ミニ・いんふぉめーしょん

目 次

【1】2022年1月Oracle Critical Patch Updateについて
【2】ManageEngine Desktop Central及びManageEngine Desktop Central MSPに認証回避の脆弱性
【3】Google Chromeに複数の脆弱性
【4】複数のCisco製品に脆弱性
【5】Drupalにクロスサイトスクリプティングの脆弱性
【6】McAfee Agent for Windowsに複数の脆弱性
【7】複数のF5 Networks製品に脆弱性
【8】GROWIにユーザー制御の鍵による認証回避の脆弱性
【9】キヤノン製レーザープリンター及びスモールオフィス向け複合機にクロスサイトスクリプティングの脆弱性
【10】三菱電機製GENESIS64及びMC Works64に複数の脆弱性
【11】php_mailformに複数のクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】フィッシング対策協議会が「第４回フィッシング対策勉強会」の参加申し込み受付けを開始

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr220401.html
https://www.jpcert.or.jp/wr/2022/wr220401.xml
============================================================================

【1】2022年1月Oracle Critical Patch Updateについて

情報源
CISA Current Activity
Oracle Releases January 2022 Critical Patch Update
https://www.cisa.gov/uscert/ncas/current-activity/2022/01/18/oracle-releases-january-2022-critical-patch-update

概要
Oracleから複数の製品及びコンポーネントに含まれる脆弱性に対応した
Oracle Critical Patch Update Advisoryが公開されました。

詳細は、Oracleが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
2022年1月Oracle製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2022/at220003.html

関連文書 (英語)
Oracle
Oracle Critical Patch Update Advisory - January 2022
https://www.oracle.com/security-alerts/cpujan2022.html

【2】ManageEngine Desktop Central及びManageEngine Desktop Central MSPに認証回避の脆弱性

情報源
CISA Current Activity
Zoho Releases Security Advisory for ManageEngine Desktop Central and Desktop Central MSP
https://www.cisa.gov/uscert/ncas/current-activity/2022/01/19/zoho-releases-security-advisory-manageengine-desktop-central-and

概要
Zohoが提供するManageEngine Desktop Central及びManageEngine Desktop
Central MSPには、認証回避の脆弱性があります。結果として、遠隔の攻撃者
が各製品のサーバーからアクセス権限のないファイルを読み出したり、任意の
zipファイルを書き込んだりする可能性があります。

対象となる製品及びバージョンは次のとおりです。

- ManageEngine Desktop Central ビルド番号10.1.2137.9より前のバージョン
- ManageEngine Desktop Central MSP ビルド番号10.1.2137.9より前のバージョン

この問題は、該当する製品をZohoが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Zohoが提供する情報を参照してください。

関連文書 (英語)
Zoho
A critical security patch released in Desktop Central and Desktop Central MSP for CVE-2021-44757
https://pitstop.manageengine.com/portal/en/community/topic/a-critical-security-patch-released-in-desktop-central-and-desktop-central-msp-for-cve-2021-44757-17-1-2022

【3】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://www.cisa.gov/uscert/ncas/current-activity/2022/01/20/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 97.0.4692.99より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/01/stable-channel-update-for-desktop_19.html

【4】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/01/20/cisco-releases-security-updates-multiple-products

概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者がroot
権限で任意のコマンドを実行するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細や最新の情報については、Cisco
が提供するアドバイザリ情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

Cisco
Cisco Redundancy Configuration Manager for Cisco StarOS Software Multiple Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rcm-vuls-7cS3Nuq

【5】Drupalにクロスサイトスクリプティングの脆弱性

情報源
CISA Current Activity
Drupal Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/01/20/drupal-releases-security-updates

概要
Drupalが使用するサードパーティライブラリjQuery UIには、複数のクロスサ
イトスクリプティングの脆弱性があります。結果として、当該製品を使用して
いるサイトにアクセスしたユーザーのウェブブラウザー上で、任意のスクリプ
トを実行される可能性があります。

対象となるバージョンは次のとおりです。

- Drupal 9.3.3より前の9.3系バージョン
- Drupal 9.2.11より前の9.2系バージョン
- Drupal 7.86より前の7系バージョン

この問題は、Drupalを開発者が提供する修正済みのバージョンに更新すること
で解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
Drupal
Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2022-001
https://www.drupal.org/sa-core-2022-001

Drupal
Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2022-002
https://www.drupal.org/sa-core-2022-002

【6】McAfee Agent for Windowsに複数の脆弱性

情報源
CISA Current Activity
McAfee Releases Security Update for McAfee Agent for Windows
https://www.cisa.gov/uscert/ncas/current-activity/2022/01/21/mcafee-releases-security-update-mcafee-agent-windows

