独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は5月31日、セイコーソリューションズ製SkyBridge MB-A100/MB-A110およびSkyBridge BASIC MB-A130におけるコマンドインジェクションの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。株式会社ゼロゼロワンの早川宙也氏が報告を行っている。影響を受けるシステムは以下の通り。
飴屋/菖蒲が提供する歌声合成ツール「UTAU」に複数の脆弱性
SkyBridge MB-A100/MB-A110 ファームウェア Ver. 4.2.2およびそれ以前のバージョン
SkyBridge BASIC MB-A130 ファームウェア Ver. 1.5.5およびそれ以前のバージョン
セイコーソリューションズ株式会社が提供するSkyBridge MB-A100/MB-A110およびSkyBridge BASIC MB-A130には、コマンドインジェクションの脆弱性が存在し、当該製品にて遠隔監視制御機能が有効化されている場合、製品にアクセス可能な第三者によって、任意のコマンドを実行されたり、管理者権限でログインされたりする可能性がある。
JVNでは、セイコーソリューションズが提供する情報をもとにファームウェアを最新版へアップデートするよう呼びかけている。なお、セイコーソリューションズでは、本脆弱性を修正した下記のファームウェアをリリースしている。
SkyBridge MB-A100/MB-A110 Ver. 4.2.3以降
SkyBridge BASIC MB-A130 Ver. 1.5.7以降
ファームウェアのアップデートが困難である場合、セイコーソリューションズでは下記の回避策または軽減策の実施を推奨している。
・回避策
遠隔監視制御機能の無効化
遠隔監視制御機能における、認証の有効化または暗号化の有効化
・軽減策
閉域網回線の利用
