ミニ・いんふぉめーしょん

目 次

【1】Google Chromeに複数の脆弱性
【2】複数のCitrix製品に脆弱性
【3】Apache Tomcatのexamplesにクロスサイトスクリプティングの脆弱性
【4】OpenSSLのc_rehashスクリプトにコマンドインジェクションの脆弱性
【5】web2pyにオープンリダイレクトの脆弱性
【6】L2Blockerセンサー設定画面に認証回避の脆弱性
【今週のひとくちメモ】「第13回TCG日本支部公開ワークショップ」開催のお知らせ

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr222501.html
https://www.jpcert.or.jp/wr/2022/wr222501.xml
============================================================================

【1】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://www.cisa.gov/uscert/ncas/current-activity/2022/06/22/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となる製品は次のとおりです。

- Google Chrome 103.0.5060.53より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/06/stable-channel-update-for-desktop_21.html

【2】複数のCitrix製品に脆弱性

情報源
CISA Current Activity
Citrix Releases Security Updates for Hypervisor
https://www.cisa.gov/uscert/ncas/current-activity/2022/06/24/citrix-releases-security-updates-hypervisor

概要
複数のCitrix製品には、脆弱性があります。結果として、ゲストVM上の第三者
が権限を昇格し、ホストシステム全体を制御するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Citrix Hypervisor 8.2 CU1 LTSR
- Citrix XenServer 7.1 CU2 LTSR

この問題は、該当する製品にCitrixが提供するhotfixを適用することで解決し
ます。詳細は、Citrixが提供する情報を参照してください。

関連文書 (英語)
Citrix
Citrix Hypervisor Security Update
https://support.citrix.com/article/CTX460064/citrix-hypervisor-security-update

【3】Apache Tomcatのexamplesにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVNVU#92304549
Apache Tomcatのexamplesにおけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/vu/JVNVU92304549/

概要
Apache Tomcatのexamples Webアプリケーション内のフォーム認証サンプルに
は、クロスサイトスクリプティングの脆弱性があります。結果として、当該サン
プルを使用したサイトにアクセスしたユーザーのWebブラウザー上で、任意の
スクリプトを実行される可能性があります。

対象となるバージョンは次のとおりです。

- Apache Tomcat 10.1.0-M1から10.1.0-M16までのバージョン
- Apache Tomcat 10.0.0-M1から10.0.22までのバージョン
- Apache Tomcat 9.0.30から9.0.64までのバージョン
- Apache Tomcat 8.5.50から8.5.81までのバージョン

この問題について、開発者は本脆弱性を修正するバージョンのリリースを予定
しています。詳細や最新の情報は、開発者が提供する情報を参照してください。

関連文書 (英語)
The Apache Software Foundation
Fixed in Apache Tomcat 10.1.0-M17
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.0-M17

The Apache Software Foundation
Fixed in Apache Tomcat 10.0.23
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.23

The Apache Software Foundation
Fixed in Apache Tomcat 9.0.65
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.65

The Apache Software Foundation
Fixed in Apache Tomcat 8.5.82
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.82

【4】OpenSSLのc_rehashスクリプトにコマンドインジェクションの脆弱性

情報源
Japan Vulnerability Notes JVNVU#92867820
OpenSSLのc_rehashスクリプトにおけるコマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU92867820/

概要
OpenSSLのc_rehashスクリプトには、シェルのメタ文字を適切にサニタイズし
ていない問題があります。結果として、c_rehashスクリプトが自動的に実行さ
れる一部のオペレーティングシステムで、第三者がスクリプトの実行権限で任
意のコマンドを実行する可能性があります。

対象となるバージョンは次のとおりです。

- OpenSSL 3.0.4より前のバージョン
- OpenSSL 1.1.1pより前のバージョン
- OpenSSL 1.0.2zfより前のバージョン

なお、OpenSSL 1.1.0はサポートが終了しているため、本脆弱性の評価を実施
していないとのことです。

この問題は、該当する製品をOpenSSL Projectが提供する修正済みのバージョン
に更新することで解決します。詳細は、OpenSSL Projectが提供する情報を参
照してください。

関連文書 (英語)
OpenSSL Project
OpenSSL Security Advisory [21 June 2022]
https://www.openssl.org/news/secadv/20220621.txt

【5】web2pyにオープンリダイレクトの脆弱性

情報源
Japan Vulnerability Notes JVN#02158640
web2py におけるオープンリダイレクトの脆弱性
https://jvn.jp/jp/JVN02158640/

概要
web2pyには、オープンリダイレクトの脆弱性があります。結果として、細工さ
れたURLにアクセスすることで、任意のWebサイトにリダイレクトされる可能性
があります。