概要
McAfee Agent for Windowsには、複数の脆弱性があります。結果として、第三
者がSYSTEM権限で任意のコードを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- McAfee Agent for Windows 5.7.5より前のバージョン

この問題は、McAfee Agent for WindowsをMcAfeeが提供する修正済みのバージョン
に更新することで解決します。詳細は、McAfeeが提供する情報を参照してくだ
さい。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#96845652
McAfee Agent for Windowsにおける複数の脆弱性
https://jvn.jp/vu/JVNVU96845652/

関連文書 (英語)
McAfee
Security Bulletin - McAfee Agent update fixes two vulnerabilities (CVE-2021-31854, CVE-2022-0166)
https://kc.mcafee.com/corporate/index?page=content&id=SB10378

CERT/CC Vulnerability Note VU#287178
McAfee Agent for Windows is vulnerable to privilege escalation due to OPENSSLDIR location
https://kb.cert.org/vuls/id/287178

【7】複数のF5 Networks製品に脆弱性

情報源
CISA Current Activity
F5 Releases January 2022 Quarterly Security Notification
https://www.cisa.gov/uscert/ncas/current-activity/2022/01/20/f5-releases-january-2022-quarterly-security-notification

概要
複数のF5 Networks製品には、影響度Highを含む複数の脆弱性があります。結
果として、認証済みの攻撃者が、NGINXデータプレーンインスタンス上の任意
のファイルにアクセスするなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はF5 Networksが提供するアドバ
イザリ情報を参照してください。

この問題は、該当する製品をF5 Networksが提供する修正済みのバージョンに
更新するか、回避策を適用することで解決します。詳細は、F5 Networksが提
供する情報を参照してください。

関連文書 (英語)
F5 Networks
K40084114: Overview of F5 vulnerabilities (January 2022)
https://support.f5.com/csp/article/K40084114

【8】GROWIにユーザー制御の鍵による認証回避の脆弱性

情報源
Japan Vulnerability Notes JVNVU#94151526
GROWIにおけるユーザ制御の鍵による認証回避の脆弱性
https://jvn.jp/vu/JVNVU94151526/

概要
GROWIには、ユーザー制御の鍵による認証回避の脆弱性があります。結果とし
て、認証のない遠隔の攻撃者が認証を回避し、ユーザーのコメントを削除する
可能性があります。

対象となるバージョンは次のとおりです。

- GROWI v4.4.7及びそれ以前のバージョン

この問題は、該当する製品を株式会社WESEEKが提供する修正済みのバージョン
に更新することで解決します。詳細は、株式会社WESEEKが提供する情報を参照
してください。

関連文書 (日本語)
株式会社WESEEK
GROWI 脆弱性対応のお知らせ (JVNVU#94151526)
https://weseek.co.jp/security/2022/01/21/vulnerability/growi-authentication-bypass/

【9】キヤノン製レーザープリンター及びスモールオフィス向け複合機にクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#64806328
キヤノン製レーザープリンターおよびスモールオフィス向け複合機におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN64806328/

概要
キヤノン株式会社が提供するレーザープリンター及びスモールオフィス向け複
合機には、格納型クロスサイトスクリプティングの脆弱性があります。結果と
して、当該製品の設定画面にアクセスしたユーザーのウェブブラウザー上で、
任意のスクリプトを実行される可能性があります。

対象となる製品は、多岐にわたります。詳細や最新の情報については、キヤノン
株式会社が提供するアドバイザリ情報を参照してください。

この問題は、該当する製品をキヤノン株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細はキヤノン株式会社が提供する情報を参照
してください。

関連文書 (日本語)
キヤノン株式会社
レーザープリンター及びスモールオフィス向け複合機のクロスサイトスクリプティングに関する脆弱性対応について
https://cweb.canon.jp/e-support/info/211221xss.html

【10】三菱電機製GENESIS64及びMC Works64に複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#95403720
三菱電機製GENESIS64およびMC Works64における複数の脆弱性
https://jvn.jp/vu/JVNVU95403720/

概要
三菱電機株式会社が提供するGENESIS64及びMC Works64には、複数の脆弱性が
あります。結果として、遠隔の第三者が細工したWebSocketプロトコルのパケッ
トを送信することで、認証が回避され、当該製品を不正に操作されるなどの可
能性があります。

対象となる製品及びバージョンは次のとおりです。

- GENESIS64 Version 10.97
- MC Works64 Version 4.04E及びそれ以前

この問題は、当該製品のソフトウェアを三菱電機株式会社が提供するセキュリ
ティパッチを使用して更新することで解決します。詳細は、三菱電機株式会社
が提供する情報を参照してください。

関連文書 (日本語)
三菱電機株式会社
GENESIS64およびMC Works64のデータベースサーバーにおけるサービス拒否（DoS）の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-028.pdf

