ミニ・いんふぉめーしょん

目 次

【1】Google Chromeに型の取り違えの脆弱性
【2】VMware Carbon Black App Controlに複数の脆弱性
【3】Drupalのサードパーティライブラリに脆弱性
【4】Netcommunity OG410XおよびOG810XシリーズにOSコマンドインジェクションの脆弱性
【今週のひとくちメモ】IPAが「情報セキュリティ対策ベンチマーク」Ver.5.1診断データの統計情報を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr221301.html
https://www.jpcert.or.jp/wr/2022/wr221301.xml
============================================================================

【1】Google Chromeに型の取り違えの脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/28/google-releases-security-updates-chrome

概要
Google Chromeには、型の取り違えの脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 99.0.4844.84より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/03/stable-channel-update-for-desktop_25.html

【2】VMware Carbon Black App Controlに複数の脆弱性

情報源
CISA Current Activity
VMware Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/24/vmware-releases-security-updates

概要
VMware Carbon Black App Controlには、複数の脆弱性があります。結果とし
て、管理画面にアクセス可能な遠隔のユーザーが、不正な入力をして任意のコ
マンドを実行したり、細工したファイルをアップロードして任意のコードを実
行したりする可能性があります。

対象となる製品は次のとおりです。

- VMware Carbon Black App Control（AppC）

この問題は、当該製品をVMwareが提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、VMwareが提供する情報を参照してください。

関連文書 (英語)
VMware
VMSA-2022-0008
https://www.vmware.com/security/advisories/VMSA-2022-0008.html

【3】Drupalのサードパーティライブラリに脆弱性

情報源
CISA Current Activity
Drupal Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/22/drupal-releases-security-updates

概要
Drupalが使用するGuzzleライブラリには、脆弱性があります。結果として、第
三者がヘッダーに任意の値を設定する可能性があります。

対象となるバージョンは次のとおりです。

- Drupal 9.3.9より前の9.3系バージョン
- Drupal 9.2.16より前の9.2系バージョン

この問題は、該当する製品をDrupalが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Drupalが提供する情報を参照してください。

関連文書 (英語)
Drupal
Drupal core - Moderately critical - Third-party libraries - SA-CORE-2022-006
https://www.drupal.org/sa-core-2022-006

【4】Netcommunity OG410XおよびOG810XシリーズにOSコマンドインジェクションの脆弱性

情報源
Japan Vulnerability Notes JVNVU#94900322
Netcommunity OG410XおよびOG810XシリーズにおけるOSコマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU94900322/

概要
東日本電信電話株式会社および西日本電信電話株式会社が提供するVoIPゲート
ウェイ/事業所向けひかり電話対応アダプターOG410XおよびOG810Xシリーズに
は、脆弱性があります。結果として、管理画面にログイン可能な第三者が任意
のコマンドを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- VoIPゲートウェイ Netcommunity OG410Xa、OG410Xi、OG810Xa、OG810Xi ファームウェアVer.2.28およびそれ以前のバージョン
- 事業所向けひかり電話対応アダプター Netcommunity OG410Xa、OG410Xi、OG810Xa、OG810Xi ファームウェアVer.2.28およびそれ以前のバージョン

この問題は、該当する製品を東日本電信電話株式会社および西日本電信電話株
式会社が提供する修正済みのバージョンに更新することで解決します。詳細は、
東日本電信電話株式会社および西日本電信電話株式会社が提供する情報を参照
してください。

関連文書 (日本語)
東日本電信電話株式会社
Netcommunity OG410X810Xシリーズをご利用のお客さまへ
https://business.ntt-east.co.jp/topics/2022/03_22.html

西日本電信電話株式会社
「Netcommunity OG410X810Xシリーズ」をご利用のお客さまへ
https://www.ntt-west.co.jp/smb/kiki_info/info/220322.html

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○IPAが「情報セキュリティ対策ベンチマーク」Ver.5.1診断データの統計情報を公開

2022年3月22日、独立行政法人情報処理推進機構（IPA）は、「情報セキュリティ
対策ベンチマーク」Ver.5.1診断データの統計情報を公開しました。情報セキュ
リティ対策ベンチマークは、Webページ上の質問に答えることで、組織の情報
セキュリティへの取組状況を自己診断するツールです。本統計情報は2010年4月
1日から2021年12月31日までの診断データに関する統計情報となっています。

参考文献 (日本語)
独立行政法人情報処理推進機構
情報セキュリティ対策ベンチマークVer.5.1について
https://security-shien.ipa.go.jp/diagnosis/

目 次

【1】ISC BIND 9に複数の脆弱性
【2】Google Chromeに複数の脆弱性
【3】複数のApple製品に脆弱性
【4】Apache HTTP Serverに複数の脆弱性
【5】WordPressに複数の脆弱性
【6】OpenSSLにサービス運用妨害（DoS）の脆弱性
【7】Drupalのサードパーティライブラリに複数の脆弱性
【8】CRI-Oに権限昇格の脆弱性
【9】キングソフト製「WPS Office」および「KINGSOFT Internet Security」に複数の脆弱性
【10】pfSenseに複数の脆弱性
【今週のひとくちメモ】JPCERT/CCが「サイバー政策動向を知ろう Watch! Cyber World vol.2｜ランキング」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr221201.html
https://www.jpcert.or.jp/wr/2022/wr221201.xml
============================================================================

