■04/10(日)~04/16(土) のセキュリティ関連情報
目 次
【1】複数のマイクロソフト製品に脆弱性
【2】複数のアドビ製品に脆弱性
【3】Google Chromeに複数の脆弱性
【4】複数のCisco製品に脆弱性
【5】複数のJuniper Networks製品に脆弱性
【6】複数のCitrix製品に脆弱性
【7】Apache Struts 2に任意のコードが実行可能な脆弱性
【8】VMware Cloud Directorに任意のコードが実行可能な脆弱性
【今週のひとくちメモ】2022年1月~2022年3月分の「活動四半期レポート」「インシデント報告対応レポート」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr221601.html
https://www.jpcert.or.jp/wr/2022/wr221601.xml
============================================================================
【1】複数のマイクロソフト製品に脆弱性
情報源
CISA Current Activity
Microsoft Releases April 2022 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/04/12/microsoft-releases-april-2022-security-updates
CISA Current Activity
Microsoft Releases Advisory to Address Critical Remote Code Execution Vulnerability (CVE-2022-26809)
https://www.cisa.gov/uscert/ncas/current-activity/2022/04/13/microsoft-releases-advisory-address-critical-remote-code-execution
概要
複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。
対象となる製品は、多岐にわたります。詳細はマイクロソフト株式会社が提供
するアドバイザリ情報を参照してください。
この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく
ださい。
関連文書 (日本語)
マイクロソフト株式会社
2022 年 4 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2022-Apr
JPCERT/CC 注意喚起
2022年4月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2022/at220010.html
【2】複数のアドビ製品に脆弱性
情報源
アドビ
Security update available for Adobe Commerce | APSB22-13
https://helpx.adobe.com/security/products/magento/apsb22-13.html
アドビ
Security update available for Adobe Acrobat and Reader | APSB22-16
https://helpx.adobe.com/security/products/acrobat/apsb22-16.html
アドビ
Security Updates Available for Adobe After Effects | APSB22-19
https://helpx.adobe.com/security/products/after_effects/apsb22-19.html
アドビ
Security update available for Adobe Photoshop | APSB22-20
https://helpx.adobe.com/security/products/photoshop/apsb22-20.html
概要
複数のアドビ製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。
対象となる製品は次のとおりです。
- Adobe Acrobat
- Adobe Acrobat Reader
- Adobe Commerce
- Adobe After Effects
- Adobe Photoshop
この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC 注意喚起
Adobe AcrobatおよびReaderの脆弱性(APSB22-16)に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220009.html
JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2022041301.html
【3】Google Chromeに複数の脆弱性
情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://www.cisa.gov/uscert/ncas/current-activity/2022/04/15/google-releases-security-updates-chrome
概要
Google Chromeには、複数の脆弱性があります。
対象となるバージョンは次のとおりです。
- Google Chrome 100.0.4896.127より前のバージョン
この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。
関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/04/stable-channel-update-for-desktop_14.html
【4】複数のCisco製品に脆弱性
情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/04/14/cisco-releases-security-updates-multiple-products
概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が認証
を回避するなどの可能性があります。
対象となる製品は、多岐にわたります。詳細や最新の情報については、Cisco
が提供するアドバイザリ情報を参照してください。
この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供するアドバイザリ情報を参照して
ください。
関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x
【5】複数のJuniper Networks製品に脆弱性
情報源
CISA Current Activity
Juniper Networks Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/04/14/juniper-networks-releases-security-updates-multiple-products
概要