三菱電機株式会社
GENESIS64およびMC Works64における情報漏えいの脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-027.pdf

三菱電機株式会社
GENESIS64およびMC Works64のWeb通信機能における認証回避の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-026.pdf

三菱電機株式会社
MC Works64のモバイル監視における情報漏えいの脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-025.pdf

【11】php_mailformに複数のクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#16690037
php_mailform における複数のクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN16690037/

概要
エコノシス システム設計事務所が提供するphp_mailformには、複数のクロス
サイトスクリプティングの脆弱性があります。結果として、当該製品を使用し
ているユーザーのウェブブラウザー上で、任意のスクリプトを実行される可能
性があります。

対象となる製品及びバージョンは次のとおりです。

- php_mailform Version 1.40より前のバージョン

この問題は、該当する製品をエコノシス システム設計事務所が提供する修正
済みのバージョンに更新することで解決します。詳細はエコノシス システム
設計事務所が提供する情報を参照してください。

関連文書 (日本語)
エコノシス システム設計事務所
econosys-system / php_mailform
https://github.com/econosys-system/php_mailform

目 次

【1】複数のマイクロソフト製品に脆弱性
【2】複数のアドビ製品に脆弱性
【3】複数のMozilla製品に脆弱性
【4】複数のApple製品にサービス運用妨害（DoS）の脆弱性
【5】複数のCisco製品に脆弱性
【6】複数のSAP製品に脆弱性
【7】複数のCitrix製品に脆弱性
【8】複数のJuniper Networks製品に脆弱性
【9】Sambaに任意のディレクトリ作成の脆弱性
【10】WordPress用プラグインQuiz And Survey Masterに複数の脆弱性
【11】Silicon Labs製Z-Waveチップセットを利用するデバイスに複数の脆弱性
【12】MELSEC FシリーズEthernetインタフェースブロックに複数の脆弱性
【13】複数のキングジム製品に脆弱性
【14】Androidアプリ「ジモティー」に外部サービスのAPIキーがハードコードされている問題
【今週のひとくちメモ】JPCERT/CCが「侵入型ランサムウェア攻撃を受けたら読むFAQ」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr220301.html
https://www.jpcert.or.jp/wr/2022/wr220301.xml
============================================================================

【1】複数のマイクロソフト製品に脆弱性

情報源
CISA Current Activity
Microsoft Releases January 2022 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/01/11/microsoft-releases-january-2022-security-updates

概要
複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はマイクロソフト株式会社が提供
するアドバイザリ情報を参照してください。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく
ださい。

関連文書 (日本語)
マイクロソフト株式会社
2022 年 1 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2022-Jan

JPCERT/CC 注意喚起
2022年1月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2022/at220002.html

【2】複数のアドビ製品に脆弱性

情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/01/11/adobe-releases-security-updates-multiple-products

概要
複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe Acrobat
- Adobe Acrobat Reader
- Adobe Illustrator
- Adobe Bridge
- Adobe InCopy
- Adobe InDesign

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
Adobe AcrobatおよびReaderの脆弱性（APSB22-01）に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220001.html

JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2022011201.html

アドビ
Adobe InCopy に関するセキュリティアップデート公開 | APSB22-04
https://helpx.adobe.com/jp/security/products/incopy/apsb22-04.html

関連文書 (英語)
アドビ
Security update available for Adobe Acrobat and Reader | APSB22-01
https://helpx.adobe.com/security/products/acrobat/apsb22-01.html

アドビ
Security Updates Available for Adobe Illustrator | APSB22-02
https://helpx.adobe.com/security/products/illustrator/apsb22-02.html

アドビ
Security Updates Available for Adobe Bridge | APSB22-03
https://helpx.adobe.com/security/products/bridge/apsb22-03.html

アドビ
Security Update Available for Adobe InDesign | APSB22-05
https://helpx.adobe.com/security/products/indesign/apsb22-05.html

【3】複数のMozilla製品に脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird
https://www.cisa.gov/uscert/ncas/current-activity/2022/01/11/mozilla-releases-security-updates-firefox-firefox-esr-and

概要
複数のMozilla製品には、脆弱性があります。結果として、ヒープバッファー
オーバーフローが発生するなどの可能性があります。

対象となる製品及びバージョンは次のとおりです。

- Mozilla Firefox 96より前のバージョン
- Mozilla Firefox ESR 91.5より前のバージョン
- Mozilla Thunderbird 91.5より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 96
https://www.mozilla.org/en-US/security/advisories/mfsa2022-01/

Mozilla
Security Vulnerabilities fixed in Firefox ESR 91.5
https://www.mozilla.org/en-US/security/advisories/mfsa2022-02/

Mozilla
Security Vulnerabilities fixed in Thunderbird 91.5
https://www.mozilla.org/en-US/security/advisories/mfsa2022-03/

