-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


                                                         JPCERT-WR-2021-2601
                                                                   JPCERT/CC
                                                                  2021-07-07

            <<< JPCERT/CC WEEKLY REPORT 2021-07-07 >>>

――――――――――――――――――――――――――――――――――――――
■06/27(日)〜07/03(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】Windows印刷スプーラーのリモートコード実行の脆弱性
【2】EC-CUBEにアクセス制限不備の脆弱性
【3】boastMachineにクロスサイトスクリプティングの脆弱性
【4】IKaIKa RSSリーダーにクロスサイトスクリプティングの脆弱性
【5】三菱電機製空調管理システムのWEB機能に認証アルゴリズムの不適切な実装に関する脆弱性
【6】三菱電機製空調管理システムにXML外部実体参照（XXE）の不適切な制限に関する脆弱性
【今週のひとくちメモ】金融庁が「ゼロトラストの現状調査と事例分析に関する調査報告書」を公開

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2021/wr212601.html
        https://www.jpcert.or.jp/wr/2021/wr212601.xml
============================================================================


【1】Windows印刷スプーラーのリモートコード実行の脆弱性

    情報源
      CERT/CC Vulnerability Note VU#383432
      Microsoft Windows Print Spooler allows for RCE via AddPrinterDriverEx()
      https://www.kb.cert.org/vuls/id/383432

    概要
      Microsoft WindowsのPrint Spoolerサービスには、アクセス制限の不備に起因
      したリモートコード実行の脆弱性があります。その結果、遠隔の第三者がSYSTEM
      権限で任意のコードを実行する可能性があります。

      対象となる製品は次のとおりです。

      - Windows Server 2008
      - Windows Server 2008 R2
      - Windows Server 2012
      - Windows Server 2012 R2
      - Windows Server 2016
      - Windows Server 2019
      - Windows Server
      - Windows 7
      - Windows 8.1
      - Windows RT 8.1
      - Windows 10

      この問題は、マイクロソフト株式会社が提供する更新プログラムを適用するこ
      とで解決します。詳しくはマイクロソフト株式会社が提供する情報を参照して
      ください。

    関連文書 (日本語)
      Japan Vulnerability Notes JVNVU#96262037
      Microsoft Windowsの印刷スプーラーにリモートコード実行の脆弱性
      https://jvn.jp/vu/JVNVU96262037/

    関連文書 (英語)
      マイクロソフト株式会社
      Windows Print Spooler Remote Code Execution Vulnerability
      https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

      マイクロソフト株式会社
      KB5005010: Restricting installation of new printer drivers after applying the July 6, 2021 updates
      https://support.microsoft.com/en-US/topic/kb5005010-restricting-installation-of-new-printer-drivers-after-applying-the-july-6-2021-updates-31b91c02-05bc-4ada-a7ea-183b129578a7

【2】EC-CUBEにアクセス制限不備の脆弱性

    情報源
      Japan Vulnerability Notes JVN#57942445
      EC-CUBE におけるアクセス制限不備の脆弱性
      https://jvn.jp/jp/JVN57942445/

    概要
      EC-CUBEには、アクセス制限不備の脆弱性があります。結果として、遠隔の第
      三者が機微な情報を取得する可能性があります。

      対象となるバージョンは次のとおりです。

      - EC-CUBE 4.0.6（EC-CUBE 4系）

      この問題は、株式会社イーシーキューブが提供する修正済みのバージョンに更
      新するか、パッチを適用することで解決します。詳細は、株式会社イーシーキュー
      ブが提供する情報を参照してください。

    関連文書 (日本語)
      株式会社イーシーキューブ
      EC-CUBE 4.0.6 におけるアクセス制限不備の脆弱性
      https://www.ec-cube.net/info/weakness/weakness.php?id=80

【3】boastMachineにクロスサイトスクリプティングの脆弱性

    情報源
      Japan Vulnerability Notes JVN#65660590
      boastMachine におけるクロスサイトスクリプティングの脆弱性
      https://jvn.jp/jp/JVN65660590/

    概要
      boastMachineには、クロスサイトスクリプティングの脆弱性があります。結果
      として、遠隔の第三者が、当該製品を使用しているサイトにアクセスしたユー
      ザーのWebブラウザー上で、任意のスクリプトを実行する可能性があります。

      対象となるバージョンは次のとおりです。

      - boastMachineすべてのバージョン

      当該製品のサポートはすでに終了しています。当該製品の使用を停止してくだ
      さい。

    関連文書 (英語)
      knadh
      boastmachine
      https://github.com/knadh/boastmachine

【4】IKaIKa RSSリーダーにクロスサイトスクリプティングの脆弱性

    情報源
      Japan Vulnerability Notes JVN#15185184
      IKaIKa RSSリーダーにおけるクロスサイトスクリプティングの脆弱性
      https://jvn.jp/jp/JVN15185184/

    概要
      IKaIKa RSSリーダーには、クロスサイトスクリプティングの脆弱性があります。
      結果として、遠隔の第三者が、当該製品が動作するWebブラウザー上で任意の
      スクリプトを実行する可能性があります。

