ミニ・いんふぉめーしょん

目 次

【1】 Apache TomcatにWebSocket接続の実装に関する問題
【2】複数のApple製品に脆弱性
【3】ISC BIND 9にサービス運用妨害 (DoS) の脆弱性
【4】サイボウズGaroonに複数の脆弱性
【5】Rakuten Casaに複数の脆弱性
【6】Spring Security OAuth(spring-security-oauth2)にサービス運用妨害 (DoS) の脆弱性
【今週のひとくちメモ】個人情報保護委員会が「個人情報を考える週間」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr222001.html
https://www.jpcert.or.jp/wr/2022/wr222001.xml
============================================================================

【1】 Apache TomcatにWebSocket接続の実装に関する問題

情報源
CISA Current Activity
Apache Releases Security Advisory for Tomcat
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/16/apache-releases-security-advisory-tomcat

Japan Vulnerability Notes JVNVU#94243578
Apache TomcatにおけるWebSocket接続の実装に関する問題
https://jvn.jp/vu/JVNVU94243578/

概要
Apache Tomcatには、WebSocket接続の実装に関する問題があります。結果とし
て、遠隔の第三者が予期せぬエラーを発生させる可能性があります。

対象となるバージョンは次のとおりです。

- Apache Tomcat 9.0.0.M1から9.0.20までのバージョン
- Apache Tomcat 8.5.0から8.5.75までのバージョン

この問題は、Apache TomcatをThe Apache Software Foundationが提供する修
正済みのバージョンに更新することで解決します。詳細は、
The Apache Software Foundationが提供する情報を参照してください。

関連文書 (英語)
The Apache Software Foundation
CVE-2022-25762 Apache Tomcat - Request Mix-up
https://lists.apache.org/thread/qzkqh2819x6zsmj7vwdf14ng2fdgckw7

The Apache Software Foundation
Fixed in Apache Tomcat 9.0.21
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.21

The Apache Software Foundation
Fixed in Apache Tomcat 8.5.76
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.76

【2】複数のApple製品に脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/17/apple-releases-security-updates-multiple-products

概要
複数のApple製品には、複数の脆弱性があります。結果として、第三者が任意
のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Safari 15.5より前のバージョン
- tvOS 15.5より前のバージョン
- Xcode 13.4より前のバージョン
- macOS Catalina（Security Update 2022-004 未適用）
- macOS Monterey 12.4より前のバージョン
- macOS Big Sur 11.6.6より前のバージョン
- iOS 15.5より前のバージョン
- iPadOS 15.5より前のバージョン
- watchOS 8.6より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
Apple
Safari 15.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213260

Apple
tvOS 15.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213254

Apple
Xcode 13.4 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213261

Apple
セキュリティアップデート 2022-004 Catalina のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213255

Apple
macOS Big Sur 11.6.6 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213256

Apple
macOS Monterey 12.4 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213257

Apple
iOS 15.5 および iPadOS 15.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213258

Apple
watchOS 8.6 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213253

JPCERT/CC CyberNewsFlash
Apple製品のアップデートについて（2022年5月）
https://www.jpcert.or.jp/newsflash/2022051801.html

【3】ISC BIND 9にサービス運用妨害 (DoS) の脆弱性

情報源
CISA Current Activity
ISC Releases Security Advisory for BIND
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/19/isc-releases-security-advisory-bind

Japan Vulnerability Notes JVNVU#94035450
ISC BINDにおけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU94035450/

概要
ISC BIND 9には、脆弱性があります。結果として、遠隔の第三者がサービス運
用妨害（DoS）攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- BIND 9.18.0から9.18.2まで
- BIND 9.19.0（BIND 9.19開発用ブランチ）

この問題は、該当する製品をISCが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、ISCが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
ISC BIND 9における脆弱性について（2022年5月）
https://www.jpcert.or.jp/newsflash/2022051901.html