【4】複数のApple製品にサービス運用妨害（DoS）の脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates for iOS and iPadOS
https://www.cisa.gov/uscert/ncas/current-activity/2022/01/13/apple-releases-security-updates-ios-and-ipados

概要
複数のApple製品には、脆弱性があります。結果として、第三者がサービス運
用妨害 (DoS) 攻撃をする可能性があります。

対象となる製品及びバージョンは次のとおりです。

- iOS 15.2.1より前のバージョン
- iPadOS 15.2.1より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Apple製品のアップデートについて（2022年1月）
https://www.jpcert.or.jp/newsflash/2022011701.html

Apple
iOS 15.2.1 および iPadOS 15.2.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213043

【5】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/01/13/cisco-releases-security-updates-multiple-products

概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が脆弱
性を悪用して、権限昇格を行うなどの可能性があります。

対象となる製品は、多岐にわたります。詳細や最新の情報については、Cisco
が提供するアドバイザリ情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

Cisco
Cisco Unified Contact Center Management Portal and Unified Contact Center Domain Manager Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ccmp-priv-esc-JzhTFLm4

【6】複数のSAP製品に脆弱性

情報源
CISA Current Activity
SAP Releases January 2022 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/01/11/sap-releases-january-2022-security-updates

概要
複数のSAP製品には、脆弱性があります。結果として、遠隔の第三者が任意の
コードを実行するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はSAPが提供するアドバイザリ情
報を参照してください。

この問題は、該当する製品をSAPが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、SAPが提供する情報を参照してください。

関連文書 (英語)
SAP
SAP Security Patch - Day January 2022
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=596902035

【7】複数のCitrix製品に脆弱性

情報源
CISA Current Activity
Citrix Releases Security Update for Workspace App for Linux
https://www.cisa.gov/uscert/ncas/current-activity/2022/01/11/citrix-releases-security-update-workspace-app-linux

CISA Current Activity
Citrix Releases Security Updates for Hypervisor
https://www.cisa.gov/uscert/ncas/current-activity/2022/01/13/citrix-releases-security-updates-hypervisor

概要
複数のCitrix製品には、脆弱性があります。結果として、第三者が権限昇格し
たり、サービス運用妨害（DoS）攻撃を行ったりする可能性があります。

対象となる製品及びバージョンは次のとおりです。

- Citrix Workspace App for Linux 2112より前のバージョン
- Citrix Hypervisor 8.2 CU1 LTSR
- Citrix Hypervisor 8.2
- Citrix XenServer 7.1 LTSR CU2

この問題は、Citrixが提供する修正済みのバージョンに更新するか、パッチを
適用することで解決します。詳細は、Citrixが提供する情報を参照してくださ
い。

関連文書 (英語)
Citrix
Citrix Workspace App for Linux Security Update
https://support.citrix.com/article/CTX338435

Citrix
Citrix Hypervisor Security Update
https://support.citrix.com/article/CTX335432

【8】複数のJuniper Networks製品に脆弱性

情報源
CISA Current Activity
Juniper Networks Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/01/13/juniper-networks-releases-security-updates-multiple-products

概要
複数のJuniper Networks製品には、脆弱性があります。結果として、第三者が
機密情報を窃取したり、サービス運用妨害（DoS）攻撃を行ったりするなどの
可能性があります。

対象となる製品は、多岐にわたります。詳細はJuniper Networksが提供するア
ドバイザリ情報を参照してください。

この問題は、該当する製品をJuniper Networksが提供する修正済みのバージョ
ンに更新することで解決します。詳細は、Juniper Networksが提供する情報を
参照してください。

関連文書 (英語)
Juniper Networks
Browse by Category: Security Advisories - Security Advisories
https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES

【9】Sambaに任意のディレクトリ作成の脆弱性

情報源
CISA Current Activity
Samba Releases Security Update
https://www.cisa.gov/uscert/ncas/current-activity/2022/01/11/samba-releases-security-update

概要
Sambaには、任意のディレクトリ作成の脆弱性があります。結果として、第三
者がサーバーの共有設定外の領域に任意のディレクトリを作成する可能性があ
ります。

対象となるバージョンは次のとおりです。

- Samba 4.13.16より前のバージョン

この問題は、SambaをThe Samba Teamが提供する修正済みのバージョンに更新
することで解決します。詳細は、The Samba Teamが提供する情報を参照してく
ださい。

関連文書 (英語)
The Samba Team
Symlink race error can allow directory creation outside of the exported share.
https://www.samba.org/samba/security/CVE-2021-43566.html

【10】WordPress用プラグインQuiz And Survey Masterに複数の脆弱性

情報源
Japan Vulnerability Notes JVN#72788165
WordPress 用プラグイン Quiz And Survey Master における複数の脆弱性
https://jvn.jp/jp/JVN72788165/

