JPCERT-WR-2021-2601 2021-07-07 2021-06-27 2021-07-03

CERT/CC Vulnerability Note VU#383432 https://www.kb.cert.org/vuls/id/383432

Microsoft WindowsのPrint Spoolerサービスには、アクセス制限の不備に起因 したリモートコード実行の脆弱性があります。その結果、遠隔の第三者がSYSTEM 権限で任意のコードを実行する可能性があります。 対象となる製品は次のとおりです。 - Windows Server 2008 - Windows Server 2008 R2 - Windows Server 2012 - Windows Server 2012 R2 - Windows Server 2016 - Windows Server 2019 - Windows Server - Windows 7 - Windows 8.1 - Windows RT 8.1 - Windows 10 この問題は、マイクロソフト株式会社が提供する更新プログラムを適用するこ とで解決します。詳しくはマイクロソフト株式会社が提供する情報を参照して ください。

Japan Vulnerability Notes JVNVU#96262037 https://jvn.jp/vu/JVNVU96262037/ マイクロソフト株式会社 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527 マイクロソフト株式会社 https://support.microsoft.com/en-US/topic/kb5005010-restricting-installation-of-new-printer-drivers-after-applying-the-july-6-2021-updates-31b91c02-05bc-4ada-a7ea-183b129578a7

Japan Vulnerability Notes JVN#57942445 https://jvn.jp/jp/JVN57942445/

EC-CUBEには、アクセス制限不備の脆弱性があります。結果として、遠隔の第 三者が機微な情報を取得する可能性があります。 対象となるバージョンは次のとおりです。 - EC-CUBE 4.0.6（EC-CUBE 4系） この問題は、株式会社イーシーキューブが提供する修正済みのバージョンに更 新するか、パッチを適用することで解決します。詳細は、株式会社イーシーキュー ブが提供する情報を参照してください。

株式会社イーシーキューブ https://www.ec-cube.net/info/weakness/weakness.php?id=80

Japan Vulnerability Notes JVN#65660590 https://jvn.jp/jp/JVN65660590/

boastMachineには、クロスサイトスクリプティングの脆弱性があります。結果 として、遠隔の第三者が、当該製品を使用しているサイトにアクセスしたユー ザーのWebブラウザー上で、任意のスクリプトを実行する可能性があります。 対象となるバージョンは次のとおりです。 - boastMachineすべてのバージョン 当該製品のサポートはすでに終了しています。当該製品の使用を停止してくだ さい。

knadh https://github.com/knadh/boastmachine

Japan Vulnerability Notes JVN#15185184 https://jvn.jp/jp/JVN15185184/

IKaIKa RSSリーダーには、クロスサイトスクリプティングの脆弱性があります。 結果として、遠隔の第三者が、当該製品が動作するWebブラウザー上で任意の スクリプトを実行する可能性があります。 対象となるバージョンは次のとおりです。 - IKaIKa RSSリーダーすべてのバージョン 当該製品のサポートはすでに終了しています。当該製品の使用を停止してくだ さい。

Japan Vulnerability Notes JVNVU#96046575 https://jvn.jp/vu/JVNVU96046575/

三菱電機製空調管理システムのWEB機能には、認証アルゴリズムの不適切な実 装に関する脆弱性があります。結果として、当該製品のWEB機能にログイン可 能な遠隔の第三者が、当該空調管理システムの運転操作や設定情報を改ざんす るなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - G-50 Ver.2.50から3.35まで - G-50-W Ver.2.50から3.35まで - GB-50 Ver.2.50から3.35まで - G-150AD Ver.3.20およびそれ以前 - GB-50AD Ver.3.20およびそれ以前 - AE-200J Ver.7.93およびそれ以前 - AE-50J Ver.7.93およびそれ以前 - EW-50J Ver.7.93およびそれ以前 - PAC-YG50EC Ver.2.20およびそれ以前 この問題は、三菱電機株式会社が提供する修正済みのバージョンに更新するこ とで解決します。詳細は、三菱電機株式会社が提供する情報を参照してくださ い。

三菱電機株式会社 https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-004.pdf 三菱電機エンジニアリング株式会社 http://www.mee.co.jp/psirt/vulnerability/pdf/2021-001.pdf

Japan Vulnerability Notes JVNVU#93086468 https://jvn.jp/vu/JVNVU93086468/

三菱電機製空調管理システムには、XML外部実体参照（XXE）の不適切な制限に 関する脆弱性があります。結果として、遠隔の第三者が、当該機器内部の一部 の情報を窃取したり、当該機器がサービス運用妨害（DoS）状態になったりす る可能性があります。 対象となる製品およびバージョンは次のとおりです。 - G-50 Ver.3.35およびそれ以前 - G-50-W Ver.3.35およびそれ以前 - GB-50 Ver.3.35およびそれ以前 - G-150AD Ver.3.20およびそれ以前 - GB-50AD Ver.3.20およびそれ以前 - AE-200J Ver.7.93およびそれ以前 - AE-50J Ver.7.93およびそれ以前 - EW-50J Ver.7.93およびそれ以前 - PAC-YG50EC Ver.2.20およびそれ以前 - PAC-YW01BAC Ver.5.13およびそれ以前 - PAC-YW51BAC Ver.8.11およびそれ以前 この問題は、三菱電機株式会社が提供する修正済みのバージョンに更新するこ とで解決します。詳細は、三菱電機株式会社が提供する情報を参照してくださ い。

三菱電機株式会社 https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-005.pdf 三菱電機エンジニアリング株式会社 http://www.mee.co.jp/psirt/vulnerability/pdf/2021-002.pdf

2021年6月30日、金融庁は「ゼロトラストの現状調査と事例分析に関する調査 報告書」を公開しました。本報告書は、ゼロトラストセキュリティモデルにつ いて、国内・海外金融機関および国内企業における採用に向けた検討や取り組 みの事例などを調査しています。セキュリティ・アーキテクチャーの見直しや 高度化を行う上でのヒントとなるポイントや、ゼロトラストセキュリティモデ ルの適用を進める上での考え方の考察を実施しています。 金融庁 https://www.fsa.go.jp/common/about/research/20210630.html