対象となるバージョンは次のとおりです。

- web2py 2.22.5より前のバージョン

この問題は、web2pyを開発者が提供する修正済みのバージョンに更新すること
で解決します。詳細は、開発者が提供する情報を参照してください。

【6】L2Blockerセンサー設定画面に認証回避の脆弱性

情報源
Japan Vulnerability Notes JVN#51464799
L2Blockerセンサー設定画面における認証回避の脆弱性
https://jvn.jp/jp/JVN51464799/

概要
株式会社ソフトクリエイトが提供するL2Blockerには、認証回避の脆弱性があ
ります。結果として、当該製品にアクセスできる第三者が不正にログインし、
当該製品内の情報を窃取するなどの可能性があります。

対象となるバージョンは次のとおりです。

- L2Blockerオンプレミス版 Ver4.8.5およびそれ以前のバージョン
- L2Blockerクラウド版 Ver4.8.5およびそれ以前のバージョン

開発者によると、すでにサポート終了をした3系以前のバージョンも本脆弱性
の影響を受けるとのことです。

この問題は、該当する製品を株式会社ソフトクリエイトが提供する修正済みの
バージョンに更新することで解決します。詳細は、株式会社ソフトクリエイト
が提供する情報を参照してください。

関連文書 (日本語)
株式会社ソフトクリエイト
L2Blockerセンサー設定画面における、認証回避の脆弱性
https://www.softcreate.co.jp/news/detail/210

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○「第13回TCG日本支部公開ワークショップ」開催のお知らせ

2022年7月8日（金）、「第13回TCG日本支部公開ワークショップ」が開催され
ます。TCG日本支部が主催する本イベントは「進化する環境で広がるIoTをセキュ
アにつなげるTCG技術～セキュアエレメントからリモートアテステーションま
で、IoT機器の更なる強化へ」をテーマに講演やパネルディスカッションが行
われます。JPCERT/CCは本イベントの運営に協力しています。参加には事前申
し込みが必要です。

日 時：2022年7月8日（金）13:15-17:00日本時間（Zoom入室受付13:00～、開演13:15）
主 催：TCG 日本支部（TCG Japan Regional Forum）
形 式：オンライン（Zoom Webinar）+ 30名程度会場参加（品川）
※申込時にご希望の参加形式をご選択ください。
費 用：無料（事前登録制）

参考文献 (日本語)
TCG 日本支部（TCG Japan Regional Forum）
第13回TCG日本支部公開ワークショップ
https://trustedcomputinggroup.org/work-groups/regional-forums/japan/jrfworkshop/

目 次

【1】複数のマイクロソフト製品に脆弱性
【2】複数のアドビ製品に脆弱性
【3】複数のIntel製品に脆弱性
【4】複数のSAP製品に脆弱性
【5】複数のCisco製品に脆弱性
【6】Drupalのサードパーティライブラリに脆弱性
【7】Citrix Application Delivery Managementに脆弱性
【8】Gitlabにサーバサイドリクエストフォージェリの脆弱性
【9】GROWIに不十分なパスワード強度の脆弱性
【今週のひとくちメモ】経済産業省が「サイバーセキュリティ体制構築・人材確保の手引き」（第2.0版）を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr222401.html
https://www.jpcert.or.jp/wr/2022/wr222401.xml
============================================================================

【1】複数のマイクロソフト製品に脆弱性

情報源
CISA Current Activity
Microsoft Releases June 2022 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/06/14/microsoft-releases-june-2022-security-updates

概要
複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はマイクロソフト株式会社が提供
するアドバイザリ情報を参照してください。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく
ださい。

関連文書 (日本語)
マイクロソフト株式会社
2022 年 6 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2022-Jun

JPCERT/CC 注意喚起
2022年6月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2022/at220016.html

【2】複数のアドビ製品に脆弱性

情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/06/14/adobe-releases-security-updates-multiple-products

概要
複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe Animate
- Adobe Bridge
- Adobe Illustrator
- Adobe InCopy
- Adobe InDesign
- Adobe RoboHelp Server

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2022061502.html

関連文書 (英語)
アドビ
Security updates available for Adobe Animate | APSB22-24
https://helpx.adobe.com/security/products/animate/apsb22-24.html

アドビ
Security Updates Available for Adobe Bridge | APSB22-25
https://helpx.adobe.com/security/products/bridge/apsb22-25.html

アドビ
Security Updates Available for Adobe Illustrator | APSB22-26
https://helpx.adobe.com/security/products/illustrator/apsb22-26.html

アドビ
Security Update Available for Adobe InCopy | APSB22-29
https://helpx.adobe.com/security/products/incopy/apsb22-29.html

アドビ
Security Update Available for Adobe InDesign | APSB22-30
https://helpx.adobe.com/security/products/indesign/apsb22-30.html