概要
WordPress用プラグインQuiz And Survey Masterには、複数の脆弱性がありま
す。結果として、遠隔の第三者がユーザーのWebブラウザー上で任意のスクリ
プトを実行するなどの可能性があります。

対象となる製品及びバージョンは次のとおりです。

- Quiz And Survey Master 7.3.7より前のバージョン

この問題は、ExpressTechが提供する情報をもとに、修正済みのバージョンに
アップデートすることで解決します。詳細はExpressTechが提供する情報を参
照してください。

関連文書 (英語)
ExpressTech
Quiz And Survey Master - Best Quiz, Exam and Survey Plugin for WordPress
https://wordpress.org/plugins/quiz-master-next/

ExpressTech
Powerful quiz and survey for WordPress in few minutes!
https://quizandsurveymaster.com/

【11】Silicon Labs製Z-Waveチップセットを利用するデバイスに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#94598199
Silicon Labs製Z-Waveチップセットを利用するデバイスにおける複数の脆弱性
https://jvn.jp/vu/JVNVU94598199/

概要
Silicon Labs製Z-Waveチップセットを利用するデバイスには、複数の脆弱性が
あります。結果として、第三者が、機密情報を窃取したり、サービス運用妨害
（DoS）攻撃を行ったりするなどの可能性があります。

対象となる製品は次のとおりです。

- Silicon Labs 700 series
- Silicon Labs 500 series
- Silicon Labs 300 series
- Silicon Labs 200 series
- Silicon Labs 100 series

脆弱性に対する対策は各デバイスごとに異なるため、詳細は開発者に確認して
ください。

関連文書 (英語)
CERT Coordination Center
Silicon Labs Z-Wave chipsets contain multiple vulnerabilities
https://kb.cert.org/vuls/id/142629

【12】MELSEC FシリーズEthernetインタフェースブロックに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#93268332
MELSEC FシリーズEthernetインタフェースブロックにおける複数の脆弱性
https://jvn.jp/vu/JVNVU93268332/

概要
三菱電機株式会社が提供するMELSEC FシリーズEthernetインタフェースブロッ
クには、複数の脆弱性があります。結果として、遠隔の第三者が、細工したパ
ケットを送信することでサービス運用妨害（DoS）状態を引き起すなどの可能
性があります。

対象となる製品及びバージョンは、次のとおりです。

- FX3U-ENET ファームウェアバージョン1.16及びそれ以前
- FX3U-ENET-L ファームウェアバージョン1.16及びそれ以前
- FX3U-ENET-P502 ファームウェアバージョン1.16及びそれ以前

この問題は、該当する製品を三菱電機株式会社が提供する修正済みのバージョ
ンにアップデートすることで解決します。詳細は三菱電機株式会社が提供する
情報を参照してください。

関連文書 (日本語)
三菱電機株式会社
MELSEC F シリーズ Ethernet インタフェースブロックにおけるサービス拒否（DoS）及び潜在的な不特定の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-023.pdf

三菱電機株式会社
MELSEC F シリーズ Ethernet インタフェースブロックにおけるサービス拒否（DoS）の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-024.pdf

【13】複数のキングジム製品に脆弱性

情報源
Japan Vulnerability Notes JVN#81479705
ラベルプリンター「テプラ」PRO SR5900P / SR-R7900P における認証情報の不十分な保護の脆弱性
https://jvn.jp/jp/JVN81479705/

Japan Vulnerability Notes JVN#19826500
パスワードマネージャー「ミルパス」PW10 / PW20 における機微な情報を暗号化していない脆弱性
https://jvn.jp/jp/JVN19826500/

概要
複数のキングジム製品には脆弱性があります。結果として、当該製品にアクセ
ス可能な第三者が認証情報を漏えいさせたり、パスワードを窃取したりする可
能性があります。

対象となる製品及びバージョンは次のとおりです。

- ラベルプリンター「テプラ」PRO SR5900P 本体ソフトウェア Ver.1.080及びそれ以前
- ラベルプリンター「テプラ」PRO SR-R7900P 本体ソフトウェア Ver.1.030及びそれ以前
- パスワードマネージャー「ミルパス」PW20 ファームウェア すべてのバージョン
- パスワードマネージャー「ミルパス」PW10 ファームウェア すべてのバージョン

この問題のうち、ラベルプリンター「テプラ」については、該当する製品を株
式会社キングジムが提供する修正済みのバージョンに更新することで解決しま
す。パスワードマネージャー「ミルパス」のサポートはすでに終了しているた
め、当該製品の使用を停止してください。詳細は株式会社キングジムが提供す
る情報を参照してください。