日本レジストリサービス (JPRS)
（緊急）BIND 9.18.xの脆弱性（DNSサービスの停止）について（CVE-2022-1183） - BIND 9.18系列のみが対象、バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2022-05-19-bind9-vuln-dnsoverhttps.html

関連文書 (英語)
Internet Systems Consortium, Inc. (ISC)
CVE-2022-1183: Destroying a TLS session early causes assertion failure
https://kb.isc.org/docs/cve-2022-1183

【4】サイボウズGaroonに複数の脆弱性

情報源
Japan Vulnerability Notes JVN#73897863
サイボウズ Garoon に複数の脆弱性
https://jvn.jp/jp/JVN73897863/

概要
サイボウズGaroonには、複数の脆弱性があります。結果として、ログインして
いるユーザーのブラウザー上で任意のスクリプトが実行されるなどの可能性が
あります。

対象となるバージョンは脆弱性によって異なります。詳細はサイボウズ株式会
社が提供する情報を参照してください。

この問題は、該当する製品をサイボウズ株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、サイボウズ株式会社が提供する情報を
参照してください。

関連文書 (日本語)
サイボウズ株式会社
パッケージ版 Garoon 脆弱性に関するお知らせ
https://cs.cybozu.co.jp/2022/007429.html

【5】Rakuten Casaに複数の脆弱性

情報源
Japan Vulnerability Notes JVN#46892984
Rakuten Casa における複数の脆弱性
https://jvn.jp/jp/JVN46892984/

概要
楽天モバイル株式会社が提供するRakuten Casaには、複数の脆弱性があります。
結果として、root権限でログインされ任意の操作を実行されたり、製品内部の
情報を取得されるなどの可能性があります。

対象となるバージョンは次のとおりです。

- Rakuten Casa バージョンAP_F_V1_4_1またはAP_F_V2_0_0

この問題は、設置規約に則って適切に設置した場合、自動的にアップデートが
適用され、修正されるとのことです。

関連文書 (日本語)
楽天モバイル株式会社
【重要】Rakuten Casaのソフトウェアアップデート情報
https://network.mobile.rakuten.co.jp/information/news/product/1033/

【6】Spring Security OAuth(spring-security-oauth2)にサービス運用妨害 (DoS) の脆弱性

情報源
Japan Vulnerability Notes JVN#15317878
Spring Security OAuth (spring-security-oauth2) におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN15317878/

概要
VMwareが提供する Spring Security OAuth(spring-security-oauth2)には、リ
ソースの枯渇の脆弱性があります。結果として、本製品を利用してOAuthクラ
イアント機能を提供しているウェブサイトがサービス運用妨害 (DoS)の被害を
受ける可能性があります。

対象となるバージョンは次のとおりです。

- Spring Security OAuth(spring-security-oauth2) 2.5.1およびそれ以前

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、VMwareが提供する情報を参照してください。

関連文書 (英語)
VMware
CVE-2022-22969: Denial-of-Service (DoS) in spring-security-oauth2
https://tanzu.vmware.com/security/cve-2022-22969

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○個人情報保護委員会が「個人情報を考える週間」を公開

個人情報保護委員会は、個人情報の重要性に関する情報発信を強化する目的で、
2022年5月30日から6月5日を「個人情報を考える週間」として取り組みを発表
しました。これは2018年度から広報啓発活動を継続して実施しているもので、
本年のテーマを「信頼の礎、プライバシー」（Privacy the foundation of trust）
として、特設のページでは、「個人のみなさま」「事業者のみなさま」「学校
関係者、保護者のみなさま（お子さま向け資料）」で項目をわけ、それぞれに
個人情報の取り扱いについて、ポイントをまとめています。

参考文献 (日本語)
個人情報保護委員会
個人情報を考える週間
https://www.ppc.go.jp/news/privacy_awareness_week/