アドビ
Security hotfix available for RoboHelp Server | APSB22-31
https://helpx.adobe.com/security/products/robohelp-server/apsb22-31.html

【3】複数のIntel製品に脆弱性

情報源
Japan Vulnerability Notes JVNVU#94721039
Intel製品に複数の脆弱性（2022年6月）
https://jvn.jp/vu/JVNVU94721039/

概要
Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security Center
Advisoriesが公開されました。

詳細は、Intelが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Intel製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2022061501.html

関連文書 (英語)
Intel
Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html

【4】複数のSAP製品に脆弱性

情報源
CISA Current Activity
SAP Releases June 2022 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/06/14/sap-releases-june-2022-security-updates

概要
複数のSAP製品には、脆弱性があります。結果として、第三者がシステムを制
御するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はSAPが提供するアドバイザリ情
報を参照してください。

この問題は、該当する製品をSAPが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、SAPが提供する情報を参照してください。

関連文書 (英語)
SAP
SAP Security Patch Day June 2022
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a

【5】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/06/16/cisco-releases-security-updates-multiple-products

概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細や最新の情報については、Cisco
が提供するアドバイザリ情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

Cisco
Cisco Email Security Appliance and Cisco Secure Email and Web Manager External Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sma-esa-auth-bypass-66kEcxQD

Cisco
Cisco Small Business RV110W, RV130, RV130W, and RV215W Routers Remote Command Execution and Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sb-rv-overflow-s2r82P9v

【6】Drupalのサードパーティライブラリに脆弱性

情報源
CISA Current Activity
Drupal Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/06/13/drupal-releases-security-updates

概要
Drupalが使用するサードパーティライブラリGuzzleには、脆弱性があります。
結果として、遠隔の第三者がWebサイトを制御するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Drupal 9.4.0-rc2より前の9.4系バージョン
- Drupal 9.3.16より前の9.3系バージョン
- Drupal 9.2.21より前の9.2系バージョン

なお、Drupal 9.2系より前の9系のバージョンはサポートが終了しており、今
回のセキュリティに関する情報は提供されていません。また、Drupal 7系は本
脆弱性の影響を受けないとのことです。

この問題は、Drupalを開発者が提供する修正済みのバージョンに更新すること
で解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
Drupal
Drupal core - Moderately critical - Third-party libraries - SA-CORE-2022-011
https://www.drupal.org/sa-core-2022-011

【7】Citrix Application Delivery Managementに脆弱性

情報源
CISA Current Activity
Citrix Releases Security Updates for Application Delivery Management
https://www.cisa.gov/uscert/ncas/current-activity/2022/06/14/citrix-releases-security-updates-application-delivery-management

概要
Citrix Application Delivery Management（ADM）のサーバーおよびエージェ
ントには、脆弱性があります。結果として、第三者によって管理者パスワード
がリセットされ、デバイスにSSH接続されるなどの可能性があります。

対象となるバージョンは次のとおりです。

- Citrix ADM 13.1-21.53より前の13.1系バージョン
- Citrix ADM 13.0-85.19より前の13.0系バージョン

なお、Citrix ADM 12.1系はサポートが終了しており、今回のセキュリティに
関する情報は提供されていません。

この問題は、該当する製品をCitrixが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Citrixが提供する情報を参照してください。

関連文書 (英語)
Citrix
Citrix Application Delivery Management Security Bulletin for CVE-2022-27511 and CVE-2022-27512
https://support.citrix.com/article/CTX460016/citrix-application-delivery-management-security-bulletin-for-cve202227511-and-cve202227512

【8】Gitlabにサーバサイドリクエストフォージェリの脆弱性

情報源
Japan Vulnerability Notes JVN#93667442
Gitlab におけるサーバサイドリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN93667442/

概要
Gitlabには、サーバーサイドリクエストフォージェリの脆弱性があります。結
果として、GitLabインスタンスのネットワーク内で、第三者が任意のHTTP/H
TTPSまたはgitリクエストを行う可能性があります。

対象となるバージョンは次のとおりです。

- Gitlab 14.7 から 14.7.1 より前のバージョン
- Gitlab 14.6 から 14.6.4 より前のバージョン
- Gitlab 10.5 から 14.5.4 より前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
GitLab
GitLab Security Release: 14.7.1, 14.6.4, and 14.5.4 | Blind SSRF Through Project Import
https://about.gitlab.com/releases/2022/02/03/security-release-gitlab-14-7-1-released/#blind-ssrf-through-project-import

【9】GROWIに不十分なパスワード強度の脆弱性

情報源
Japan Vulnerability Notes JVNVU#96438711
Growiにおける不十分なパスワード強度の脆弱性
https://jvn.jp/vu/JVNVU96438711/