関連文書 (日本語)
株式会社キングジム
ラベルプリンター「テプラ」PRO SR5900P / SR-R7900P における脆弱性について
https://www.kingjim.co.jp/download/security/#sr01

株式会社キングジム
パスワードマネージャー「ミルパス」PW10 / PW20における脆弱性について
https://www.kingjim.co.jp/download/security/#mirupass

【14】Androidアプリ「ジモティー」に外部サービスのAPIキーがハードコードされている問題

情報源
Japan Vulnerability Notes JVN#49047921
Android アプリ「ジモティー」に外部サービスの API キーがハードコードされている問題
https://jvn.jp/jp/JVN49047921/

概要
株式会社ジモティーが提供するAndroidアプリ「ジモティー」には、外部サー
ビスのAPIキーがハードコードされている問題があります。結果として、外部
サービスと連携するためのAPIキーが不正に窃取される可能性があります。

対象となるバージョンは次のとおりです。

- Android アプリ「ジモティー」3.7.42より前のバージョン

この問題は、該当する製品を株式会社ジモティーが提供する修正済みのバージョ
ンに更新することで解決します。詳細は株式会社ジモティーが提供する情報を
参照してください。

関連文書 (日本語)
株式会社ジモティー
株式会社ジモティーからの情報
https://jvn.jp/jp/JVN49047921/996576/

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CCが「侵入型ランサムウェア攻撃を受けたら読むFAQ」を公開

2022年1月13日、JPCERT/CCは「侵入型ランサムウェア攻撃を受けたら読むFAQ」
を公開しました。本FAQは、インシデント対応の「初動対応」に焦点を絞り、3
つのカテゴリ、17のQAで構成しています。

一部の事例では、被害組織が適切な対応を行っていないことがあります。例え
ば、攻撃者が企業や組織の内部ネットワークに「侵入」した後、被害組織がネッ
トワーク／システムを停止することによる被害の拡大や、再発防止策を放置し
たままで活動を再開するなど、初動対応時に適切な対応を取っていないケース
があります。

このような状況を踏まえ、被害組織や初動対応支援にあたる関係者が初動対応
ミスを減らし、脅威を「正しく恐れ」、脅威に対応いただけるよう、本FAQは
対応のポイントや留意点をFAQ形式でまとめています。

参考文献 (日本語)
JPCERT/CC
侵入型ランサムウェア攻撃を受けたら読むFAQ
https://www.jpcert.or.jp/magazine/security/ransom-faq.html

目 次

【1】Google Chromeに複数の脆弱性
【2】複数のVMware製品にヒープベースのバッファーオーバーフローの脆弱性
【3】WordPressに複数の脆弱性
【4】オムロン製CX-Oneにスタックベースのバッファーオーバーフローの脆弱性
【今週のひとくちメモ】JASAが「2022年 情報セキュリティ十大トレンド」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr220201.html
https://www.jpcert.or.jp/wr/2022/wr220201.xml
============================================================================

【1】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://www.cisa.gov/uscert/ncas/current-activity/2022/01/05/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 97.0.4692.71より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/01/stable-channel-update-for-desktop.html

【2】複数のVMware製品にヒープベースのバッファーオーバーフローの脆弱性

情報源
CISA Current Activity
VMware Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/01/05/vmware-releases-security-updates

概要
複数のVMware製品には、ヒープベースのバッファーオーバーフローの脆弱性が
あります。結果として、CD-ROMデバイスエミュレーションを使用して仮想マシン
にアクセスできる第三者が、仮想マシンからハイパーバイザーでコードを実行
する可能性があります。

対象となる製品及びバージョンは次のとおりです。

- ESXi バージョン7.0、6.7、6.5
- Workstation バージョン16系
- Fusion バージョン12系
- VMware Cloud Foundation (ESXi) バージョン4系、3系

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、VMwareが提供する情報を参照してください。

関連文書 (英語)
VMware
VMSA-2022-0001
https://www.vmware.com/security/advisories/VMSA-2022-0001.html

【3】WordPressに複数の脆弱性

情報源
CISA Current Activity
WordPress Releases Security Update
https://www.cisa.gov/uscert/ncas/current-activity/2022/01/07/wordpress-releases-security-update

概要
WordPressには、複数の脆弱性があります。結果として、遠隔の第三者が機微
な情報を窃取するなどの可能性があります。

対象となるバージョンは次のとおりです。

- WordPress 3.7から5.8まで

この問題は、該当する製品をWordPressが提供する修正済みのバージョンに更
新することで解決します。詳細は、WordPressが提供する情報を参照してくだ
さい。

関連文書 (日本語)
WordPress
WordPress 5.8.3 セキュリティリリース
https://ja.wordpress.org/2022/01/07/wordpress-5-8-3-security-release/