目 次 

【1】複数のマイクロソフト製品に脆弱性
【2】複数のアドビ製品に脆弱性
【3】複数のIntel製品に脆弱性
【4】Google Chromeに複数の脆弱性
【5】FUJITSU Network IPCOMの運用管理インタフェースに複数の脆弱性
【6】トレンドマイクロ製スマートホームスキャナーWindows版に脆弱性
【7】QNAP製ネットワークビデオレコーダー製品にコマンドインジェクションの脆弱性
【8】GENEREX SYSTEMS製RCCMDにディレクトリトラバーサルの脆弱性
【9】Qt製Windowsアプリケーションに権限昇格の脆弱性
【10】光洋電子工業製Screen Creator Advance2に認証回避の脆弱性
【11】複数の明京電機製品に脆弱性
【12】EC-CUBE用プラグイン「簡単ブログ for EC-CUBE4」にクロスサイトリクエストフォージェリの脆弱性
【13】「TRANSITS Workshop 2022 Summer開催」開催のお知らせ
【今週のひとくちメモ】経済産業省が「OSSの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集」を拡充

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr221901.html
https://www.jpcert.or.jp/wr/2022/wr221901.xml
============================================================================

【1】複数のマイクロソフト製品に脆弱性

情報源
CISA Current Activity
Microsoft Releases May 2022 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/11/microsoft-releases-may-2022-security-updates

CISA Current Activity
Microsoft Releases Security Advisory for Azure Data Factory and Azure Synapse Pipelines
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/10/microsoft-releases-security-advisory-azure-data-factory-and-azure

概要
複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はマイクロソフト株式会社が提供
するアドバイザリ情報を参照してください。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく
ださい。

関連文書 (日本語)
マイクロソフト株式会社
2022 年 5 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2022-May

JPCERT/CC 注意喚起
2022年5月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2022/at220014.html

【2】複数のアドビ製品に脆弱性

情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/12/adobe-releases-security-updates-multiple-products

概要
複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe Character Animator
- Adobe ColdFusion
- Adobe InDesign
- Adobe Framemaker
- Adobe InCopy

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2022051102.html

関連文書 (英語)
アドビ
Security Updates Available for Adobe Character Animator | APSB22-21
https://helpx.adobe.com/security/products/character_animator/apsb22-21.html

アドビ
Security updates available for Adobe ColdFusion | APSB22-22
https://helpx.adobe.com/security/products/coldfusion/apsb22-22.html

アドビ
Security Update available for Adobe InDesign | APSB22-23
https://helpx.adobe.com/security/products/indesign/apsb22-23.html

アドビ
Security Updates Available for Adobe Framemaker | APSB22-27
https://helpx.adobe.com/security/products/framemaker/apsb22-27.html

アドビ
Security Update Available for Adobe InCopy | APSB22-28
https://helpx.adobe.com/security/products/incopy/apsb22-28.html

【3】複数のIntel製品に脆弱性

情報源
Japan Vulnerability Notes JVNVU#93344744
Intel製品に複数の脆弱性（2022年5月）
https://jvn.jp/vu/JVNVU93344744/

概要
Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security Center
Advisoriesが公開されました。

詳細は、Intelが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Intel製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2022051101.html

関連文書 (英語)
Intel
Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html

【4】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/11/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 101.0.4951.64より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/05/stable-channel-update-for-desktop_10.html

【5】FUJITSU Network IPCOMの運用管理インタフェースに複数の脆弱性

情報源
Japan Vulnerability Notes JVN#96561229
FUJITSU Network IPCOM の運用管理インタフェースにおける複数の脆弱性
https://jvn.jp/jp/JVN96561229/

概要
富士通株式会社が提供するFUJITSU Network IPCOMの運用管理インタフェース
には、複数の脆弱性があります。結果として、遠隔の第三者が任意のOSコマン
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- IPCOM EX2シリーズ
- IPCOM EXシリーズ
- IPCOM VE2シリーズ
- IPCOM VA2/VE1シリーズ