【1】ISC BIND 9に複数の脆弱性

情報源
CISA Current Activity
ISC Releases Security Advisories for BIND
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/17/isc-releases-security-advisories-bind

概要
ISC BIND 9には、複数の脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害（DoS）攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- BIND 9.11.0から9.11.36までのバージョン
- BIND 9.12.0から9.16.26までのバージョン
- BIND 9.17.0から9.18.0までのバージョン
- BIND Supported Preview Edition 9.11.4-S1から9.11.36-S1までのバージョン
- BIND Supported Preview Edition 9.16.8-S1から9.16.26-S1までのバージョン

なお、すでにサポートが終了しているBIND 9も影響を受ける可能性があります。

この問題は、該当する製品をISCが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、ISCが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
ISC BIND 9における複数の脆弱性について（2022年3月）
https://www.jpcert.or.jp/newsflash/2022031701.html

日本レジストリサービス (JPRS)
BIND 9.xの脆弱性（キャッシュポイズニングの危険性）について（CVE-2021-25220）- DNSフォワーダーのみ対象、バージョンアップを推奨 -
https://jprs.jp/tech/security/2022-03-17-bind9-vuln-forwarder.html

日本レジストリサービス (JPRS)
BIND 9.xの脆弱性（システムリソースの過度な消費）について（CVE-2022-0396）- keep-response-orderを有効にしている場合のみ対象、バージョンアップを推奨 -
https://jprs.jp/tech/security/2022-03-17-bind9-vuln-keep-response-order.html

日本レジストリサービス (JPRS)
（緊急）BIND 9.18.0の脆弱性（DNSサービスの停止）について（CVE-2022-0635）- BIND 9.18.0のみが対象、バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2022-03-17-bind9-vuln-aggressiveuse.html

日本レジストリサービス (JPRS)
（緊急）BIND 9.18.0の脆弱性（DNSサービスの停止）について（CVE-2022-0667）- BIND 9.18.0のみが対象、バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2022-03-17-bind9-vuln-dslookup.html

Japan Vulnerability Notes JVNVU#98927070
ISC BINDにおける複数の脆弱性
https://jvn.jp/vu/JVNVU98927070/

関連文書 (英語)
Internet Systems Consortium(ISC)
CVE-2021-25220: DNS forwarders - cache poisoning vulnerability
https://kb.isc.org/docs/cve-2021-25220

Internet Systems Consortium(ISC)
CVE-2022-0396: DoS from specifically crafted TCP packets
https://kb.isc.org/docs/cve-2022-0396

Internet Systems Consortium(ISC)
CVE-2022-0635: DNAME insist with synth-from-dnssec enabled
https://kb.isc.org/docs/cve-2022-0635

Internet Systems Consortium(ISC)
CVE-2022-0667: Assertion failure on delayed DS lookup
https://kb.isc.org/docs/cve-2022-0667

【2】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/16/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 99.0.4844.74より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/03/stable-channel-update-for-desktop_15.html

【3】複数のApple製品に脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/16/apple-releases-security-updates-multiple-products

概要
複数のApple製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- iOS 15.4より前のバージョン
- iPadOS 15.4より前のバージョン
- macOS Monterey 12.3より前のバージョン
- macOS Big Sur 11.6.5より前のバージョン
- macOS Catalina（Security Update 2022-003 未適用）
- tvOS 15.4より前のバージョン
- iTunes for Windows 12.12.3より前のバージョン
- Xcode 13.3より前のバージョン
- Logic Pro X 10.7.3より前のバージョン
- GarageBand 10.4.6より前のバージョン
- watchOS 8.5より前のバージョン
- Safari 15.4より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Apple製品のアップデートについて（2022年3月）
https://www.jpcert.or.jp/newsflash/2022031501.html

Apple
iOS 15.4 および iPadOS 15.4 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213182

Apple
macOS Monterey 12.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213183

Apple
macOS Big Sur 11.6.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213184

Apple
セキュリティアップデート 2022-003 Catalina のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213185

Apple
tvOS 15.4 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213186

Apple
iTunes for Windows 12.12.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213188

Apple
Xcode 13.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213189

Apple
Logic Pro X 10.7.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213190

Apple
GarageBand 10.4.6 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213191

Apple
watchOS 8.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213193

Apple
Safari 15.4 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213187

【4】Apache HTTP Serverに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#99602154
Apache HTTP Server 2.4における複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU99602154/

概要
The Apache Software Foundationが提供するApache HTTP Serverには、複数の
脆弱性があります。結果として、遠隔の第三者がサービス運用妨害（DoS）攻
撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- Apache HTTP Server 2.4.52およびそれ以前

この問題は、Apache HTTP Serverを開発者が提供する修正済みのバージョンに
更新することで解決します。詳細は、開発者が提供する情報を参照してくださ
い。

関連文書 (英語)
The Apache Software Foundation
Fixed in Apache HTTP Server 2.4.53
https://httpd.apache.org/security/vulnerabilities_24.html