概要
GROWIには、不十分なパスワード強度の脆弱性があります。結果として、パス
ワード総当たり攻撃により不正にログインされる可能性があります。

対象となるバージョンは次のとおりです。

- GROWI v5.0.0より前のバージョン

この問題は、該当する製品を株式会社WESEEKが提供する修正済みのバージョン
に更新することで解決します。詳細は、株式会社WESEEKが提供する情報を参照
してください。

関連文書 (日本語)
株式会社WESEEK
GROWI 脆弱性対応のお知らせ (JVNVU#96438711)
https://weseek.co.jp/ja/news/2022/06/14/growi-weak-password-requirements/

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○経済産業省が「サイバーセキュリティ体制構築・人材確保の手引き」（第2.0版）を公開

経済産業省は、企業がサイバーセキュリティ経営ガイドラインに基づいて組織
体制を構築し、必要な人材を確保するためのポイントをまとめた『サイバーセ
キュリティ体制構築・人材確保の手引き』をリニューアルし、第2.0版として
公開しました。第2.0版では、第1.1版（2021年4月公開）をもとに、読みやす
さを重視しポイントをしぼって検討手順を明確化するとともに、業務遂行にあ
たってセキュリティを意識し、必要かつ十分なセキュリティ対策を実現できる
能力を身につけるあるいは身につけている状態をさす「プラス・セキュリティ」
を踏まえ、一部内容の更新・拡充を行っています。

参考文献 (日本語)
経済産業省
「サイバーセキュリティ体制構築・人材確保の手引き」（第2.0版）をとりまとめました
https://www.meti.go.jp/policy/netsecurity/tebiki_taisei_jinzai.html

目 次

【1】Google Chromeに複数の脆弱性
【2】Apache HTTP Serverに複数の脆弱性
【3】SHIRASAGIにクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】フィッシング対策協議会が技術・制度検討 WG 報告会の資料を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr222301.html
https://www.jpcert.or.jp/wr/2022/wr222301.xml
============================================================================

【1】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://www.cisa.gov/uscert/ncas/current-activity/2022/06/10/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となる製品は次のとおりです。

- Google Chrome 102.0.5005.115より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
GOOGLE
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/06/stable-channel-update-for-desktop.html

【2】Apache HTTP Serverに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#94306894
Apache HTTP Server 2.4における複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU94306894/

概要
The Apache Software Foundationが提供するApache HTTP Serverには、複数の
脆弱性があります。結果として、遠隔の第三者がサーバのクラッシュや情報の
窃取を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- Apache HTTP Server 2.4.53およびそれ以前

この問題は、Apache HTTP Serverを開発者が提供する修正済みのバージョンに
更新することで解決します。詳細は、開発者が提供する情報を参照してくださ
い。

関連文書 (英語)
The Apache Software Foundation
Fixed in Apache HTTP Server 2.4.54
https://httpd.apache.org/security/vulnerabilities_24.html#2.4.54

The Apache Software Foundation
Apache HTTP Server 2.4.54 Released
https://downloads.apache.org/httpd/Announcement2.4.html

【3】SHIRASAGIにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#32962443
SHIRASAGI におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN32962443/

概要
SHIRASAGI Projectが提供するSHIRASAGIには、クロスサイトスクリプティング
の脆弱性が存在します。結果として、第三者が当該製品を使用しているユーザ
のWebブラウザ上で、任意のスクリプトを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- SHIRASAGI v1.0.0 から v1.14.2
- SHIRASAGI v1.15.0

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
SHIRASAGI Project
JVN#32962443 SHIRASAGI におけるクロスサイト・スクリプティング脆弱性
https://www.ss-proj.org/support/843.html

SHIRASAGI Project
shirasagi / shirasagi
https://github.com/shirasagi/shirasagi

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○フィッシング対策協議会が技術・制度検討 WG 報告会の資料を公開

フィッシング対策協議会は、今年3月に開催されたフィッシング対策協議会 技
術・制度検討 WG 報告会 (オンライン)の講演資料 を公開しました。本報告会
では、有識者や会員企業などが携わり、毎年改定している 「2022 年度版フィ
ッシング対策ガイドライン」 の改定内容、および最新のフィッシングの状況
や対策技術動向などをレポートする 「2022年度版フィッシングレポート」に
ついて紹介されました。

参考文献 (日本語)
フィッシング対策協議会
フィッシング対策協議会 技術・制度検討 WG 報告会 (オンライン)資料公開のお知らせ
https://www.antiphishing.jp/news/info/techwg_openday2021_online.html

