【テックラジオ】巷のセキュリティ 2023年01月25日

その日に起こった脆弱性報告、セキュリティニュース、インシデント・障害情報などをできるだけ毎日まとめています。

広告

本日の巷のニュース 

  • VMwareのログ管理ツールに複数の脆弱性
  • コンテック製CONPROSYS HMI Systemに複数のSQLインジェクションの脆弱性
  • ActiveRecord にSQL インジェクションの脆弱性

おまけ

  • 「Microsoft 365」サービスに障害発生したね

VMwareのログ管理ツールに複数の脆弱性

VMwareのログ管理ツールであるVMware vRealize Log Insightにはディレクトリトラバーサル、アクセス制御が破られるといった複数の脆弱性が存在します。

影響をうける対象

  • VMware vRealize Log Insight: 8.x系
  • VMware Cloud Foundation (VMware vRealize Log Insight):4.x, 3.x

対処方法

  • VMware vRealize Log Insight:8.10.2以上へのバージョンへのアップデート
  • VMware Cloud Foundation (VMware vRealize Log Insight):4.4.1 以上へのアップデート

一次情報

  • https://www.vmware.com/security/advisories/VMSA-2023-0001.html

コンテック製CONPROSYS HMI Systemに複数のSQLインジェクションの脆弱性

株式会社コンテックが提供するCONPROSYS HMI System (CHS)には、複数のSQLインジェクションの脆弱性が存在します。

複数の設定画面に対し、特定のパラーメータをPOSTすることでSQLコマンドを変更でき、悪意ある攻撃者に利用されることで情報の盗用が行われる可能性があります。

影響をうける対象

  • CONPROSYS HMI System (CHS) Ver.3.5.0およびそれ以前のバージョン

対処方法

  • Ver.3.5.1 以降へのアップデート(リンク

一次情報

  • https://jvn.jp/vu/JVNVU97195023/index.html

ActiveRecord にSQL インジェクションの脆弱性

Railsで採用されているORマッパーのActiveRecordにはSQLインジェクションの脆弱性が存在します。

悪意のあるユーザー入力が、annotateクエリーメソッド、optimizer_hintsクエリーメソッド、または自動的に注釈を追加するQueryLogsインターフェースに渡されると、不十分なサニタイズでデータベースに送られ、コメント外のSQLを注入できる場合があります。

影響をうける対象

  • 6.0.x バージョン 6.0.6.1未満
  • 6.1.x バージョン 6.1.7.1未満
  • 7.0.0 バージョン 7.0.4.1未満

対処方法

  • 6.0.6.1以上にアップデート
  • 6.1.7.1以上にアップデート
  • 7.0.4.1以上にアップデート

一次情報

  • https://securityonline.info/cve-2023-22794-rubygems-activerecord-sql-injection-vulnerability/

「Microsoft 365」サービスに障害発生したね

Micorsoft365 が障害だったね。

ちょうどTeamsで会議していたので大荒れでした。

一次情報

  • https://forest.watch.impress.co.jp/docs/news/1473149.html
  • https://twitter.com/MSFT365Status/status/1618149579341369345?s=20