The Apache Software Foundation
Apache HTTP Server 2.4.53 Released
https://downloads.apache.org/httpd/Announcement2.4.html

【5】WordPressに複数の脆弱性

情報源
CISA Current Activity
WordPress Releases Security Update
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/17/wordpress-releases-security-update

概要
WordPressには、複数の脆弱性があります。結果として、遠隔の第三者が任意
のスクリプトを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- WordPress 3.7から5.9.2より前のバージョン

この問題は、該当する製品をWordPressが提供する修正済みのバージョンに更
新することで解決します。詳細は、WordPressが提供する情報を参照してくだ
さい。

関連文書 (英語)
WordPress
WordPress 5.9.2 Security and Maintenance Release
https://wordpress.org/news/2022/03/wordpress-5-9-2-security-maintenance-release/

【6】OpenSSLにサービス運用妨害（DoS）の脆弱性

情報源
CISA Current Activity
OpenSSL Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/17/openssl-releases-security-updates

概要
OpenSSLのBN_mod_sqrt()には、法が非素数の場合、無限ループを引き起こす問
題があります。結果として、サービス運用妨害（DoS）状態になる可能性があ
ります。

対象となるバージョンは次のとおりです。

- OpenSSL 1.0.2zdより前の1.0.2系のバージョン
- OpenSSL 1.1.0系のすべてのバージョン
- OpenSSL 1.1.1nより前の1.1.1系のバージョン
- OpenSSL 3.0.2より前の3.0系のバージョン

この問題は、OpenSSLをOpenSSL Projectが提供する修正済みのバージョンに更
新することで解決します。詳細は、OpenSSL Projectが提供する情報を参照し
てください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#90813125
OpenSSLのBN_mod_sqrt()における法が非素数のときに無限ループを引き起こす問題
https://jvn.jp/vu/JVNVU90813125/

関連文書 (英語)
OpenSSL
OpenSSL Security Advisory [15 March 2022]
https://www.openssl.org/news/secadv/20220315.txt

【7】Drupalのサードパーティライブラリに複数の脆弱性

情報源
CISA Current Activity
Drupal Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/17/drupal-releases-security-updates

概要
Drupalが使用するCKEditorライブラリには、複数の脆弱性があります。結果と
して、第三者が任意のスクリプトを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Drupal 9.3.8より前の9.3系バージョン
- Drupal 9.2.15より前の9.2系バージョン

この問題は、該当する製品をDrupalが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Drupalが提供する情報を参照してください。

関連文書 (英語)
Drupal
Drupal core - Moderately critical - Third-party libraries - SA-CORE-2022-005
https://www.drupal.org/sa-core-2022-005

【8】CRI-Oに権限昇格の脆弱性

情報源
CISA Current Activity
CRI-O Security Update for Kubernetes
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/18/cri-o-security-update-kubernetes

概要
CRI-Oには、権限昇格の脆弱性があります。結果として、CRI-Oランタイムを使
用するKubernetesクラスターにポッドをデプロイする権限を持つユーザーがルー
ト権限で任意のコードを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- CRI-O 1.19.6より前のバージョン
- CRI-O 1.20.7より前のバージョン
- CRI-O 1.21.6より前のバージョン
- CRI-O 1.22.3より前のバージョン
- CRI-O 1.23.2より前のバージョン
- CRI-O 1.24.0より前のバージョン

この問題は、CRI-Oに開発者が提供するパッチを適用することで解決します。
詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
CRI-O
cri-o: Arbitrary code execution in cri-o via abusing “kernel.core_pattern” kernel parameter
https://github.com/cri-o/cri-o/security/advisories/GHSA-6x2m-w449-qwx7

【9】キングソフト製「WPS Office」および「KINGSOFT Internet Security」に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#21234459
キングソフト製「WPS Office」および「KINGSOFT Internet Security」における複数の脆弱性
https://jvn.jp/jp/JVN21234459/

概要
キングソフト株式会社が提供する「WPS Office」および「KINGSOFT Internet
Security」には、複数の脆弱性があります。結果として、第三者が任意のコマンド
を実行する可能性があります。

対象となる製品は次のとおりです。

- WPS Office
- WPS Presentation
- KINGSOFT Internet Security 9 Plus

該当する製品は、サポートが終了しており、修正アップデートは提供されない
ことから、キングソフト株式会社が提供する後継製品への移行が推奨されてい
ます。詳細は、キングソフト株式会社が提供する情報を参照してください。

関連文書 (日本語)
キングソフト株式会社
WPS Office,KINGSOFT Internet Security の脆弱性に関するお知らせ
https://support.kingsoft.jp/support-info/weakness.html

【10】pfSenseに複数の脆弱性

情報源
Japan Vulnerability Notes JVN#87751554
pfSense における複数の脆弱性
https://jvn.jp/jp/JVN87751554/

概要
pfSenseには、複数の脆弱性があります。結果として、遠隔の第三者が、悪意
のあるURLを通じてcaptiveポータルログインページへアクセスしたユーザーの
Webブラウザー上で、任意のスクリプトを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- pfSense CE Software 2.6.0より前のバージョン
- pfSense Plus Software 22.01より前のバージョン