この問題は、該当する製品を富士通株式会社が提供する修正済みのバージョン
に更新するか、回避策を適用することで解決します。詳細は、富士通株式会社
が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
FUJITSU Network IPCOMの運用管理インタフェースの脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220013.html

富士通株式会社
IPCOM シリーズのコマンド操作端末／Webブラウザ端末とIPCOM間通信における脆弱性について
https://www.fujitsu.com/jp/products/network/support/2022/ipcom-01/

【6】トレンドマイクロ製スマートホームスキャナーWindows版に脆弱性

情報源
Japan Vulnerability Notes JVNVU#93434935
トレンドマイクロ製スマートホームスキャナー（Windows版）のインストーラにおけるDLL読み込みに関する脆弱性
https://jvn.jp/vu/JVNVU93434935/

概要
トレンドマイクロ株式会社が提供するスマートホームスキャナーWindows版に
は脆弱性があります。結果として、第三者が不正なDLLを作成することで管理
者権限を取得する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- スマートホームスキャナーWindows版5.3.1220およびそれ以前のバージョン

この問題は、トレンドマイクロ株式会社が提供する最新のインストーラーを使
用することで解決します。詳細は、トレンドマイクロ株式会社が提供する情報
を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ：スマートホームスキャナー(Windows版)の脆弱性について (CVE-2022-28339)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10986

【7】QNAP製ネットワークビデオレコーダー製品にコマンドインジェクションの脆弱性

情報源
Japan Vulnerability Notes JVNVU#95992089
QNAP製ネットワークビデオレコーダー製品にコマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU95992089/

概要
QNAP Systems製ネットワークビデオレコーダーであるVioStarシリーズには、
コマンドインジェクションの脆弱性があります。結果として、遠隔の第三者が
任意のコマンドを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- QNAP NVR VioStarシリーズ 5.1.6 build 20220401より前のバージョン

この問題は、該当する製品をQNAP Systemsが提供する修正済みのバージョンに
更新することで解決します。詳細は、QNAP Systemsが提供する情報を参照して
ください。

関連文書 (英語)
QNAP Systems
Vulnerability in QVR
https://www.qnap.com/en/security-advisory/qsa-22-07

【8】GENEREX SYSTEMS製RCCMDにディレクトリトラバーサルの脆弱性

情報源
Japan Vulnerability Notes JVN#60801132
GENEREX SYSTEMS 製 RCCMD におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN60801132/

概要
GENEREX SYSTEMS製RCCMDには、ディレクトリトラバーサルの脆弱性があります。
結果として、第三者がサーバー上の任意のファイルを閲覧するなどの可能性が
あります。

対象となる製品およびバージョンは次のとおりです。

- RCCMD 4.26およびそれ以前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
GENEREX SYSTEMS
Download Center
https://www.generex.de/support/downloads/software/rccmd/update

【9】Qt製Windowsアプリケーションに権限昇格の脆弱性

情報源
Japan Vulnerability Notes JVNVU#92669710
Qt製Windowsアプリケーションにおける権限昇格の脆弱性
https://jvn.jp/vu/JVNVU92669710/

概要
The Qt Companyが提供するQtを使って作成されたWindowsアプリケーションに
は、qt_prfxpath値のハードコーディングに起因する権限昇格の脆弱性があり
ます。Windowsシステムの一般ユーザーがqt_prfxpathが指しているディレクト
リにファイルを用意しておくことで、当該Qtアプリの権限で任意のコードを実
行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

Qt開発環境およびデプロイツールwindeployqtを使用して作成されたアプリケーション
- Qt 5.14より前のバージョン
- windeployqt、commit:c2952ff8df1e18fe0120d8b29901b0b794afccc7以降を取り込んでいないバージョン

この問題は、該当する製品をThe Qt Companyが提供する修正済みのバージョン
に更新するか、回避策を適用することで解決します。詳細は、The Qt Company
が提供する情報を参照してください。