――――――――――――――――――――――――――――――――――――――

目 次 

【1】Confluence ServerおよびData Centerに任意のコード実行の脆弱性
【2】マイクロソフトサポート診断ツールに任意のコード実行の脆弱性
【3】複数のMozilla製品に脆弱性
【4】トレンドマイクロ製Apex OneおよびApex One SaaSに複数の脆弱性
【5】T&D Data Server および THERMO RECORDER DATA SERVERにディレクトリトラバーサルの脆弱性
【6】WordPress用プラグインModern Events Calendar Liteにクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】「Internet Week ショーケース 徳島・オンライン」開催のお知らせ

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr222201.html
https://www.jpcert.or.jp/wr/2022/wr222201.xml
============================================================================

【1】Confluence ServerおよびData Centerに任意のコード実行の脆弱性

情報源
CISA Current Activity
Atlassian Releases New Versions of Confluence Server and Data Center to Address CVE-2022-26134
https://www.cisa.gov/uscert/ncas/current-activity/2022/06/03/atlassian-releases-new-versions-confluence-server-and-data-center

概要
Confluence ServerおよびData Centerには、任意のコード実行の脆弱性があり
ます。

対象となる製品およびバージョンは次のとおりです。

- Confluence ServerおよびConfluence Data Centerの次のバージョン
- 7.4.17より前の7.4.x系
- 7.13.7より前の7.13.x系
- 7.14.3より前の7.14.x系
- 7.15.2より前の7.15.x系
- 7.16.4より前の7.16.x系
- 7.17.4より前の7.17.x系
- 7.18.1より前の7.18.x系

この問題は、該当する製品をAtlassianが提供する修正済みのバージョンに更
新することで解決します。詳細は、Atlassianが提供するアドバイザリ情報を
参照してください。

関連文書 (日本語)
Atlassian
Confluence Server および Data Center - CVE-2022-26134 -未認証のリモート コード実行についての重大な深刻度の脆弱性
https://ja.confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html

JPCERT/CC 注意喚起
Confluence ServerおよびData Centerの脆弱性（CVE-2022-26134）に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220015.html

【2】マイクロソフトサポート診断ツールに任意のコード実行の脆弱性

情報源
CISA Current Activity
Microsoft Releases Workaround Guidance for MSDT "Follina" Vulnerability
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/31/microsoft-releases-workaround-guidance-msdt-follina-vulnerability

概要
マイクロソフトサポート診断ツールには、第三者が細工したファイルをユー
ザーに実行または読み込ませることで、任意のコードを実行できる脆弱性が
あります。

対象となる製品およびバージョンは次のとおりです。

- Windows OS
- Windows 11
- Windows 10
- Windows 8.1
- Windows RT 8.1
- Windows 7
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012/2012 R2
- Windows Server 2008/2008 R2
- Windows Server, version 20H2 (Server Core Installation)

2022年6月8日時点で、マイクロソフト株式会社から本脆弱性の対策となる更新
プログラムは提供されていません。マイクロソフト株式会社の情報を確認し、
更新プログラムが公開された場合は速やかに適用することを推奨します。

関連文書 (日本語)
マイクロソフト株式会社
CVE-2022-30190 マイクロソフト サポート診断ツールの脆弱性に関するガイダンス
https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability-jp/

マイクロソフト株式会社
Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2022-30190

【3】複数のMozilla製品に脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird
https://www.cisa.gov/uscert/ncas/current-activity/2022/06/01/mozilla-releases-security-updates-firefox-firefox-esr-and

概要
複数のMozilla製品には、複数の脆弱性があります。結果として、第三者が任
意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 101より前のバージョン
- Mozilla Firefox ESR 91.10より前のバージョン
- Mozilla Thunderbird 91.10より前のバージョン
- Mozilla Firefox for iOS 101より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)
Mozilla
Mozilla Foundation Security Advisory 2022-20
https://www.mozilla.org/en-US/security/advisories/mfsa2022-20/

Mozilla
Mozilla Foundation Security Advisory 2022-21
https://www.mozilla.org/en-US/security/advisories/mfsa2022-21/

Mozilla
Mozilla Foundation Security Advisory 2022-22
https://www.mozilla.org/en-US/security/advisories/mfsa2022-22/

Mozilla
Mozilla Foundation Security Advisory 2022-23
https://www.mozilla.org/en-US/security/advisories/mfsa2022-23/

【4】トレンドマイクロ製Apex OneおよびApex One SaaSに複数の脆弱性

情報源
Japan Vulnerability Notes JVN#90675050
トレンドマイクロ製Apex OneおよびApex One SaaSにおける複数の脆弱性
https://jvn.jp/vu/JVNVU90675050/

概要
Apex OneおよびApex One SaaSには、複数の脆弱性があります。結果として、
脆弱な端末にアクセスできる第三者が、昇格された権限で任意のDLLを読み込
むなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Apex One 2019
- Apex One SaaS