この問題は、開発者が提供する修正済みのバージョンに更新することで解決し
ます。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
pfSense
XSS vulnerability in the WebGUI
https://docs.netgate.com/downloads/pfSense-SA-21_02.captiveportal.asc

pfSense
File overwrite vulnerability in the WebGUI
https://docs.netgate.com/downloads/pfSense-SA-22_01.webgui.asc

pfSense
Multiple vulnerabilities in the WebGUI
https://docs.netgate.com/downloads/pfSense-SA-22_03.webgui.asc

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CCが「サイバー政策動向を知ろう Watch! Cyber World vol.2｜ランキング」を公開

2022年3月17日、JPCERT/CCは「サイバー政策動向を知ろう Watch! Cyber
World vol.2｜ランキング」を公開しました。JPCERT/CCは、サイバーセキュリ
ティ政策に関する諸外国の動向調査として政府機関、国際機関、企業などのニュー
スの収集および分析を行っています。
vol.2となる今回は、世界各国を対象にした複数のサイバーセキュリティのラン
キングから見た日本の強みについて解説しています。

参考文献 (日本語)
JPCERT/CC Eyes
サイバー政策動向を知ろう Watch! Cyber World vol.2｜ランキング
https://blogs.jpcert.or.jp/ja/2022/03/cyberworld2.html

目 次

【1】複数のマイクロソフト製品に脆弱性
【2】複数のアドビ製品に脆弱性
【3】複数のMozilla製品に脆弱性
【4】複数のSAP製品に脆弱性
【5】Intel製品に複数の脆弱性
【6】PTC製Axeda agentおよびAxeda Desktop Server for Windowsに複数の脆弱性
【7】WPS Office for WindowsのインストーラーにACL設定不備の脆弱性
【8】UNIVERGE WAシリーズにOSコマンドインジェクションの脆弱性
【9】複数のトレンドマイクロ製品に脆弱性
【10】Linux Kernelに権限昇格の脆弱性
【今週のひとくちメモ】JPCERT/CCが「制御システムセキュリティカンファレンス 2022」「JSAC2022」の開催レポートを公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr221101.html
https://www.jpcert.or.jp/wr/2022/wr221101.xml
============================================================================

【1】複数のマイクロソフト製品に脆弱性

情報源
CISA Current Activity
Microsoft Releases March 2022 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/08/microsoft-releases-march-2022-security-updates

概要
複数のマイクロソフト製品には、複数の脆弱性があります。結果として、遠隔
の第三者が任意のコードを実行するなどの可能性があります。

対象となる製品は、多岐に渡ります。詳細はマイクロソフト株式会社が提供す
るアドバイザリ情報を参照してください。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく
ださい。

関連文書 (日本語)
マイクロソフト株式会社
2022 年 3 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2022-Mar

JPCERT/CC 注意喚起
2022年3月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2022/at220007.html

【2】複数のアドビ製品に脆弱性

情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/08/adobe-releases-security-updates-multiple-products

概要
複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Photoshop 2021
- Photoshop 2022
- Illustrator 2022
- Adobe After Effects

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2022030902.html

関連文書 (英語)
アドビ
Security update available for Adobe Photoshop | APSB22-14
https://helpx.adobe.com/security/products/photoshop/apsb22-14.html

アドビ
Security Updates Available for Adobe Illustrator | APSB22-15
https://helpx.adobe.com/security/products/illustrator/apsb22-15.html

アドビ
Security Updates Available for Adobe After Effects | APSB22-17
https://helpx.adobe.com/security/products/after_effects/apsb22-17.html

【3】複数のMozilla製品に脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/07/mozilla-releases-security-updates-multiple-products

CISA Current Activity
Mozilla Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/08/mozilla-releases-security-updates

概要
複数のMozilla製品には、脆弱性があります。結果として、第三者が製品をク
ラッシュさせるなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 98より前のバージョン
- Mozilla Firefox ESR 91.7より前のバージョン
- Mozilla Firefox Focus 97.3より前のバージョン
- Mozilla Thunderbird 91.7より前のバージョン
- Mozilla Firefox for Android 97.3より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 97.0.2, Firefox ESR 91.6.1, Firefox for Android 97.3.0, and Focus 97.3.0
https://www.mozilla.org/en-US/security/advisories/mfsa2022-09/

Mozilla
Security Vulnerabilities fixed in Firefox 98
https://www.mozilla.org/en-US/security/advisories/mfsa2022-10/

Mozilla
Security Vulnerabilities fixed in Firefox ESR 91.7
https://www.mozilla.org/en-US/security/advisories/mfsa2022-11/

Mozilla
Security Vulnerabilities fixed in Thunderbird 91.7
https://www.mozilla.org/en-US/security/advisories/mfsa2022-12/

【4】複数のSAP製品に脆弱性

情報源
CISA Current Activity
SAP Releases March 2022 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/08/sap-releases-march-2022-security-updates

概要
複数のSAP製品には、脆弱性があります。結果として、遠隔の第三者が任意の
コードを実行するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はSAPが提供するアドバイザリ情
報を参照してください。

この問題は、該当する製品をSAPが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、SAPが提供する情報を参照してください。

関連文書 (英語)
SAP
SAP Security Patch Day March 2022
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a