関連文書 (英語)
The Qt Company
Qt hard-codes paths in libraries/binaries
https://bugreports.qt.io/browse/QTBUG-15234

The Qt Company
Qt for Windows - Deployment
https://doc.qt.io/qt-5/windows-deployment.html

The Qt Company
windeployqt: Patch qt_prfxpath when deploying Qt5Core
https://codereview.qt-project.org/gitweb?p=qt%2Fqttools.git&a=commit&h=c2952ff8df1e18fe0120d8b29901b0b794afccc7

【10】光洋電子工業製Screen Creator Advance2に認証回避の脆弱性

情報源
Japan Vulnerability Notes JVN#50337155
光洋電子工業製 Screen Creator Advance2 における認証回避の脆弱性
https://jvn.jp/jp/JVN50337155/

概要
光洋電子工業株式会社が提供するScreen Creator Advance2には、認証回避の
脆弱性があります。結果として、第三者が保存されたデータを閲覧したり、削
除したりするなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Screen Creator Advance2 Ver.0.1.1.3 Build01より前のバージョン

この問題は、該当する製品を光洋電子工業株式会社が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、光洋電子工業株式会社が提供す
る情報を参照してください。

関連文書 (日本語)
光洋電子工業株式会社
GC-A2シリーズバージョンアップのお知らせ - 認証回避の脆弱性について
https://www.koyoele.co.jp/jp/topics/2022050911785/

【11】複数の明京電機製品に脆弱性

情報源
Japan Vulnerability Notes JVN#58266015
複数の明京電機製品における複数の脆弱性
https://jvn.jp/jp/JVN58266015/

概要
複数の明京電機製品には、脆弱性があります。結果として、第三者がユーザー
のウェブブラウザー上で、任意のスクリプトを実行するなどの可能性がありま
す。

対象となる製品およびバージョンは次のとおりです。

- リブーター
- WATCH BOOT nino RPC-M2C [販売終了製品] すべてのファームウェアバージョン
- WATCH BOOT light RPC-M5C [販売終了製品] すべてのファームウェアバージョン
- WATCH BOOT L-zero RPC-M4L [販売終了製品] すべてのファームウェアバージョン
- WATCH BOOT mini RPC-M4H [販売終了製品] すべてのファームウェアバージョン
- WATCH BOOT nino RPC-M2CS ファームウェアバージョン 1.00Aから1.00Dまで
- WATCH BOOT light RPC-M5CS ファームウェアバージョン 1.00Aから1.00Dまで
- WATCH BOOT L-zero RPC-M4LS ファームウェアバージョン 1.00Aから1.20Aまで
- サイネージリブーター RPC-M4HSi ファームウェアバージョン 1.00A
- PoE リブーター
- PoE BOOT nino PoE8M2 ファームウェアバージョン 1.00Aから1.20Aまで
- スケジューラー
- TIME BOOT mini RSC-MT4H [販売終了製品] すべてのファームウェアバージョン
- TIME BOOT RSC-MT8F [販売終了製品] すべてのファームウェアバージョン
- TIME BOOT RSC-MT8FP [販売終了製品] すべてのファームウェアバージョン
- TIME BOOT mini RSC-MT4HS ファームウェアバージョン 1.00Aから1.10Aまで
- TIME BOOT RSC-MT8FS ファームウェアバージョン 1.00Aから1.00Eまで
- 接点コンバーター
- POSE SE10-8A7B1 ファームウェアバージョン 1.00Aから1.20Aまで

この問題は、該当する製品のファームウェアを明京電機株式会社が提供する修
正済みのバージョンに更新すること、および回避策を適用することで解決しま
す。詳細は、明京電機株式会社が提供する情報を参照してください。

関連文書 (日本語)
明京電機株式会社
WEB GUIを有する弊社製品におけるXSSの脆弱性対策ファームウェア，CSRFの脆弱性回避策について
https://www.meikyo.co.jp/news/?p=1#1651790656-481464

