セキュリティエンジニアが気になったニュースまとめ 2024/11/11~11/17

セキュリティニュース

最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。

2024/11/12

個人情報漏洩事故に関するご報告とお詫び

https://muromiah.org/wp-content/uploads/20240708ver_-scaled.jpg

当院とは無関係の第三者の動物病院(計14動物病院)による閲覧・ダウンロード可能な場所に誤ってアップロードしていたという事象が発覚しました。

顧客の個人情報を含むファイルを、第三者が閲覧可能な場所に、誤ってアップロードしてしまうという事案が発生しました。
ファイルの共有にメールではなくファイル共有サービスを使用することも多いと思います。
メールには誤送信のリスクがありますが、ファイル共有サービスでも誤った場所にアップロードしてしまうリスクがあるため注意が必要です。

ちなみに、本件ではメールで訂正版のファイルを送ろうとしたところ、再度誤ったファイルを送ってしまったようです。

2024/11/15

gaizhenbiao の chuanhuchatgpt におけるパストラバーサルの脆弱性

https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-012673.html

gaizhenbiao の chuanhuchatgpt には、パストラバーサルの脆弱性が存在します。

パストラバーサルは、本来アクセスできないファイルやディレクトリに不正にアクセスする攻撃手法です。
本件では、アップロード機能において、ユーザー名とファイル名を組み合わせたディレクトリにファイルがコピーされる仕組みとなっていましたが、ユーザー名の無害化がされていなかったため、任意のパスにファイルをアップロードできてしまう可能性がありました。

直前のユーザー入力(ファイル名)の検証はできていたものの、アップロード機能では未入力のユーザー名についても検証が必要である点を見落としていたと考えられます。

2024/11/15

oretnom23 の simple music cloud community system における危険なタイプのファイルの無制限アップロードに関する脆弱性

https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-012699.html

oretnom23 の simple music cloud community system には、危険なタイプのファイルの無制限アップロードに関する脆弱性が存在します。

アップロード機能には、アップロードできるファイルの容量や数に制限を設けないと、大量のファイルを送信されてサービスが妨害されるリスクがあります。
アプリケーション側の制限だけでなく、サーバー側でリクエストボディのサイズを制限することができる場合もあります。
処理のできるだけ早い段階で制限することで、より負荷を減らすことができそうです。

まとめのまとめ

ユーザー視点でも開発者視点でもアップロードには注意が必要ですね。
適切なセキュリティ対策を怠ると、情報漏洩や不正アクセス、サービス妨害など、重大なトラブルにつながる可能性があります。ユーザーはアップロードするファイルの内容や共有先を慎重に確認し、開発者は入力値の検証、アクセス制御、容量制限などを徹底していきましょう。

担当HT

タイトルとURLをコピーしました