News

セキュリティエンジニアが気になったニュースまとめ 2022/11/14~11/20
2022.11.24

セキュリティエンジニアが気になったニュースまとめ 2022/11/14~11/20

最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。

2022/11/15

OpenSSLのc_rehashスクリプトにおけるコマンドインジェクションの脆弱性

https://jvn.jp/vu/JVNVU92867820/index.html

c_rehashスクリプトには、シェルのメタ文字を適切にサニタイズしていない問題に起因するコマンドインジェクション(CWE-77、CVE-2022-2068)の脆弱性が存在します。

シェルにおいて特別な意味を持つ文字を、適切に無害な形に変換せずに使用していたため、攻撃者によって任意のコマンドを実行される可能性がありました。
 

2022/11/16

Movable Type における複数の脆弱性

https://jvn.jp/jp/JVN37014768/index.html

シックス・アパート株式会社が提供する Movable Type には、次の複数の脆弱性が存在します。

入力値に対する不適切な構文検証 (CWE-1286) – CVE-2022-45113
クロスサイトスクリプティング (CWE-79) – CVE-2022-45122
コードインジェクション (CWE-97) – CVE-2022-43660

いずれも入出力で発生する脆弱性です。
外部からの入力を受け取って処理をするシステムの場合、受け取った値を、出力する箇所に応じて適切に無害化しないと脆弱性が生まれる可能性があります。
また、根本的な脆弱性の原因は出力時の処理ですが、入力時に入力された値を適切にチェックすることで実害を防いだり被害を軽減できる場合もあります。
 

2022/11/16

RICOH IPSiO SP 4210 におけるクロスサイトスクリプティングの脆弱性

https://jvn.jp/jp/JVN24659622/index.html

株式会社リコーが提供する IPSiO SP 4210 には、クロスサイトスクリプティングの脆弱性が存在します。

プリンタの設定や状態確認をするための管理画面でクロスサイトスクリプティング脆弱性が存在しました。
クロスサイトスクリプティング脆弱性が存在すると、ログインしているユーザーのブラウザ上で任意のスクリプトを実行される可能性があります。
 

2022/11/18

WordPress 用プラグイン WordPress Popular Posts における外部入力の不適切な使用に関する脆弱性

https://jvn.jp/jp/JVN13927745/index.html

WordPress 用プラグイン WordPress Popular Posts は、信頼できない外部入力を使って内部の特定の変数を更新しています。

外部からの入力によって、記事の閲覧数を保持する変数の値を更新していました。
外部からの入力を使用する場合は適切な入力値の検証を行う必要があります。
しかし、そもそも外部からの入力値を使用する必要がない場合は、使用しないほうがより安全です。
 

まとめのまとめ

今週は入出力箇所で発生する脆弱性を取り上げました。
外部からの入力には、URLのパラメータや入力フォームなどブラウザ上で表示されるものだけでなく、hiddenフィールドといったブラウザ上で表示されない値も含まれます。
これらの入力値をHTMLや外部コマンドなどに出力する場合は適切に無害化することが必要です。

担当:HT

Recent News

Recent Tips

Tag Search