【12】EC-CUBE用プラグイン「簡単ブログ for EC-CUBE4」にクロスサイトリクエストフォージェリの脆弱性

情報源
Japan Vulnerability Notes JVN#46241173
EC-CUBE 用プラグイン「簡単ブログ for EC-CUBE4」におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN46241173/

概要
EC-CUBE用プラグイン「簡単ブログ for EC-CUBE4」には、クロスサイトリクエ
ストフォージェリの脆弱性があります。結果として、当該プラグインがインス
トールされたEC-CUBEにログインした管理者権限を持つユーザーが、細工された
ページにアクセスした場合、当該プラグインのブログ記事やカテゴリが削除さ
れる可能性があります。

対象となる製品およびバージョンは次のとおりです。

- EC-CUBE用プラグイン「簡単ブログ for EC-CUBE4」Ver.1.0.1およびそれ以前のバージョン

この問題は、該当する製品を株式会社コアモバイルが提供する修正済みのバー
ジョンに更新することで解決します。詳細は、株式会社コアモバイルが提供す
る情報を参照してください。

関連文書 (日本語)
株式会社コアモバイル
簡単ブログ for EC-CUBE4
https://www.ec-cube.net/products/detail.php?product_id=2217

【13】「TRANSITS Workshop 2022 Summer開催」開催のお知らせ

情報源
日本シーサート協議会
TRANSITS Workshop 2022 Summer開催
https://www.nca.gr.jp/2022/transits-summer/index.html

概要
2022年7月13日（水）、7月15日（金）の3日間にわたり、「TRANSITS Workshop
2022 Summer開催」が開催されます。日本シーサート協議会が主催する本イベ
ントは、CSIRTの設立の促進、既存のCSIRTの対応能力向上を目的としたプロジェ
クト「TRANSITS」によるトレーニングを行い、CSIRT業務に必要な知識を身に
つけることを目的としています。JPCERT/CCは本イベントでの講演、および運
営に協力しています。

参加には事前申し込みが必要です。参加登録は申込先着順で、定員になり次第
締め切りとなります。詳しくはWebを参照してください。

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○経済産業省が「OSSの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集」を拡充

2022年5月10日、経済産業省は昨年4月に公開した「OSSの利活用及びそのセキュ
リティ確保に向けた管理手法に関する事例集」を拡充し、資料を公開しました。
多くの企業がOSSを含むソフトウェアの管理手法、脆弱性対応等に課題を抱え
ている現状に対し、産業界での知見の共有を推進することを目当てとして、OSS
の管理手法等に関して参考になる取組を実施している企業へのヒアリング等の
結果を取りまとめ、OSS利活用するに当たって留意すべきポイントを整理した
資料です。今回は、2021年度もOSS利活用の取組をヒアリングした結果をまと
め、OSSの脆弱性対応など管理手法の実践が盛り込まれています。

参考文献 (日本語)
経済産業省
オープンソースソフトウェアの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集を拡充しました
https://www.meti.go.jp/press/2022/05/20220510001/20220510001.html

目 次

【1】複数のF5 Networks製品に脆弱性
【2】複数のCisco製品に脆弱性
【3】複数のMozilla製品に脆弱性
【4】Google Chromeに脆弱性
【5】OpenSSLに複数の脆弱性
【今週のひとくちメモ】2021年に報告されたフィッシングサイトの傾向と利用されたドメインについて

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr221801.html
https://www.jpcert.or.jp/wr/2022/wr221801.xml
============================================================================

【1】複数のF5 Networks製品に脆弱性

情報源
CISA Current Activity
F5 Releases Security Advisories Addressing Multiple Vulnerabilities
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/04/f5-releases-security-advisories-addressing-multiple