      対象となるバージョンは次のとおりです。

      - IKaIKa RSSリーダーすべてのバージョン

      当該製品のサポートはすでに終了しています。当該製品の使用を停止してくだ
      さい。

【5】三菱電機製空調管理システムのWEB機能に認証アルゴリズムの不適切な実装に関する脆弱性

    情報源
      Japan Vulnerability Notes JVNVU#96046575
      三菱電機製空調管理システムの WEB 機能における認証アルゴリズムの不適切な実装に関する脆弱性
      https://jvn.jp/vu/JVNVU96046575/

    概要
      三菱電機製空調管理システムのWEB機能には、認証アルゴリズムの不適切な実
      装に関する脆弱性があります。結果として、当該製品のWEB機能にログイン可
      能な遠隔の第三者が、当該空調管理システムの運転操作や設定情報を改ざんす
      るなどの可能性があります。

      対象となる製品およびバージョンは次のとおりです。

      - G-50 Ver.2.50から3.35まで
      - G-50-W Ver.2.50から3.35まで
      - GB-50 Ver.2.50から3.35まで
      - G-150AD Ver.3.20およびそれ以前
      - GB-50AD Ver.3.20およびそれ以前
      - AE-200J Ver.7.93およびそれ以前
      - AE-50J Ver.7.93およびそれ以前
      - EW-50J Ver.7.93およびそれ以前
      - PAC-YG50EC Ver.2.20およびそれ以前

      この問題は、三菱電機株式会社が提供する修正済みのバージョンに更新するこ
      とで解決します。詳細は、三菱電機株式会社が提供する情報を参照してくださ
      い。

    関連文書 (日本語)
      三菱電機株式会社
      空調管理システムのWEB機能における権限昇格の脆弱性
      https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-004.pdf

      三菱電機エンジニアリング株式会社
      CB型空調システム制御ボックスにおける権限昇格の脆弱性
      http://www.mee.co.jp/psirt/vulnerability/pdf/2021-001.pdf

【6】三菱電機製空調管理システムにXML外部実体参照（XXE）の不適切な制限に関する脆弱性

    情報源
      Japan Vulnerability Notes JVNVU#93086468
      三菱電機製空調管理システムにおける XML 外部実体参照 (XXE) の不適切な制限に関する脆弱性
      https://jvn.jp/vu/JVNVU93086468/

    概要
      三菱電機製空調管理システムには、XML外部実体参照（XXE）の不適切な制限に
      関する脆弱性があります。結果として、遠隔の第三者が、当該機器内部の一部
      の情報を窃取したり、当該機器がサービス運用妨害（DoS）状態になったりす
      る可能性があります。

      対象となる製品およびバージョンは次のとおりです。

      - G-50 Ver.3.35およびそれ以前
      - G-50-W Ver.3.35およびそれ以前
      - GB-50 Ver.3.35およびそれ以前
      - G-150AD Ver.3.20およびそれ以前
      - GB-50AD Ver.3.20およびそれ以前
      - AE-200J Ver.7.93およびそれ以前
      - AE-50J Ver.7.93およびそれ以前
      - EW-50J Ver.7.93およびそれ以前
      - PAC-YG50EC Ver.2.20およびそれ以前
      - PAC-YW01BAC Ver.5.13およびそれ以前
      - PAC-YW51BAC Ver.8.11およびそれ以前

      この問題は、三菱電機株式会社が提供する修正済みのバージョンに更新するこ
      とで解決します。詳細は、三菱電機株式会社が提供する情報を参照してくださ
      い。

    関連文書 (日本語)
      三菱電機株式会社
      空調管理システムにおける情報漏えい等の脆弱性
      https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-005.pdf

      三菱電機エンジニアリング株式会社
      CB型空調システム制御ボックスにおける情報漏えい等の脆弱性
      http://www.mee.co.jp/psirt/vulnerability/pdf/2021-002.pdf


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○金融庁が「ゼロトラストの現状調査と事例分析に関する調査報告書」を公開

      2021年6月30日、金融庁は「ゼロトラストの現状調査と事例分析に関する調査
      報告書」を公開しました。本報告書は、ゼロトラストセキュリティモデルにつ
      いて、国内・海外金融機関および国内企業における採用に向けた検討や取り組
      みの事例などを調査しています。セキュリティ・アーキテクチャーの見直しや
      高度化を行う上でのヒントとなるポイントや、ゼロトラストセキュリティモデ
      ルの適用を進める上での考え方の考察を実施しています。

    参考文献 (日本語)
      金融庁
      「ゼロトラストの現状調査と事例分析に関する調査報告書」の公表について
      https://www.fsa.go.jp/common/about/research/20210630.html


――――――――――――――――――――――――――――――――――――――
■JPCERT/CCからのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下のURLからご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下のURLを参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

-----BEGIN PGP SIGNATURE-----
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=UBLI
-----END PGP SIGNATURE-----