【5】Intel製品に複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#96610560
Intel製品に複数の脆弱性（2022年3月）
https://jvn.jp/vu/JVNVU96610560/

概要
Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security
Center Advisoriesが公開されました。

詳細は、Intelが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Intel製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2022030901.html

関連文書 (英語)
Intel
Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html

【6】PTC製Axeda agentおよびAxeda Desktop Server for Windowsに複数の脆弱性

情報源
CISA Current Activity
CISA Releases Security Advisory on PTC Axeda Agent and Desktop Server
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/08/cisa-releases-security-advisory-ptc-axeda-agent-and-desktop-server

概要
PTC社が提供するAxeda agentおよびAxeda Desktop Server for Windowsには、
複数の脆弱性があります。結果として、遠隔の第三者が任意のコードを実行す
るなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Axeda agentすべてのバージョン
- Axeda Desktop Server for Windowsすべてのバージョン

この問題は、該当する製品をPTCが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、PTCが提供する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#97043819
PTC製Axeda agentおよびAxeda Desktop Server for Windowsにおける複数の脆弱性
https://jvn.jp/vu/JVNVU97043819/

関連文書 (英語)
PTC
Security vulnerabilities identified in the Axeda agent and Axeda Desktop Server
https://www.ptc.com/en/support/article/CS363561

【7】WPS Office for WindowsのインストーラーにACL設定不備の脆弱性

情報源
Japan Vulnerability Notes JVNVU#90673830
WPS Office for Windows のインストーラにACL設定不備の脆弱性
https://jvn.jp/vu/JVNVU90673830/

概要
WPS Office Softwareが提供するWPS Office for Windowsのインストーラーに
は、ACL設定不備の脆弱性があります。結果として、一般ユーザーが管理者権
限を取得する可能性があります。

対象となるバージョンは次のとおりです。

- WPS Office for Windows v11.2.0.10258より前のバージョン

この問題は、該当する製品をWPS Office Softwareが提供するアップデートを
適用することで解決します。詳細は、WPS Office Softwareが提供する情報を
参照してください。

【8】UNIVERGE WAシリーズにOSコマンドインジェクションの脆弱性

情報源
Japan Vulnerability Notes JVN#72801744
UNIVERGE WA シリーズにおける OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN72801744/

概要
NECプラットフォームズ株式会社が提供するUNIVERGE WAシリーズ主装置には、
OSコマンドインジェクションの脆弱性があります。結果として、当該製品へア
クセス可能な第三者が、任意のコマンドを実行したり、サービス運用妨害
（DoS）攻撃を行ったりする可能性があります。

対象となるバージョンは次のとおりです。

- UNIVERGE WAシリーズ Ver8.2.11およびそれ以前

この問題は、該当する製品をNECプラットフォームズ株式会社が提供する修正
済みのバージョンに更新することで解決します。詳細は、NECプラットフォー
ムズ株式会社が提供する情報を参照してください。

関連文書 (日本語)
NECプラットフォームズ株式会社
WAシリーズにおける「OS コマンドインジェクション」の脆弱性に関するお知らせ
https://jpn.nec.com/univerge/wa/info/20220309.html

【9】複数のトレンドマイクロ製品に脆弱性

情報源
Japan Vulnerability Notes JVNVU#96777901
トレンドマイクロ製パスワードマネージャーのインストーラにおけるDLL読み込みに関する脆弱性
https://jvn.jp/vu/JVNVU96777901/

Japan Vulnerability Notes JVNVU#99391968
Trend Micro Portable Securityの管理プログラムインストーラにおけるDLL読み込みに関する脆弱性
https://jvn.jp/vu/JVNVU99391968/

概要
複数のトレンドマイクロ製品には、DLL読み込みに関する脆弱性があります。
結果として、第三者が権限昇格を行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

- パスワードマネージャー 5.x Windows版 バージョン5.0.0.1262およびそれ以前のインストーラー
- Trend Micro Portable Security 3.0
- Trend Micro Portable Security 2.0

この問題は、トレンドマイクロ株式会社が提供する最新のインストーラーを使
用するか、トレンドマイクロ株式会社が提供するパッチを適用することで解決
します。詳細は、トレンドマイクロ株式会社が提供する情報を参照してくださ
い。

関連文書 (日本語)
トレンドマイクロ株式会社
アラートアドバイザリ：パスワードマネージャーの脆弱性について (CVE-2022-26337)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10949

トレンドマイクロ株式会社
アラート/アドバイザリ：Trend Micro Portable Securityの管理プログラムインストーラにおける権限昇格の脆弱性について
https://success.trendmicro.com/jp/solution/000290532

【10】Linux Kernelに権限昇格の脆弱性

情報源
CISA Current Activity
Dirty Pipe Privilege Escalation Vulnerability in Linux
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/10/dirty-pipe-privilege-escalation-vulnerability-linux

概要
Linux Kernelには、権限昇格の脆弱性があります。結果として、第三者が管理
者に権限昇格を行う可能性があります。脆弱性には「CVE-2022-0847」が付番
されており、発見者は脆弱性を「Dirty Pipe」と呼称し、脆弱性を実証するコー
ドも公開しています。

