada-a7ea-183b129578a7
【2】EC-CUBEにアクセス制限不備の脆弱性
情報源
Japan Vulnerability Notes JVN#57942445
EC-CUBE におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN57942445/
概要
EC-CUBEには、アクセス制限不備の脆弱性があります。結果として、遠隔の第 三者が機微な情報を取得する可能性があります。 対象となるバージョンは次のとおりです。 - EC-CUBE 4.0.6(EC-CUBE 4系) この問題は、株式会社イーシーキューブが提供する修正済みのバージョンに更 新するか、パッチを適用することで解決します。詳細は、株式会社イーシーキュー ブが提供する情報を参照してください。
関連文書 (日本語)
株式会社イーシーキューブ
EC-CUBE 4.0.6 におけるアクセス制限不備の脆弱性
https://www.ec-cube.net/info/weakness/weakness.php?id=80
【3】boastMachineにクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#65660590
boastMachine におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN65660590/
概要
boastMachineには、クロスサイトスクリプティングの脆弱性があります。結果 として、遠隔の第三者が、当該製品を使用しているサイトにアクセスしたユー ザーのWebブラウザー上で、任意のスクリプトを実行する可能性があります。 対象となるバージョンは次のとおりです。 - boastMachineすべてのバージョン 当該製品のサポートはすでに終了しています。当該製品の使用を停止してくだ さい。
関連文書 (英語)
knadh
boastmachine
https://github.com/knadh/boastmachine
【4】IKaIKa RSSリーダーにクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#15185184
IKaIKa RSSリーダーにおけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN15185184/
概要
IKaIKa RSSリーダーには、クロスサイトスクリプティングの脆弱性があります。 結果として、遠隔の第三者が、当該製品が動作するWebブラウザー上で任意の スクリプトを実行する可能性があります。 対象となるバージョンは次のとおりです。 - IKaIKa RSSリーダーすべてのバージョン 当該製品のサポートはすでに終了しています。当該製品の使用を停止してくだ さい。
【5】三菱電機製空調管理システムのWEB機能に認証アルゴリズムの不適切な実装に関する脆弱性
情報源
Japan Vulnerability Notes JVNVU#96046575
三菱電機製空調管理システムの WEB 機能における認証アルゴリズムの不適切な実装に関する脆弱性
https://jvn.jp/vu/JVNVU96046575/
概要
三菱電機製空調管理システムのWEB機能には、認証アルゴリズムの不適切な実 装に関する脆弱性があります。結果として、当該製品のWEB機能にログイン可 能な遠隔の第三者が、当該空調管理システムの運転操作や設定情報を改ざんす るなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - G-50 Ver.2.50から3.35まで - G-50-W Ver.2.50から3.35まで - GB-50 Ver.2.50から3.35まで - G-150AD Ver.3.20およびそれ以前 - GB-50AD Ver.3.20およびそれ以前 - AE-200J Ver.7.93およびそれ以前 - AE-50J Ver.7.93およびそれ以前 - EW-50J Ver.7.93およびそれ以前 - PAC-YG50EC Ver.2.20およびそれ以前 この問題は、三菱電機株式会社が提供する修正済みのバージョンに更新するこ とで解決します。詳細は、三菱電機株式会社が提供する情報を参照してくださ い。
関連文書 (日本語)
三菱電機株式会社
空調管理システムのWEB機能における権限昇格の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-004.pdf三菱電機エンジニアリング株式会社
CB型空調システム制御ボックスにおける権限昇格の脆弱性
http://www.mee.co.jp/psirt/vulnerability/pdf/2021-001.pdf
【6】三菱電機製空調管理システムにXML外部実体参照(XXE)の不適切な制限に関する脆弱性
情報源
Japan Vulnerability Notes JVNVU#93086468
三菱電機製空調管理システムにおける XML 外部実体参照 (XXE) の不適切な制限に関する脆弱性
https://jvn.jp/vu/JVNVU93086468/
概要
三菱電機製空調管理システムには、XML外部実体参照(XXE)の不適切な制限に 関する脆弱性があります。結果として、遠隔の第三者が、当該機器内部の一部 の情報を窃取したり、当該機器がサービス運用妨害(DoS)状態になったりす る可能性があります。 対象となる製品およびバージョンは次のとおりです。 - G-50 Ver.3.35およびそれ以前 - G-50-W Ver.3.35およびそれ以前 - GB-50 Ver.3.35およびそれ以前 - G-150AD Ver.3.20およびそれ以前 - GB-50AD Ver.3.20およびそれ以前 - AE-200J Ver.7.93およびそれ以前 - AE-50J Ver.7.93およびそれ以前 - EW-50J Ver.7.93およびそれ以前 - PAC-YG50EC Ver.2.20およびそれ以前 - PAC-YW01BAC Ver.5.13およびそれ以前 - PAC-YW51BAC Ver.8.11およびそれ以前 この問題は、三菱電機株式会社が提供する修正済みのバージョンに更新するこ とで解決します。詳細は、三菱電機株式会社が提供する情報を参照してくださ い。
関連文書 (日本語)
三菱電機株式会社
空調管理システムにおける情報漏えい等の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-005.pdf三菱電機エンジニアリング株式会社
CB型空調システム制御ボックスにおける情報漏えい等の脆弱性
http://www.mee.co.jp/psirt/vulnerability/pdf/2021-002.pdf
■今週のひとくちメモ
○金融庁が「ゼロトラストの現状調査と事例分析に関する調査報告書」を公開
2021年6月30日、金融庁は「ゼロトラストの現状調査と事例分析に関する調査 報告書」を公開しました。本報告書は、ゼロトラストセキュリティモデルにつ いて、国内・海外金融機関および国内企業における採用に向けた検討や取り組 みの事例などを調査しています。セキュリティ・アーキテクチャーの見直しや 高度化を行う上でのヒントとなるポイントや、ゼロトラストセキュリティモデ ルの適用を進める上での考え方の考察を実施しています。
参考文献 (日本語)
金融庁
「ゼロトラストの現状調査と事例分析に関する調査報告書」の公表について
https://www.fsa.go.jp/common/about/research/20210630.html
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/