この問題は、該当する製品にトレンドマイクロ株式会社が提供する最新版を適
用することで解決します。なお、Apex One SaaSについては2022年3月のメンテ
ナンスで修正済みとのことです。詳細はトレンドマイクロ株式会社が提供する
情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ：Trend Micro Apex One で確認された複数の脆弱性について (2022年5月)
https://success.trendmicro.com/jp/solution/000291015

【5】T&D Data Server および THERMO RECORDER DATA SERVERにディレクトリトラバーサルの脆弱性

情報源
Japan Vulnerability Notes JVN#28659051
T&D Data Server および THERMO RECORDER DATA SERVER におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN28659051/

概要
T&D Data ServerおよびTHERMO RECORDER DATA SERVERには、ディレクトリ
トラバーサルの脆弱性があります。結果として、遠隔の第三者がサーバー上の
任意のファイルを閲覧する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- T&D Data Server 日本版 Ver.2.22 およびそれ以前のバージョン
- T&D Data Server 英語版 Ver.2.30 およびそれ以前のバージョン
- THERMO RECORDER DATA SERVER 日本版 Ver.2.13 およびそれ以前のバージョン
- THERMO RECORDER DATA SERVER 英語版 Ver.2.13 およびそれ以前のバージョン

この問題は、該当する製品を株式会社ティアンドデイが提供する修正済みの
バージョンに更新することで解決します。詳細は、株式会社ティアンドデイが
提供する情報を参照してください。

関連文書 (日本語)
株式会社ティアンドデイ
「T&D Data Server」「THERMO RECORDER DATA SERVER」の脆弱性発見について
https://www.tandd.co.jp/news/detail.html?id=522

【6】WordPress用プラグインModern Events Calendar Liteにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#04155116
WordPress 用プラグイン Modern Events Calendar Lite におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN04155116/

概要
WordPress用プラグインModern Events Calendar Liteには、クロスサイトスク
リプティングの脆弱性があります。結果として、攻撃者が当該プラグインを使
用しているサイトにアクセスしているユーザーのウェブブラウザー上で、任意
のスクリプトを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Modern Events Calendar Lite 6.3.0より前のバージョン

この問題は、該当する製品をWebnusが提供する修正済みのバージョ
ンに更新することで解決します。詳細は、Webnusが提供する情報を
参照してください。

関連文書 (英語)
Webnus
Modern Events Calendar Lite
https://webnus.net/modern-events-calendar/lite/

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○「Internet Week ショーケース 徳島・オンライン」開催のお知らせ

2022年6月23日より、一般社団法人日本ネットワークインフォメーションセン
ター(JPNIC)は「Internet Week ショーケース 徳島・オンライン」を、現地会
場とオンライン配信のハイブリッドで開催します。インターネットの技術者お
よびインターネット技術と社会動向に興味のある方を対象に、インターネット
基盤技術の普及や、議論の場・交流の場の提供を目的とするイベントです。
JPCERT/CCは本イベントを後援、6月23日(木)ハンズオンDayでは「インシデント
対応ハンズオン」を、6月24日(金)カンファレンスDayでは、「サイバー攻撃
2021+」を講演します。公式Webサイトにて、プログラム内容を公開しており、
参加登録の受付も開始しています。

参考文献 (日本語)
Internet Week ショーケース 徳島・オンライン
開催概要ページ
https://www.nic.ad.jp/sc-tokushima/

Internet Week ショーケース 徳島・オンライン
参加申込ページ
https://www.nic.ad.jp/sc-tokushima/apply/

目 次

【1】Google Chromeに複数の脆弱性
【2】複数のMozilla製品に脆弱性
【3】複数のCitrix製品に脆弱性
【4】Spring Securityに認証回避の脆弱性
【5】Drupalのサードパーティライブラリに脆弱性
【6】複数のRevoWorks製品に脆弱性
【7】コンテック製SolarView CompactにOSコマンドインジェクションの脆弱性
【8】WordPress用プラグインWP Statisticsにクロスサイトスクリプティングの脆弱性
【9】トレンドマイクロ製パスワードマネージャーに権限昇格の脆弱性
【10】富士電機製V-SFT、V-ServerおよびV-Server Liteに複数の脆弱性
【11】モバオク-オークション&フリマアプリにサーバー証明書の検証不備の脆弱性
【今週のひとくちメモ】JPCERT/CCが「Locked Shields 2022 参加記」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr222101.html
https://www.jpcert.or.jp/wr/2022/wr222101.xml
============================================================================

【1】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/25/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 102.0.5005.61より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/05/stable-channel-update-for-desktop_24.html

【2】複数のMozilla製品に脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Products for Multiple Firefox Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/23/mozilla-releases-security-products-multiple-firefox-products