概要
複数のF5 Networks製品には、影響度Criticalを含む複数の脆弱性があります。
結果として、BIG-IP製品の管理ポートにアクセス可能な遠隔の第三者が任意の
コマンドを実行するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はF5 Networksが提供するアドバ
イザリ情報を参照してください。

この問題は、該当する製品をF5 Networksが提供する修正済みのバージョンに
更新するか、回避策を適用することで解決します。詳細は、F5 Networksが提
供する情報を参照してください。

関連文書 (英語)
F5 Networks
K23605346: BIG-IP iControl REST vulnerability CVE-2022-1388
https://support.f5.com/csp/article/K23605346

F5 Networks
K55879220: Overview of F5 vulnerabilities (May 2022)
https://support.f5.com/csp/article/K55879220

【2】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/04/28/cisco-releases-security-updates-multiple-products

CISA Current Activity
Cisco Releases Security Updates for Enterprise NFV Infrastructure Software
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/05/cisco-releases-security-updates-enterprise-nfv-infrastructure

概要
複数のCisco製品には、影響度Criticalを含む複数の脆弱性があります。結果
として、遠隔の第三者が権限を昇格したり、任意のコマンドを実行したりする
などの可能性があります。

対象となる製品は、多岐にわたります。詳細や最新の情報については、Cisco
が提供するアドバイザリ情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供するアドバイザリ情報を参照して
ください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【3】複数のMozilla製品に脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/04/mozilla-releases-security-updates-firefox-firefox-esr-and

概要
複数のMozilla製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 100より前のバージョン
- Mozilla Firefox ESR 91.9より前のバージョン
- Mozilla Thunderbird 91.9より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 100
https://www.mozilla.org/en-US/security/advisories/mfsa2022-16/

Mozilla
Security Vulnerabilities fixed in Firefox ESR 91.9
https://www.mozilla.org/en-US/security/advisories/mfsa2022-17/

Mozilla
Security Vulnerabilities fixed in Thunderbird 91.9
https://www.mozilla.org/en-US/security/advisories/mfsa2022-18/

【4】Google Chromeに脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://www.cisa.gov/uscert/ncas/current-activity/2022/04/28/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 101.0.4951.41より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/04/stable-channel-update-for-desktop_26.html

【5】OpenSSLに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#93032579
OpenSSLに複数の脆弱性
https://jvn.jp/vu/JVNVU93032579/

概要
OpenSSLには、複数の脆弱性があります。結果として、第三者がサービス運用
妨害（DoS）攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- OpenSSL 1.0.2zeより前のバージョン
- OpenSSL 1.1.1oより前のバージョン
- OpenSSL 3.0.3より前のバージョン

なお、OpenSSL 1.1.0はサポートが終了しているため、本脆弱性の評価を実施
していないとのことです。

この問題は、OpenSSLをOpenSSL Projectが提供する修正済みのバージョンに更
新することで解決します。詳細は、OpenSSL Projectが提供する情報を参照し
てください。

関連文書 (英語)
OpenSSL
OpenSSL Security Advisory [03 May 2022]
https://www.openssl.org/news/secadv/20220503.txt

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○2021年に報告されたフィッシングサイトの傾向と利用されたドメインについて

2022年4月25日、JPCERT/CCは「2021年に報告されたフィッシングサイトの傾向
と利用されたドメイン」に関するブログを公開しました。JPCERT/CCでは、
2021年に44,242件のインシデント報告が寄せられ、そのうちフィッシングサイ
トに関するインシデント件数は、23,104件でした。本ブログでは、JPCERT/CC
に報告されたフィッシングサイトの情報をもとに、報告件数の推移やかたられ
たブランドの業種別割合、フィッシングサイトに利用されたドメインの傾向に
ついて解説します。

参考文献 (日本語)
JPCERT/CC
2021年に報告されたフィッシングサイトの傾向と利用されたドメインについて
https://blogs.jpcert.or.jp/ja/2022/04/phishing2021.html