【4】オムロン製CX-Oneにスタックベースのバッファーオーバーフローの脆弱性

情報源
Japan Vulnerability Notes JVNVU#91728245
オムロン製CX-Oneにおけるスタックベースのバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU91728245/

概要
オムロン株式会社が提供するCX-Oneには、スタックベースのバッファーオーバー
フローの脆弱性があります。結果として、第三者が任意のコードを実行する可
能性があります。

対象となるバージョンは次のとおりです。

- CX-One バージョン 4.60及びそれ以前

この問題は、該当する製品をオムロン株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、オムロン株式会社が提供する情報を参
照してください。

関連文書 (日本語)
オムロン株式会社
CX-Oneバージョンアッププログラムダウンロード (CX-Oneオートアップデート(V4向け_2022年1月))
https://www.fa.omron.co.jp/product/tool/26/cxone/j4_doc.html#common_module

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JASAが「2022年 情報セキュリティ十大トレンド」を公開

2022年1月6日、日本セキュリティ監査協会（JASA）は、「情報セキュリティ監
査人が選ぶ2022年の情報セキュリティ十大トレンド」を公開しました。
このトレンド調査は、協会の公認情報セキュリティ監査人資格認定制度により
認定を受けた情報セキュリティ監査人を対象としたアンケートにより選ばれた
ものです。
2022年のトレンドは、人々の働き方や利用するシステムの環境の大きな変化に
伴いリスクそのものが変化してきていることに対し、従来のままのセキュリティ
対策では十分でないことを示唆するトピックが多く出てきている結果となって
います。

参考文献 (日本語)
日本セキュリティ監査協会 (JASA)
監査人の警鐘- 2022年 情報セキュリティ十大トレンド
https://www.jasa.jp/seminar/sec_trend2022/

目 次 \

【1】GroupSessionに複数の脆弱性
【2】Apache HTTP Server 2.4に複数の脆弱性
【3】QNAP製ネットワークビデオレコーダー製品に複数の脆弱性
【4】複数のVMware製品に脆弱性
【5】TP-Link製TL-WR802N V4(JP)にOSコマンドインジェクションの脆弱性
【6】IDEC製PLCに複数の脆弱性
【7】コニカミノルタ製複合機および印刷システムに複数の脆弱性
【今週のひとくちメモ】JPCERT/CCが「モバイル端末を狙うマルウェアへの対応FAQ」などを公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr220101.html
https://www.jpcert.or.jp/wr/2022/wr220101.xml
============================================================================

【1】GroupSessionに複数の脆弱性

情報源
Japan Vulnerability Notes JVN#79798166
GroupSession における複数の脆弱性
https://jvn.jp/jp/JVN79798166/

概要
日本トータルシステム株式会社が提供するGroupSessionには、複数の脆弱性が
あります。結果として、遠隔の第三者がサーバー内の任意のファイルにアクセ
スするなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- GroupSession 無料版 ver5.1.1およびそれ以前
- GroupSession byCloud ver5.1.1およびそれ以前
- GroupSession ZION ver5.1.1およびそれ以前

この問題は、当該製品を日本トータルシステム株式会社が提供する修正済みの
バージョンに更新することで解決します。詳細は、日本トータルシステム株式
会社が提供する情報を参照してください。

関連文書 (日本語)
日本トータルシステム株式会社
GroupSessionにおける脆弱性に関して(2021-12)
https://groupsession.jp/info/info-news/security20211220

【2】Apache HTTP Server 2.4に複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#97805418
Apache HTTP Server 2.4における複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU97805418/

概要
The Apache Software Foundationが提供するApache HTTP Serverには、複数の
脆弱性があります。結果として、遠隔の第三者がサービス運用妨害（DoS）攻
撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- Apache HTTP Server 2.4.51およびそれ以前

この問題は、Apache HTTP ServerをThe Apache Software Foundationが提供す
る修正済みのバージョンに更新することで解決します。詳細は、The Apache
Software Foundationが提供する情報を参照してください。

関連文書 (英語)
The Apache Software Foundation
Fixed in Apache HTTP Server 2.4.52
https://httpd.apache.org/security/vulnerabilities_24.html#2.4.52

The Apache Software Foundation
Apache HTTP Server 2.4.52 Released
https://downloads.apache.org/httpd/Announcement2.4.html

【3】QNAP製ネットワークビデオレコーダー製品に複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#95429813
QNAP製ネットワークビデオレコーダー製品における複数の脆弱性
https://jvn.jp/vu/JVNVU95429813/

概要
QNAP Systemsが提供するネットワークビデオレコーダー（NVR）であるVioStar
シリーズには、複数の脆弱性があります。結果として、遠隔の第三者が任意の
コマンドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- QNAP NVR VioStarシリーズ