概要
複数のMozilla製品には、脆弱性があります。結果として、第三者が任意のスク
リプトを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 100.0.2より前のバージョン
- Mozilla Firefox ESR 91.9.1より前のバージョン
- Mozilla Firefox for Android 100.3.0より前のバージョン
- Mozilla Thunderbird 91.9.1より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)
Mozilla
Mozilla Foundation Security Advisory 2022-19
https://www.mozilla.org/en-US/security/advisories/mfsa2022-19/

【3】複数のCitrix製品に脆弱性

情報源
CISA Current Activity
Citrix Releases Security Updates for ADC and Gateway
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/26/citrix-releases-security-updates-adc-and-gateway

概要
複数のCitrix製品には、脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害（DoS）攻撃を行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Citrix ADCおよびCitrix Gateway 13.1-21.50より前の13.1系のバージョン
- Citrix ADCおよびCitrix Gateway 13.0-85.19より前の13.0系のバージョン
- Citrix ADCおよびCitrix Gateway 12.1-64.17より前の12.1系のバージョン
- Citrix ADC 12.1-FIPS 12.1-55.278より前のバージョン
- Citrix ADC 12.1-NDcPP 12.1-55.278より前のバージョン

この問題は、該当する製品をCitrixが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Citrixが提供する情報を参照してください。

関連文書 (英語)
Citrix
Citrix ADC and Citrix Gateway Security Bulletin for CVE-2022-27507 and CVE-2022-27508
https://support.citrix.com/article/CTX457048

【4】Spring Securityに認証回避の脆弱性

情報源
Japan Vulnerability Notes JVNVU#96405576
Spring SecurityのRegexRequestMatcherにおける認証回避の脆弱性
https://jvn.jp/vu/JVNVU96405576/

概要
VMwareが提供するSpring Securityには、認証回避の脆弱性があります。結果
として、遠隔の第三者がWebページの認証を回避し、情報を閲覧するなどの可
能性があります。

対象となるバージョンは次のとおりです。

- Spring Security 5.5.7より前の5.5系のバージョン
- Spring Security 5.6.4より前の5.6系のバージョン

開発者によると、サポートが終了した上記バージョンより前のバージョンも影
響を受けるとのことです。

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、VMwareが提供する情報を参照してください。

関連文書 (英語)
VMware
CVE-2022-22978: Authorization Bypass in RegexRequestMatcher
https://tanzu.vmware.com/security/cve-2022-22978

【5】Drupalのサードパーティライブラリに脆弱性

情報源
CISA Current Activity
Drupal Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/26/drupal-releases-security-updates

概要
Drupalが使用するサードパーティライブラリGuzzleには、脆弱性があります。
結果として、遠隔の第三者が機微な情報を窃取するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Drupal 9.3.14より前の9.3系バージョン
- Drupal 9.2.20より前の9.2系バージョン

なお、Drupal 9.2系より前の9系のバージョンはサポートが終了しており、今
回のセキュリティに関する情報は提供されていません。また、Drupal 7系は本
脆弱性の影響を受けないとのことです。

この問題は、Drupalを開発者が提供する修正済みのバージョンに更新すること
で解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
Drupal
Drupal core - Moderately critical - Third-party libraries - SA-CORE-2022-010
https://www.drupal.org/sa-core-2022-010

【6】複数のRevoWorks製品に脆弱性

情報源
Japan Vulnerability Notes JVN#27256219
RevoWorks 製品における不十分な無害化処理の脆弱性
https://jvn.jp/jp/JVN27256219/

概要
ジェイズ・コミュニケーション株式会社が提供するRevoWorks SCVX、RevoWorks
BrowserおよびRevoWorks Desktopには、不十分な無害化処理の脆弱性がありま
す。結果として、ローカル環境に持ち込んだファイルを開くことで、悪意のあ
るマクロが実行されるなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- RevoWorks SCVX ファイル無害化ライブラリ 1.043およびそれ以前のバージョン
- RevoWorks Browser 2.2.67およびそれ以前のバージョン（ファイル無害化オプションを利用している場合）
- RevoWorks Desktop 2.1.84およびそれ以前のバージョン（ファイル無害化オプションを利用している場合）

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
ジェイズ・コミュニケーション株式会社
【重要】RevoWorks製品におけるファイル無害化処理の脆弱性について
https://jscom.jp/news-20220527/

【7】コンテック製SolarView CompactにOSコマンドインジェクションの脆弱性

情報源
Japan Vulnerability Notes JVNVU#92327282
コンテック製SolarView CompactにおけるOSコマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU92327282/

概要
株式会社コンテックが提供するSolarView Compactには、OSコマンドインジェ
クションの脆弱性があります。結果として、設定画面にアクセス可能なユーザー
が任意のOSコマンドを実行する可能性があります。

対象となるバージョンは次のとおりです。

- SolarView Compact
- SV-CPT-MC310 Ver.7.21より前のバージョン
- SV-CPT-MC310F Ver.7.21より前のバージョン

