■06/12(日)~06/18(土) のセキュリティ関連情報
目 次
【1】複数のマイクロソフト製品に脆弱性
【2】複数のアドビ製品に脆弱性
【3】複数のIntel製品に脆弱性
【4】複数のSAP製品に脆弱性
【5】複数のCisco製品に脆弱性
【6】Drupalのサードパーティライブラリに脆弱性
【7】Citrix Application Delivery Managementに脆弱性
【8】Gitlabにサーバサイドリクエストフォージェリの脆弱性
【9】GROWIに不十分なパスワード強度の脆弱性
【今週のひとくちメモ】経済産業省が「サイバーセキュリティ体制構築・人材確保の手引き」(第2.0版)を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr222401.html
https://www.jpcert.or.jp/wr/2022/wr222401.xml
============================================================================
【1】複数のマイクロソフト製品に脆弱性
情報源
CISA Current Activity
Microsoft Releases June 2022 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/06/14/microsoft-releases-june-2022-security-updates
概要
複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。
対象となる製品は、多岐にわたります。詳細はマイクロソフト株式会社が提供
するアドバイザリ情報を参照してください。
この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく
ださい。
関連文書 (日本語)
マイクロソフト株式会社
2022 年 6 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2022-Jun
JPCERT/CC 注意喚起
2022年6月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2022/at220016.html
【2】複数のアドビ製品に脆弱性
情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/06/14/adobe-releases-security-updates-multiple-products
概要
複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。
対象となる製品は次のとおりです。
- Adobe Animate
- Adobe Bridge
- Adobe Illustrator
- Adobe InCopy
- Adobe InDesign
- Adobe RoboHelp Server
この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2022061502.html
関連文書 (英語)
アドビ
Security updates available for Adobe Animate | APSB22-24
https://helpx.adobe.com/security/products/animate/apsb22-24.html
アドビ
Security Updates Available for Adobe Bridge | APSB22-25
https://helpx.adobe.com/security/products/bridge/apsb22-25.html
アドビ
Security Updates Available for Adobe Illustrator | APSB22-26
https://helpx.adobe.com/security/products/illustrator/apsb22-26.html
アドビ
Security Update Available for Adobe InCopy | APSB22-29
https://helpx.adobe.com/security/products/incopy/apsb22-29.html
アドビ
Security Update Available for Adobe InDesign | APSB22-30
https://helpx.adobe.com/security/products/indesign/apsb22-30.html
アドビ
Security hotfix available for RoboHelp Server | APSB22-31
https://helpx.adobe.com/security/products/robohelp-server/apsb22-31.html
【3】複数のIntel製品に脆弱性
情報源
Japan Vulnerability Notes JVNVU#94721039
Intel製品に複数の脆弱性(2022年6月)
https://jvn.jp/vu/JVNVU94721039/
概要
Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security Center
Advisoriesが公開されました。
詳細は、Intelが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Intel製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2022061501.html
関連文書 (英語)
Intel
Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html
【4】複数のSAP製品に脆弱性
情報源
CISA Current Activity
SAP Releases June 2022 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/06/14/sap-releases-june-2022-security-updates
概要
複数のSAP製品には、脆弱性があります。結果として、第三者がシステムを制
御するなどの可能性があります。
対象となる製品は、多岐にわたります。詳細はSAPが提供するアドバイザリ情
報を参照してください。
この問題は、該当する製品をSAPが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、SAPが提供する情報を参照してください。
関連文書 (英語)
SAP
SAP Security Patch Day June 2022
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a
【5】複数のCisco製品に脆弱性
情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/06/16/cisco-releases-security-updates-multiple-products
概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。
対象となる製品は、多岐にわたります。詳細や最新の情報については、Cisco
が提供するアドバイザリ情報を参照してください。
この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。
関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x
Cisco
