概要
その日に起こった脆弱性報告、セキュリティニュース、インシデント・障害情報などをできるだけ毎日まとめています。
本日の巷のニュース
- VMwareのログ管理ツールに複数の脆弱性
- コンテック製CONPROSYS HMI Systemに複数のSQLインジェクションの脆弱性
- ActiveRecord にSQL インジェクションの脆弱性
おまけ
- 「Microsoft 365」サービスに障害発生したね
VMwareのログ管理ツールに複数の脆弱性
VMwareのログ管理ツールであるVMware vRealize Log Insightにはディレクトリトラバーサル、アクセス制御が破られるといった複数の脆弱性が存在します。
影響をうける対象
- VMware vRealize Log Insight: 8.x系
- VMware Cloud Foundation (VMware vRealize Log Insight):4.x, 3.x
対処方法
- VMware vRealize Log Insight:8.10.2以上へのバージョンへのアップデート
- VMware Cloud Foundation (VMware vRealize Log Insight):4.4.1 以上へのアップデート
一次情報
- https://www.vmware.com/security/advisories/VMSA-2023-0001.html
コンテック製CONPROSYS HMI Systemに複数のSQLインジェクションの脆弱性
株式会社コンテックが提供するCONPROSYS HMI System (CHS)には、複数のSQLインジェクションの脆弱性が存在します。
複数の設定画面に対し、特定のパラーメータをPOSTすることでSQLコマンドを変更でき、悪意ある攻撃者に利用されることで情報の盗用が行われる可能性があります。
影響をうける対象
- CONPROSYS HMI System (CHS) Ver.3.5.0およびそれ以前のバージョン
対処方法
- Ver.3.5.1 以降へのアップデート(リンク)
一次情報
- https://jvn.jp/vu/JVNVU97195023/index.html
ActiveRecord にSQL インジェクションの脆弱性
Railsで採用されているORマッパーのActiveRecordにはSQLインジェクションの脆弱性が存在します。
悪意のあるユーザー入力が、annotateクエリーメソッド、optimizer_hintsクエリーメソッド、または自動的に注釈を追加するQueryLogsインターフェースに渡されると、不十分なサニタイズでデータベースに送られ、コメント外のSQLを注入できる場合があります。
影響をうける対象
- 6.0.x バージョン 6.0.6.1未満
- 6.1.x バージョン 6.1.7.1未満
- 7.0.0 バージョン 7.0.4.1未満
対処方法
- 6.0.6.1以上にアップデート
- 6.1.7.1以上にアップデート
- 7.0.4.1以上にアップデート
一次情報
- https://securityonline.info/cve-2023-22794-rubygems-activerecord-sql-injection-vulnerability/
「Microsoft 365」サービスに障害発生したね
Micorsoft365 が障害だったね。
ちょうどTeamsで会議していたので大荒れでした。
一次情報
- https://forest.watch.impress.co.jp/docs/news/1473149.html
- https://twitter.com/MSFT365Status/status/1618149579341369345?s=20