脆弱性の発見者によると、対象となるバージョンは次のとおりです。

- Linux Kernel 5.8以降のバージョン

各Linuxディストリビューションにおける対象バージョンは、ディストリビュー
ターの情報を参照ください。

各ディストリビューターより、本脆弱性を修正したバージョンが公開されてい
ます。各ディストリビューターの情報などを参考にバージョンアップなどの対
応を検討してください。

関連文書 (英語)
CM4all GmbH
The Dirty Pipe Vulnerability
https://dirtypipe.cm4all.com/

The MITRE Corporation
CVE-2022-0847 Detail
https://www.cve.org/CVERecord?id=CVE-2022-0847

Red Hat Customer Portal
CVE-2022-0847
https://access.redhat.com/security/cve/cve-2022-0847

Debian
CVE-2022-0847
https://security-tracker.debian.org/tracker/CVE-2022-0847

SUSE
CVE-2022-0847
https://www.suse.com/security/cve/CVE-2022-0847.html

Ubuntu
CVE-2022-0847
https://ubuntu.com/security/CVE-2022-0847

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CCが「制御システムセキュリティカンファレンス 2022」「JSAC2022」の開催レポートを公開

2022年3月3日、JPCERT/CCは「制御システムセキュリティカンファレンス 2022」
の開催レポートを公開しました。同年2月3日に開催した本カンファレンスは、
国内外の制御システムにおける脅威の現状や制御システムセキュリティのステー
クホルダーによる取り組みを共有し、参加者の制御システムセキュリティ対策の
向上やベストプラクティス確立の一助となることを目的に開催しています。

2022年2月28日、3月8日、JPCERT/CCは「JSAC2022」の開催レポートをそれぞれ
Day1、Day2と分けて公開しました。2022年1月27日、28日に開催した本カンファ
レンスは、日本国内のセキュリティアナリストの底上げを行うため、国内のセ
キュリティアナリストが一堂に会し、インシデント分析・対応に関連する技術
的な知見を共有することを目的に開催しています。

各開催レポートでは、講演の様子や一部講演資料などを公開しています。次回
の開催にもご期待ください。

参考文献 (日本語)
JPCERT/CC Eyes
制御システムセキュリティカンファレンス 2022 開催レポート
https://blogs.jpcert.or.jp/ja/2022/03/ics-conference2022.html

JPCERT/CC Eyes
JSAC2022開催レポート～DAY1～
https://blogs.jpcert.or.jp/ja/2022/02/jsac2022report1.html

JPCERT/CC Eyes
JSAC2022開催レポート～DAY2～
https://blogs.jpcert.or.jp/ja/2022/03/jsac2022report2.html

目 次

【1】複数のCisco製品に脆弱性
【2】Google Chromeに複数の脆弱性
【3】トレンドマイクロ製ServerProtectに複数の脆弱性
【4】pfSense-pkg-WireGuardにディレクトリトラバーサルの脆弱性
【5】MarkTextにクロスサイトスクリプティングの脆弱性
【6】Mac版ノートンセキュリティにICMPパケットの不適切な処理に関する脆弱性
【今週のひとくちメモ】JPCERT/CCが「マルウェアEmotetの感染再拡大に関する注意喚起」を再び更新

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr221001.html
https://www.jpcert.or.jp/wr/2022/wr221001.xml
============================================================================

【1】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/03/cisco-releases-security-updates-multiple-products

概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコード実行やファイルへの書き込みを行うなどの可能性があります。

対象となる製品は、多岐にわたります。詳細や最新の情報については、Cisco
が提供するアドバイザリ情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供するアドバイザリ情報を参照して
ください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

Cisco
Cisco Expressway Series and Cisco TelePresence Video Communication Server Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-expressway-filewrite-87Q5YRk

Cisco
Cisco Identity Services Engine RADIUS Service Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-dos-JLh9TxBp

Cisco
Cisco StarOS Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-staros-cmdinj-759mNT4n

Cisco
Cisco Ultra Cloud Core - Subscriber Microservices Infrastructure Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-uccsmi-prvesc-BQHGe4cm

【2】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/02/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 99.0.4844.51より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/03/stable-channel-update-for-desktop.html

【3】トレンドマイクロ製ServerProtectに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#92972528
トレンドマイクロ製ServerProtectにおける複数の脆弱性
https://jvn.jp/vu/JVNVU92972528/

概要
トレンドマイクロ株式会社が提供するServerProtectには、複数の脆弱性があ
ります。結果として、遠隔の第三者によって、任意のプログラムを実行する可
能性があります。

対象となるバージョンは次のとおりです。

- ServerProtect for Storage 6.0
- ServerProtect for Windows 5.8
- ServerProtect for EMC Celerra 5.8
- ServerProtect for NetApp 5.8

この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正パッチ
を適用することで解決します。詳細は、トレンドマイクロ株式会社が提供する
情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ：ServerProtectにおける複数の脆弱性について
https://success.trendmicro.com/jp/solution/000290509

【4】pfSense-pkg-WireGuardにディレクトリトラバーサルの脆弱性

情報源
Japan Vulnerability Notes JVN#85572374
pfSense-pkg-WireGuard におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN85572374/