Cisco Email Security Appliance and Cisco Secure Email and Web Manager External Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sma-esa-auth-bypass-66kEcxQD
Cisco
Cisco Small Business RV110W, RV130, RV130W, and RV215W Routers Remote Command Execution and Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sb-rv-overflow-s2r82P9v
【6】Drupalのサードパーティライブラリに脆弱性
情報源
CISA Current Activity
Drupal Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/06/13/drupal-releases-security-updates
概要
Drupalが使用するサードパーティライブラリGuzzleには、脆弱性があります。
結果として、遠隔の第三者がWebサイトを制御するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Drupal 9.4.0-rc2より前の9.4系バージョン
- Drupal 9.3.16より前の9.3系バージョン
- Drupal 9.2.21より前の9.2系バージョン
なお、Drupal 9.2系より前の9系のバージョンはサポートが終了しており、今
回のセキュリティに関する情報は提供されていません。また、Drupal 7系は本
脆弱性の影響を受けないとのことです。
この問題は、Drupalを開発者が提供する修正済みのバージョンに更新すること
で解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (英語)
Drupal
Drupal core - Moderately critical - Third-party libraries - SA-CORE-2022-011
https://www.drupal.org/sa-core-2022-011
【7】Citrix Application Delivery Managementに脆弱性
情報源
CISA Current Activity
Citrix Releases Security Updates for Application Delivery Management
https://www.cisa.gov/uscert/ncas/current-activity/2022/06/14/citrix-releases-security-updates-application-delivery-management
概要
Citrix Application Delivery Management(ADM)のサーバーおよびエージェ
ントには、脆弱性があります。結果として、第三者によって管理者パスワード
がリセットされ、デバイスにSSH接続されるなどの可能性があります。
対象となるバージョンは次のとおりです。
- Citrix ADM 13.1-21.53より前の13.1系バージョン
- Citrix ADM 13.0-85.19より前の13.0系バージョン
なお、Citrix ADM 12.1系はサポートが終了しており、今回のセキュリティに
関する情報は提供されていません。
この問題は、該当する製品をCitrixが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Citrixが提供する情報を参照してください。
関連文書 (英語)
Citrix
Citrix Application Delivery Management Security Bulletin for CVE-2022-27511 and CVE-2022-27512
https://support.citrix.com/article/CTX460016/citrix-application-delivery-management-security-bulletin-for-cve202227511-and-cve202227512
【8】Gitlabにサーバサイドリクエストフォージェリの脆弱性
情報源
Japan Vulnerability Notes JVN#93667442
Gitlab におけるサーバサイドリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN93667442/
概要
Gitlabには、サーバーサイドリクエストフォージェリの脆弱性があります。結
果として、GitLabインスタンスのネットワーク内で、第三者が任意のHTTP/H
TTPSまたはgitリクエストを行う可能性があります。
対象となるバージョンは次のとおりです。
- Gitlab 14.7 から 14.7.1 より前のバージョン
- Gitlab 14.6 から 14.6.4 より前のバージョン
- Gitlab 10.5 から 14.5.4 より前のバージョン
この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (英語)
GitLab
GitLab Security Release: 14.7.1, 14.6.4, and 14.5.4 | Blind SSRF Through Project Import
https://about.gitlab.com/releases/2022/02/03/security-release-gitlab-14-7-1-released/#blind-ssrf-through-project-import
【9】GROWIに不十分なパスワード強度の脆弱性
情報源
Japan Vulnerability Notes JVNVU#96438711
Growiにおける不十分なパスワード強度の脆弱性
https://jvn.jp/vu/JVNVU96438711/
概要
GROWIには、不十分なパスワード強度の脆弱性があります。結果として、パス
ワード総当たり攻撃により不正にログインされる可能性があります。
対象となるバージョンは次のとおりです。
- GROWI v5.0.0より前のバージョン
この問題は、該当する製品を株式会社WESEEKが提供する修正済みのバージョン
に更新することで解決します。詳細は、株式会社WESEEKが提供する情報を参照
してください。
関連文書 (日本語)
株式会社WESEEK
GROWI 脆弱性対応のお知らせ (JVNVU#96438711)
https://weseek.co.jp/ja/news/2022/06/14/growi-weak-password-requirements/
――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――
○経済産業省が「サイバーセキュリティ体制構築・人材確保の手引き」(第2.0版)を公開
経済産業省は、企業がサイバーセキュリティ経営ガイドラインに基づいて組織
体制を構築し、必要な人材を確保するためのポイントをまとめた『サイバーセ
キュリティ体制構築・人材確保の手引き』をリニューアルし、第2.0版として
公開しました。第2.0版では、第1.1版(2021年4月公開)をもとに、読みやす
さを重視しポイントをしぼって検討手順を明確化するとともに、業務遂行にあ
たってセキュリティを意識し、必要かつ十分なセキュリティ対策を実現できる
能力を身につけるあるいは身につけている状態をさす「プラス・セキュリティ」
を踏まえ、一部内容の更新・拡充を行っています。
参考文献 (日本語)
経済産業省
「サイバーセキュリティ体制構築・人材確保の手引き」(第2.0版)をとりまとめました
https://www.meti.go.jp/policy/netsecurity/tebiki_taisei_jinzai.html
コメント