この問題は、該当する製品を株式会社コンテックが提供する修正済みのバージョン
に更新することで解決します。詳細は、株式会社コンテックが提供する情報を
参照してください。

関連文書 (日本語)
株式会社コンテック
SolarView Compact(SV-CPT-MC310)の脆弱性について
https://www.contec.com/jp/-/media/contec/jp/support/security-info/contec_security_solarview_220526.pdf/

【8】WordPress用プラグインWP Statisticsにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#15241647
WordPress 用プラグイン WP Statistics におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN15241647/

概要
WordPress用プラグインWP Statisticsには、クロスサイトスクリプティングの
脆弱性があります。結果として、当該製品を使用しているサイトにログインし
ているユーザーのWebブラウザー上で、任意のスクリプトを実行される可能性
があります。

対象となるバージョンは次のとおりです。

- WP Statistics 13.2.0より前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
WP Statistics
Changelog
https://wordpress.org/plugins/wp-statistics/#developers

【9】トレンドマイクロ製パスワードマネージャーに権限昇格の脆弱性

情報源
Japan Vulnerability Notes JVNVU#92641706
トレンドマイクロ製パスワードマネージャーにおける権限昇格の脆弱性
https://jvn.jp/vu/JVNVU92641706/

概要
トレンドマイクロ製パスワードマネージャーには、権限昇格の脆弱性がありま
す。結果として、当該製品がインストールされたシステムにログイン可能なユー
ザーが、管理者権限を取得し、任意のコードを実行する可能性があります。

対象となるバージョンは次のとおりです。

- パスワードマネージャー（Windows版）5.0.0.1266およびそれ以前のバージョン

この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正済みの
バージョンに更新することで解決します。詳細は、トレンドマイクロ株式会社
が提供する情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ：パスワードマネージャーの脆弱性について (CVE-2022-30523)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-11008

【10】富士電機製V-SFT、V-ServerおよびV-Server Liteに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#93134398
富士電機製V-SFT、V-ServerおよびV-Server Liteにおける複数の脆弱性
https://jvn.jp/vu/JVNVU93134398/

Japan Vulnerability Notes JVNVU#99188133
富士電機製V-SFTにおける複数の脆弱性
https://jvn.jp/vu/JVNVU99188133/

概要
富士電機株式会社が提供するV-SFT、V-ServerおよびV-Server Liteには、複数
の脆弱性があります。結果として、細工された画面データファイルを開くこと
で、情報が漏えいしたり、任意のコードが実行されたりする可能性があります。

対象となる製品およびバージョンは次のとおりです。

- V-SFT v6.1.6.0より前のバージョン
- V-Server v4.0.11.0およびそれ以前のバージョン
- V-Server Lite v4.0.13.0およびそれ以前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
富士電機株式会社／発紘電機株式会社
作画ソフトV-SFT 改善情報 2240H36
https://hakko-elec.co.jp/site/download/09vsft6_inf/Search.php

富士電機株式会社／発紘電機株式会社
遠隔監視ソフトウェアTELLUS and V-Server 改善情報 2250S01
https://hakko-elec.co.jp/site/download/03tellus_inf/index.php

【11】モバオク-オークション&フリマアプリにサーバー証明書の検証不備の脆弱性

情報源
Japan Vulnerability Notes JVN#13878856
iOS アプリ「モバオク-オークション&フリマアプリ」におけるサーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN13878856/

概要
株式会社ディー・エヌ・エーが提供するiOSアプリ「モバオク-オークション&フ
リマアプリ」には、サーバー証明書の検証不備の脆弱性があります。結果とし
て、遠隔の第三者が、中間者攻撃により暗号通信を盗聴するなどの可能性があ
ります。

対象となるバージョンは次のとおりです。

- iOSアプリ「モバオク-オークション&フリマアプリ」 5.5.16より前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
株式会社ディー・エヌ・エー
株式会社ディー・エヌ・エーからの情報
https://jvn.jp/jp/JVN13878856/995314/

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CCが「Locked Shields 2022 参加記」を公開

2022年5月24日、JPCERT/CCは「Locked Shields 2022 参加記」を公開しました。
2022年4月下旬、JPCERT/CCは、NATO Cooperative Cyber Defence Centre（NATO
CCDCOE）が主催したサイバー演習である「Locked Shields」に参加しました。
本ブログでは、Locked Shieldsの概要、JPCERT/CCの貢献、サイバー演習の重
要性、および国際的な協力によるサイバーセキュリティ確保の重要性について
記載しています。

参考文献 (日本語)
JPCERT/CC
Locked Shields 2022 参加記
https://blogs.jpcert.or.jp/ja/2022/05/locked-shields-2022.html