【テックラジオ】巷のセキュリティ 2022年12月15日

その日に起こった脆弱性報告、セキュリティニュース、インシデント・障害情報などをできるだけ毎日まとめています。

広告

本日の巷のニュース 

  • Redmineにクロスサイトスクリプティングの脆弱性
  • シャープ製デジタル複合機にコマンドインジェクションの脆弱性
  • Zabbix Web Service Report Generationに任意ファイル読み込みの脆弱性

おまけ

  • 世界初の「ポータブル量子コンピュータ」が発売!

Redmineにクロスサイトスクリプティングの脆弱性

プロジェクト管理ソフトウェアであるRedmineにはクロスサイトスクリプティングの脆弱性が存在します。

影響をうける対象

  • Redmine すべてのバージョン

テキストフォーマット言語として Textile を使用している場合に影響をうける

対処方法

下記最新版へのアップデート

  • Redmine バージョン 4.2.9
  • Redmine バージョン 5.0.4

一次情報

  • https://cwe.mitre.org/data/definitions/79.html
  • https://jvn.jp/jp/JVN60211811/index.html

シャープ製デジタル複合機にコマンドインジェクションの脆弱性

シャープ株式会社が提供する複数のデジタル複合機には、コマンドインジェクションの脆弱性が存在します。

影響をうける対象

  • デジタルフルカラー複合機
  • デジタル複合機(モノクロ)

上記の数十種類の危機に影響があります。下記の状態で任意のコマンドを実行されます。

  • 攻撃者が対象の複合機の管理者パスワードを知っていること
  • 攻撃者が対象の複合機にネットワーク経由で接続可能であること

管理者パスワードが適切に保護されている状態などの場合は影響を受けません。

対処方法

  1.  ファームウェアのアップデート
  2. 緩和策の実施
    • 複合機をインターネットに直接接続せず、ファイアウォールやルーター等で保護されたネットワーク内で使用する。
    • 複合機の管理者パスワードを工場出荷時の初期値から変更し、適切に管理する。

    一次情報

    • https://jp.sharp/business/print/information/info_security_2022-11.html
    • https://jvn.jp/vu/JVNVU96195138/index.html

    Zabbix Web Service Report Generationに任意ファイル読み込みの脆弱性

    統合監視ツールのZabbixには認証なしでファイルシステム上の任意のファイルを読み取ることができる脆弱性が存在します。

    影響をうける対象

    下記2つの条件によって影響をうけます。

    • zabbix_web_service.confファイルで攻撃者のIPからのアクセスを許可している
    • 被害サーバにGoogle Chromeがインストールされている

    対処方法

    1. 下記バージョンへのアップデート
      • 6.0.12rc1
      • 6.2.6rc1
      • 6.4.0rc1
    2. 緩和策実施
      • ネットワークアクセスを制限

    一次情報

    • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-46768
    • https://support.zabbix.com/browse/ZBX-22087

    おまけ:世界初の「ポータブル量子コンピュータ」が発売したってよ

    世界初の「ポータブル量子コンピュータ」が発売したってよ!

    スイッチサイエンスで買えるらしい。お値段は570万円から!安いね!富豪エンジニアは買ってレビューしてくれ。。

    ソース

    • https://pc.watch.impress.co.jp/docs/news/1463929.html
    • https://www.switch-science.com/products/8679