この問題は、当該製品をQNAP Systemsが提供する修正済みのバージョンに更新
することで解決します。詳細は、QNAP Systemsが提供する情報を参照してくだ
さい。

関連文書 (英語)
QNAP Systems
Command Injection Vulnerability in QVR
https://www.qnap.com/en/security-advisory/qsa-21-51

QNAP Systems
Improper Authentication Vulnerability in QVR
https://www.qnap.com/en/security-advisory/qsa-21-52

【4】複数のVMware製品に脆弱性

情報源
VMware
VMSA-2021-0030
https://www.vmware.com/security/advisories/VMSA-2021-0030.html

概要
複数のVMware製品には、脆弱性があります。結果として、遠隔の第三者が機微
な情報を窃取するなどの可能性があります。

対象となる製品は次のとおりです。

- VMware Workspace ONE Access (Access) バージョン21.08（Linux）
- VMware Workspace ONE Access (Access) バージョン20.10.0.1（Linux）
- VMware Workspace ONE Access (Access) バージョン20.10（Linux）
- VMware Identity Manager (vIDM) バージョン3.3.5、3.3.4、3.3.3（Linux）
- VMware vRealize Automation (vIDM) バージョン7.6（Linux）
- VMware Cloud Foundation (vIDM) バージョン4系
- VMware Cloud Foundation (vRA) バージョン3系
- vRealize Suite Lifecycle Manager (vIDM) バージョン8系

この問題は、当該製品にVMwareが提供するパッチを適用することで解決します。
詳細は、VMwareが提供する情報を参照してください。

【5】TP-Link製TL-WR802N V4(JP)にOSコマンドインジェクションの脆弱性

情報源
Japan Vulnerability Notes JVNVU#94883311
TP-Link 製 TL-WR802N V4(JP) におけるOSコマンドインジェクション
https://jvn.jp/vu/JVNVU94883311/

概要
TP-Link製TL-WR802N V4(JP)のファームウェアには、OSコマンドインジェクション
の脆弱性があります。結果として、当該製品のwebインタフェースにログイン
できるユーザーが、ファームウェアのデザイン上想定されていないOSコマンド
を実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- TP-Link TL-WR802N V4(JP)向けファームウェア211202より前のバージョン

この問題は、当該製品をTP-Linkが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、TP-Linkが提供する情報を参照してください。

関連文書 (日本語)
TP-Link
TL-WR802N V4をダウンロード
https://www.tp-link.com/jp/support/download/tl-wr802n/#Firmware

関連文書 (英語)
Isopach's blog
TP-Link TL-WR802N V4(JP) Command Injection Exploit (CVE-2021-4144)
https://isopach.dev/CVE-2021-4144/

【6】IDEC製PLCに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#92279973
IDEC製PLCに複数の脆弱性
https://jvn.jp/vu/JVNVU92279973/

概要
IDEC株式会社が提供するPLC（Programmable Logic Controller）には、複数の
脆弱性があります。結果として、第三者がPLCとソフトウエア間の通信からユー
ザーの認証情報を取得するなどの可能性があります。

対象となる製品は、多岐に渡ります。詳細はIDEC株式会社が提供するアドバイ
ザリ情報を参照してください。

この問題は、当該製品をIDEC株式会社が提供する修正済みのバージョンに更新
することで解決します。また、IDEC株式会社から、本脆弱性の影響を軽減する
ための回避策が提示されています。詳細は、IDEC株式会社が提供する情報を参
照してください。

関連文書 (日本語)
IDEC株式会社
弊社 PLC の脆弱性に関するご連絡
https://www.idec.com/home/lp/pdf/2021-12-24-PLC.pdf

【7】コニカミノルタ製複合機および印刷システムに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#95192472
コニカミノルタ製複合機および印刷システムにおける複数の脆弱性
https://jvn.jp/vu/JVNVU95192472/

概要
コニカミノルタ製複合機および印刷システムには、複数の脆弱性があります。
結果として、第三者が認証情報を取得したり、不正なファームウェアをインス
トールしたりするなどの可能性があります。

対象となる製品は、多岐に渡ります。詳細はコニカミノルタ株式会社が提供す
るアドバイザリ情報を参照してください。

この問題は、当該製品をコニカミノルタ株式会社が提供する修正済みのバージョン
に更新することで解決します。ファームウェアの適用は、リモートメンテナン
スまたはカスタマーエンジニアの訪問時に順次実施されるとのことです。詳細
は、コニカミノルタ株式会社が提供する情報を参照してください。

関連文書 (日本語)
コニカミノルタ株式会社
コニカミノルタ製複合機・プリンターにおける複数のセキュリティー脆弱性について
https://www.konicaminolta.jp/business/support/important/211224_01_01.html