概要
pfSense-pkg-WireGuardには、ディレクトリトラバーサルの脆弱性があります。
結果として、pfSenseのユーザが、本来閲覧できない公開フォルダ以外のファ
イルを閲覧する可能性があります。

対象となるバージョンは次のとおりです。

- pfSense-pkg-WireGuard 0.1.5系0.1.5_4より前のバージョン
- pfSense-pkg-WireGuard 0.1.6系0.1.6_1より前のバージョン

この問題は、pfSense-pkg-WireGuardに開発者が提供するアップデートを適用
することによって解決します。詳細は、開発者が提供する情報を参照してくだ
さい。

関連文書 (英語)
pfsense /FreeBSD-ports
pfSense-pkg-WireGuard
https://github.com/pfsense/FreeBSD-ports/commits/devel/net/pfSense-pkg-WireGuard

【5】MarkTextにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#89524240
MarkText におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN89524240/

概要
MarkTextには、クロスサイトスクリプティングの脆弱性があります。結果とし
て、該当する製品を使用しているユーザのPC上で、任意のスクリプトを実行さ
れる可能性があります。

対象となるバージョンは次のとおりです。

- MarkText v0.17.0より前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
marktext /marktext
MarkText Release 0.17.0
https://github.com/marktext/marktext/releases/tag/v0.17.0

【6】Mac版ノートンセキュリティにICMPパケットの不適切な処理に関する脆弱性

情報源
Japan Vulnerability Notes JVN#87683137
Mac 版ノートンセキュリティにおける ICMP パケットの不適切な処理に関する脆弱性
https://jvn.jp/jp/JVN87683137/

概要
Mac版ノートンセキュリティにはICMPパケットの処理に問題があります。結果
として、管理者権限を持たないユーザが、OSをクラッシュさせる可能性があ
ります。

対象となるバージョンは次のとおりです。

- Mac版ノートンセキュリティ 8.6.6より前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
株式会社ノートンライフロック
Mac 版ノートン セキュリティ 8.6.6 が公開されました
https://community.norton.com/ja/blogs/product-service-announcements/mac-版ノートン-セキュリティ-866-が公開されました

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CCが「マルウェアEmotetの感染再拡大に関する注意喚起」を再び更新

2022年3月3日、JPCERT/CCは「マルウェアEmotetの感染再拡大に関する注意喚
起」を更新しました。
2022年3月に入り、Emotetに感染しメール送信に悪用される可能性のある.jpメー
ルアドレス数が2020年の感染ピーク時の約5倍以上に急増しています。
また、国内感染組織から国内組織に対するメール配信も増えています。

感染のさらなる拡大を防ぐため、改めて、取引先などから送付されたように
みえるメールでも安易に添付ファイルの実行や文中のURLにアクセスしないよ
う注意して下さい。また、組織内で注意を呼び掛けるなど警戒を高めていただ
くことを推奨しています。

参考文献 (日本語)
JPCERT/CC 注意喚起
マルウェアEmotetの感染再拡大に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220006.html

目 次

【1】複数のCisco製品に脆弱性
【2】トレンドマイクロ製企業向けエンドポイントセキュリティ製品に複数の脆弱性
【3】Mozilla VPNに任意のコード実行の脆弱性
【4】GitLabに複数の脆弱性
【5】EC-CUBEにHTTP Hostヘッダー処理の脆弱性
【6】EC-CUBE用プラグイン「メルマガ管理プラグイン」にクロスサイトリクエストフォージェリの脆弱性
【今週のひとくちメモ】経済産業省が「昨今の情勢を踏まえたサイバーセキュリティ対策の強化について（注意喚起）」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr220901.html
https://www.jpcert.or.jp/wr/2022/wr220901.xml
============================================================================

【1】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/02/24/cisco-releases-security-updates-multiple-products

概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害（DoS）攻撃を行うなどの可能性があります。

対象となる製品は、多岐にわたります。詳細や最新の情報については、Cisco
が提供するアドバイザリ情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供するアドバイザリ情報を参照して
ください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

Cisco
Cisco Nexus 9000 Series Switches Bidirectional Forwarding Detection Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-bfd-dos-wGQXrzxn

Cisco
Cisco NX-OS Software NX-API Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-nxapi-cmdinject-ULukNMZ2

Cisco
Cisco NX-OS Software Cisco Fabric Services Over IP Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cfsoip-dos-tpykyDr

Cisco
Cisco Nexus 9000 Series Fabric Switches ACI Mode Multi-Pod and Multi-Site TCP Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-n9kaci-tcp-dos-YXukt6gM

【2】トレンドマイクロ製企業向けエンドポイントセキュリティ製品に複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#96994445
トレンドマイクロ製企業向けエンドポイントセキュリティ製品における脆弱性に対するアップデート (2022年3月)
https://jvn.jp/vu/JVNVU96994445/

概要
トレンドマイクロ製企業向けエンドポイントセキュリティ製品には、複数の脆
弱性があります。結果として、遠隔の第三者がサービス運用妨害（DoS）攻撃
などを行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Apex One 2019
- Apex One SaaS
- ウイルスバスターコーポレートエディション XG SP1
- ウイルスバスタービジネスセキュリティ 10.0 SP1
- ウイルスバスタービジネスセキュリティサービス 6.7

