Vulnerability Summary for the Week of June 13, 2022 High Vul. 抜粋

いつもの件、今回は製品一覧列挙の上、気になったところを抜粋します。

 

出典: Bulletin (SB22-171)

Vulnerability Summary for the Week of June 13, 2022

Original release date: June 20, 2022

High Vulnerabilitiesの一覧

以下の通りです。

citrix -- application_delivery_management

convert-svg_project -- convert-svg

dell -- supportassist_for_business_pcs

dell -- supportassist_for_business_pcs

dynamicvision -- dynamicmarkt

dynamicvision -- dynamicmarkt

dynamicvision -- dynamicmarkt

gatsbyjs -- gatsby

git-promise_project -- git-promise

huawei -- cv81-wdm_firmware

huawei -- cv81-wdm_firmware

huawei -- flmg-10_firmware

ideaco -- idealms

iqonic -- kivicare

memberhero -- member_hero

nystudio107 -- seomatic

phplist -- phplist

phplist -- phplist

presspage -- bestbooks

realvnc -- vnc_server

sicunet -- access_control

sicunet -- access_control

tendacn -- ac18_firmware

vim – vim

これ以外に、"Severity Not Yet Assigned" のものに、後々重大なものが潜んでいるかもしれないので、意識してリストを確認しておくと良いでしょう。

以下、個人的に目を引かれたところを抜き出しておく。

◆citrix -- application_delivery_management    

Corruption of the system by a remote, unauthenticated user.

The impact of this can include the reset of the administrator password at the next device reboot, allowing an attacker with ssh access to connect with the default administrator credentials after the device has rebooted.

遠隔地の未認証ユーザーによるシステムの破壊。

この影響は、次回のデバイスの再起動時に管理者パスワードがリセットされ、デバイスの再起動後に攻撃者がデフォルトの管理者資格でssh接続できるようになる場合があります。

2022/06/16 

7.8 

CVE-2022-27511

 

・Vendor Advisory ベンダーアドバイザリー

Citrix Application Delivery Management Security Bulletin for CVE-2022-27511 and CVE-2022-27512

All supported versions of Citrix ADM server and Citrix ADM agent are affected by this vulnerability. The following versions of Citrix ADM are in support: Citrix ADM 13.1 and Citrix ADM 13.0.  

この脆弱性は、Citrix ADMサーバーおよびCitrix ADMエージェントのすべてのサポート対象バージョンに影響を及ぼします。サポートされるCitrix ADMのバージョンは、以下のとおりです。Citrix ADM 13.1およびCitrix ADM 13.0です。 

 

The affected builds are: .. 影響を受けるビルドは次のとおりです。

l  Citrix ADM 13.1 before 13.1-21.53

l  Citrix ADM 13.0 before 13.0-85.19

 

Please note that Citrix ADM 12.1 has now reached End of Life and is no longer supported. Customers running Citrix ADM 12.1 are recommended to upgrade to a supported version as soon as possible.

These issues have already been addressed in Citrix ADM service. Customers using Citrix ADM service do not need to take any action.

Citrix ADM 12.1がサポート終了になったことに注意してください。Citrix ADM 12.1を実行している場合は、できるだけ早くサポートされるバージョンにアップグレードすることをお勧めします。

これらの問題は、Citrix ADMサービスにおいてすでに解決されています。Citrix ADMサービスを使用しているお客様は、何もする必要はありません。

 

Mitigating Factors　緩和要因

Citrix strongly recommends that network traffic to the Citrix ADM’s IP address is segmented, either physically or logically, from standard network traffic. Doing so diminishes the risk of exploitation of these issues. 

Citrix ADMのIPアドレスへのネットワークトラフィックは、物理的または論理的に標準的なネットワークトラフィックから分離することを強くお勧めします。これにより、これらの問題が悪用されるリスクが軽減されます。 

 

What Customers Should Do　お客様が行うべきこと

Citrix recommends that affected customers install the relevant updated versions of Citrix ADM server and Citrix ADM agent as soon as possible:

    Citrix ADM 13.1-21.53 and later versions of 13.1

    Citrix ADM 13.0-85.19 and later versions of 13.0

Customers must upgrade both Citrix ADM server and all associated Citrix ADM agents. Please see the product documentation for assistance with upgrading the Citrix ADM server and Citrix ADM agents.

影響を受けるお客様は、該当するバージョンのCitrix ADM ServerおよびCitrix ADMエージェントをできるだけ早くインストールすることをお勧めします。

    Citrix ADM 13.1-21.53および13.1より新しいバージョン

    Citrix ADM 13.0-85.19および13.0より新しいバージョン

お客様は、Citrix ADMサーバーと関連するすべてのCitrix ADMエージェントの両方をアップグレードする必要があります。Citrix ADMサーバーおよびCitrix ADMエージェントのアップグレードについては、製品のドキュメントを参照してください。

 

◆dell -- supportassist_for_business_pcs

・CVE-2022-29095

Dell SupportAssist Client Consumer versions (3.10.4 and prior) and Dell SupportAssist Client Commercial versions (3.1.1 and prior) contain a cross-site scripting vulnerability. A remote unauthenticated malicious user could potentially exploit this vulnerability under specific conditions leading to execution of malicious code on a vulnerable system.

Dell SupportAssist Client Consumer バージョン (3.10.4 およびそれ以前) および Dell SupportAssist Client Commercial バージョン (3.1.1 およびそれ以前) には、クロスサイトスクリプティングの脆弱性が存在します。この脆弱性を利用すると、遠隔地にいる認証されていない悪意のあるユーザが、特定の条件下で、脆弱性のあるシステム上で悪意のあるコードを実行される可能性があります。

NIST: NVD　Base Score:  9.6 CRITICAL

CNA:  Dell　Base Score:  8.3 HIGH

 

注、他にも同製品でCVE-2022-29092が挙がっているが、割愛する。本件一件だけでも、放置しておいて良い理由は無いと思うので。

 

◆realvnc -- vnc_server

・CVE-2022-27502

RealVNC VNC Server 6.9.0 through 5.1.0 for Windows allows local privilege escalation because an installer repair operation executes %TEMP% files as SYSTEM.

RealVNC VNC Server 6.9.0 から 5.1.0 for Windows は、インストーラの修復操作で %TEMP% ファイルを SYSTEM として実行するため、ローカルでの特権昇格が可能です。

NIST: NVD　Base Score:  7.8 HIGH　Vector:  CVSS:3.1/AV（ Attack Vector=攻撃元区分）:L（ローカル）/AC（ Attack Complexity=攻撃条件の複雑さ）:L（低い）/PR（ Privileges Required=必要な特権レベル）:L（低い）/UI:N/S:U/C:H/I:H/A:H

 

◆vim -- vim     

・CVE-2022-2042

Use After Free in GitHub repository vim/vim prior to 8.2.         

8.2以前のGitHubリポジトリvim/vimには、メモリ解放後に再使用可能な脆弱性があります。

 

NIST: NVD　Base Score:  9.8 CRITICAL

CNA:  huntr.dev　Base Score:  7.4 HIGH

注、NIST NVDのスコアは9.8 Criticalである。ベンダーアドバイザリーによるとパッチを適用すれば良いとのこと。