複数のJuniper Networks製品には、脆弱性があります。結果として、遠隔の第
三者がサービス運用妨害(DoS)攻撃を行うなどの可能性があります。
対象となる製品は、多岐にわたります。詳細はJuniper Networksが提供するア
ドバイザリ情報を参照してください。
この問題は、該当する製品をJuniper Networksが提供する修正済みのバージョ
ンに更新することで解決します。詳細は、Juniper Networksが提供する情報を
参照してください。
関連文書 (英語)
Juniper Networks
Juniper Support Portal Search Results - Security Advisories
https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES
【6】複数のCitrix製品に脆弱性
情報源
CISA Current Activity
Citrix Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/04/12/citrix-releases-security-updates-multiple-products
概要
複数のCitrix製品には、脆弱性があります。結果として、当該製品にアクセス
したユーザーのウェブブラウザー上で、任意のスクリプトを実行されるなどの
可能性があります。
対象となる製品は、多岐にわたります。詳細はCitrixが提供する情報を参照し
てください。
この問題は、該当する製品をCitrixが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Citrixが提供する情報を参照してください。
関連文書 (英語)
Citrix
Citrix SD-WAN Security Bulletin for CVE-2022-27505 and CVE-2022-27506
https://support.citrix.com/article/CTX370550
Citrix
Citrix StoreFront Security Bulletin for CVE-2022-27503
https://support.citrix.com/article/CTX377814
Citrix
Citrix Endpoint Management (XenMobile Server) Security Bulletin for CVE-2021-44519, CVE-2021-44520, and CVE-2022-26151
https://support.citrix.com/article/CTX370551
Citrix
Citrix Gateway Plug-in for Windows Security Bulletin for CVE-2022-21827
https://support.citrix.com/article/CTX341455
【7】Apache Struts 2に任意のコードが実行可能な脆弱性
情報源
CISA Current Activity
Apache Releases Security Advisory for Struts 2
https://www.cisa.gov/uscert/ncas/current-activity/2022/04/12/apache-releases-security-advisory-struts-2
概要
The Apache Software Foundationが提供するApache Struts 2には、不適切な
入力確認に起因する任意のコードが実行可能な脆弱性があります。結果として、
遠隔の第三者が、任意のコードを実行する可能性があります。
対象となるバージョンは次のとおりです。
- Apache Struts 2.0.0から2.5.29までのバージョン
この問題は、Apache Struts 2をThe Apache Software Foundationが提供する
修正済みのバージョンに更新することで解決します。詳細はThe Apache Software
Foundationが提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#96910606
Apache Struts 2において任意のコードを実行される脆弱性(S2-062)
https://jvn.jp/vu/JVNVU96910606/
JPCERT/CC 注意喚起
Apache Struts 2の脆弱性(S2-062)に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220011.html
関連文書 (英語)
The Apache Software Foundation
S2-062
https://cwiki.apache.org/confluence/display/WW/S2-062
【8】VMware Cloud Directorに任意のコードが実行可能な脆弱性
情報源
CISA Current Activity
VMware Releases Security Updates for Cloud Director
https://www.cisa.gov/uscert/ncas/current-activity/2022/04/15/vmware-releases-security-updates-cloud-director
概要
VMware Cloud Directorには、任意のコードが実行可能な脆弱性があります。
結果として、遠隔の第三者が該当するサーバーにアクセスする可能性がありま
す。
対象となるバージョンは次のとおりです。
- VMware Cloud Director バージョン10.3系
- VMware Cloud Director バージョン10.2系
- VMware Cloud Director バージョン10.1系
この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、VMwareが提供する情報を参照してください。
関連文書 (英語)
VMware
VMSA-2022-0013
https://www.vmware.com/security/advisories/VMSA-2022-0013.html
――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――
○2022年1月~2022年3月分の「活動四半期レポート」「インシデント報告対応レポート」を公開
2022年4月14日、JPCERT/CCは2022年1月~2022年3月分の「活動四半期レポート」
「インシデント報告対応レポート」を公開しました。本四半期中のJPCERT/CC
の国内外の活動に加え、JPCERT/CCが報告を受け付けたインシデントの統計や
事例などについてまとめています。参考資料としてご活用ください。
参考文献 (日本語)
JPCERT/CC
JPCERT/CC 活動四半期レポート [2022年1月1日~2022年3月31日]
https://www.jpcert.or.jp/pr/2022/PR_Report2021Q4.pdf
JPCERT/CC
JPCERT/CC インシデント報告対応レポート [2022年1月1日~2022年3月31日]
https://www.jpcert.or.jp/pr/2022/IR_Report2021Q4.pdf
コメント