この問題は、該当する製品にトレンドマイクロ株式会社が提供する最新版を適
用することで解決します。詳細はトレンドマイクロ株式会社が提供する情報を
参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ：ウイルスバスタービジネスセキュリティとウイルスバスタービジネスセキュリティサービスで確認された複数の脆弱性について（2022年2月)
https://success.trendmicro.com/jp/solution/000290491

【3】Mozilla VPNに任意のコード実行の脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Update for Mozilla VPN
https://www.cisa.gov/uscert/ncas/current-activity/2022/02/25/mozilla-releases-security-update-mozilla-vpn

概要
Mozilla VPNには、脆弱性があります。結果として、ユーザーがSYSTEM権限で
任意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla VPN 2.7.1より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)
Mozilla
Mozilla VPN local privilege escalation vis uncontrolled OpenSSL search path
https://www.mozilla.org/en-US/security/advisories/mfsa2022-08/

【4】GitLabに複数の脆弱性

情報源
GitLab
GitLab Critical Security Release: 14.8.2, 14.7.4, and 14.6.5
https://about.gitlab.com/releases/2022/02/25/critical-security-release-gitlab-14-8-2-released/

概要
GitLabには、複数の脆弱性があります。結果として、権限のないユーザーが認
証情報を窃取したり、他のユーザーをグループに加えたりするなどの可能性が
あります。

対象となるバージョンは次のとおりです。

- GitLab Community EditionおよびEnterprise Edition 14.8.2より前の14.8系バージョン
- GitLab Community EditionおよびEnterprise Edition 14.7.4より前の14.7系バージョン
- GitLab Community EditionおよびEnterprise Edition 14.6.5より前の14.6系バージョン

この問題は、該当する製品をGitLabが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、GitLabが提供する情報を参照してください。

【5】EC-CUBEにHTTP Hostヘッダー処理の脆弱性

情報源
Japan Vulnerability Notes JVN#53871926
EC-CUBE における HTTP Host ヘッダの処理に脆弱性
https://jvn.jp/jp/JVN53871926/

概要
EC-CUBEには、HTTP Hostヘッダーの処理に脆弱性があります。結果として、遠
隔の第三者によって、EC-CUBEユーザーにURLの一部が改ざんされたパスワード
再発行用のメールが送信される可能性があります。

- EC-CUBE 3.0.0から3.0.18-p3まで (EC-CUBE 3系)
- EC-CUBE 4.0.0から4.1.1まで (EC-CUBE 4系)

この問題は、EC-CUBEに株式会社イーシーキューブが提供するアップデートを
適用したり、EC-CUBEの設定の変更や対象ファイルを修正したりすることによっ
て解決します。詳細は、株式会社イーシーキューブが提供する情報を参照して
ください。

関連文書 (日本語)
株式会社イーシーキューブ
EC-CUBEにおける HTTP Hostヘッダの処理に脆弱性 (JVN#53871926)
https://www.ec-cube.net/info/weakness/20220221/

【6】EC-CUBE用プラグイン「メルマガ管理プラグイン」にクロスサイトリクエストフォージェリの脆弱性

情報源
Japan Vulnerability Notes JVN#67108459
EC-CUBE 用プラグイン「メルマガ管理プラグイン」におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN67108459/

概要
EC-CUBE用プラグイン「メルマガ管理プラグイン」には、クロスサイトリクエ
ストフォージェリの脆弱性があります。結果として、当該プラグインがインス
トールされたEC-CUBEにログインした状態の管理者権限を持つユーザーが、細
工されたページにアクセスした場合、意図せずメールマガジンテンプレートや
送信履歴が削除される可能性があります。

対象となるバージョンは次のとおりです。

- メルマガ管理プラグイン ver4.0.0から4.1.1まで (EC-CUBE 4系向け)
- メルマガ管理プラグイン ver1.0.0から1.0.4まで (EC-CUBE 3系向け)

この問題は、該当する製品を株式会社イーシーキューブが提供する修正済みの
バージョンに更新することで解決します。詳細は、株式会社イーシーキューブ
が提供する情報を参照してください。

関連文書 (日本語)
株式会社イーシーキューブ
EC-CUBE メルマガ管理プラグインにおける CSRFの脆弱性 (JVN#67108459)
https://www.ec-cube.net/info/weakness/20220221/mail_magazine_plugin.php

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○経済産業省が「昨今の情勢を踏まえたサイバーセキュリティ対策の強化について（注意喚起）」を公開

経済産業省は2022年2月23日、昨今の国際情勢の変動を受けて、「昨今の情勢
を踏まえたサイバーセキュリティ対策の強化について（注意喚起）」を公開し
ました。サイバー攻撃事案の潜在的リスクが高まっていると考えられる中、サ
イバーセキュリティについて推奨される対策とあわせて、不審な動きがあった
際の相談先となる専門機関を紹介する内容となっています。

参考文献 (日本語)
経済産業省
昨今の情勢を踏まえたサイバーセキュリティ対策の強化について注意喚起を行います
https://www.meti.go.jp/press/2021/02/20220221003/20220221003.html