スロットマシン グレアおじいちゃん 夏

News

セキュリティエンジニアが気になったニュースまとめ 2023/4/3~4/9
2023.04.12

セキュリティエンジニアが気になったニュースまとめ 2023/4/3~4/9

最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。

2023/04/04

国土数値情報データ変換ツールに XML 外部実体参照(XXE)に関する脆弱性

概要
国土交通省が提供する国土数値情報データ変換ツールには、XML 外部実体参照 (XXE) に関する脆弱性 (CWE-611) が存在します。

(中略)

想定される影響
細工された XML ファイルを読み込むことにより、任意のファイルにアクセスされる可能性があります。

XML外部実体参照とは、XMLドキュメント内で他の外部ドキュメントを参照するための機能です。
しかし、この機能を悪用されると、攻撃者によってサーバー内部の任意のファイルにアクセスされる可能性があります。
非常に危険な脆弱性のため、当該ツールの提供が停止されています。
また、すでに当該ツールをダウンロードしている利用者には利用停止と削除が公式より呼びかけられています。
 

2023/04/07

gesellix titlelink における SQL インジェクションの脆弱性

概要
gesellix titlelink には、SQL インジェクションの脆弱性が存在します。

(中略)

想定される影響
情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。

SQLインジェクション脆弱性がある場合、攻撃者によりアプリケーションに不正なSQL文を送り込まれることで、データベースを不正に操作されてしまう可能性があります。
具体的にはデータベースに格納されている情報を盗み出されたり、改ざんされることになります。
当該プラグインでは、エスケープ処理を入れることで脆弱性の対応をしたようです。
 

2023/04/07

WordPress 用 User Post Gallery – UPG プラグインにおけるコマンドインジェクションの脆弱性

概要
WordPress 用 User Post Gallery – UPG プラグインには、コマンドインジェクションの脆弱性が存在します。

(中略)

想定される影響
情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。

認証を回避できてしまう脆弱性があるため、認証されていない攻撃者が任意のPHP関数を呼び出して、webshellを追加できる可能性があります。その結果、任意のコマンドを実行され情報漏洩や改ざんが起こる可能性があります。
 

2023/04/07

MooTools における非効率的な正規表現の複雑さ

概要
MooTools には、非効率的な正規表現の複雑さが存在します。

(中略)

想定される影響
サービス運用妨害 (DoS) 状態にされる可能性があります。

正規表現を使ったパターンマッチングは、非常に多くの計算量が必要な場合があります。
脆弱な正規表現において、攻撃者により任意の文字列を挿入できる場合、サーバーのリソースを占有して可用性を侵害されてしまう可能性があります。
 

2023/04/07

sumocoders FrameworkUserBundle におけるエラーメッセージによる情報漏えいに関する脆弱性

概要
sumocoders FrameworkUserBundle には、エラーメッセージによる情報漏えいに関する脆弱性が存在します。

(中略)

想定される影響
情報を取得される可能性があります。

アプリケーションが出力するエラーメッセージは攻撃者にとって有益な情報となる場合があります。
機密情報の出力はもちろんNGですが、一見無害に見えるエラーコードやスタックトレースからも別の攻撃のためのヒントとなり得るため注意が必要です。
 

まとめのまとめ

先週は危険度の高い脆弱性がいくつも報告されました。
ユーザー側は、最新のアップデートを行い、セキュリティ対策をしっかりと行うことが必要です。また、システム側も脆弱性の存在を認識し、積極的に対策を行うことが求められています。

担当:HT

Recent News

Recent Tips

Tag Search