ミニ・いんふぉめーしょん

目 次

【1】2022年7月Oracle Critical Patch Updateについて
【2】Google Chromeに複数の脆弱性
【3】Drupalに複数の脆弱性
【4】複数のApple製品に脆弱性
【5】複数のCisco製品に脆弱性
【6】Confluence ServerおよびData Center用のQuestions for Confluenceアプリに脆弱性
【7】三菱電機製GENESIS64およびMC Works64に複数の脆弱性
【8】サイボウズ Officeに複数の脆弱性
【9】U-Bootのsquashfsファイルシステム実装にヒープベースのバッファオーバーフローの脆弱性
【10】Bookedにオープンリダイレクトの脆弱性
【今週のひとくちメモ】「製品セキュリティインシデント対応チーム（PSIRT）成熟度ドキュメント」の日本語訳が公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr222901.html
https://www.jpcert.or.jp/wr/2022/wr222901.xml
============================================================================

【1】2022年7月Oracle Critical Patch Updateについて

情報源
CISA Current Activity
Oracle Releases July 2022 Critical Patch Update
https://www.cisa.gov/uscert/ncas/current-activity/2022/07/20/oracle-releases-july-2022-critical-patch-update

概要
Oracleから複数の製品およびコンポーネントに含まれる脆弱性に対応した
Oracle Critical Patch Update Advisoryが公開されました。

詳細は、Oracleが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
2022年7月Oracle製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2022/at220019.html

関連文書 (英語)
Oracle
Oracle Critical Patch Update Advisory - July 2022
https://www.oracle.com/security-alerts/cpujul2022.html

【2】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://www.cisa.gov/uscert/ncas/current-activity/2022/07/21/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 103.0.5060.134より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/07/stable-channel-update-for-desktop_19.html

【3】Drupalに複数の脆弱性

情報源
CISA Current Activity
Drupal Releases Security Update
https://www.cisa.gov/uscert/ncas/current-activity/2022/07/21/drupal-releases-security-update

概要
Drupalには、複数の脆弱性があります。結果として、遠隔の第三者が任意のコー
ドを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Drupal 9.4.3より前の9.4系バージョン
- Drupal 9.3.19より前の9.3系バージョン
- Drupal 7.91より前の7系バージョン

なお、Drupal 9.3系より前の9系および8系のバージョンはサポートが終了して
おり、今回のセキュリティに関する情報は提供されていません。脆弱性ごとの
対象バージョンや条件についてはDrupalが提供する情報をご確認ください。

この問題は、Drupalが提供する修正済みのバージョンに更新することで解決し
ます。詳細は、Drupalが提供する情報を参照してください。

関連文書 (英語)
Drupal
Drupal core - Moderately critical - Information Disclosure - SA-CORE-2022-012
https://www.drupal.org/sa-core-2022-012

Drupal
Drupal core - Moderately critical - Access Bypass - SA-CORE-2022-013
https://www.drupal.org/sa-core-2022-013

Drupal
Drupal core - Critical - Arbitrary PHP code execution - SA-CORE-2022-014
https://www.drupal.org/sa-core-2022-014

Drupal
Drupal core - Moderately critical - Multiple vulnerabilities - SA-CORE-2022-015
https://www.drupal.org/sa-core-2022-015

【4】複数のApple製品に脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/07/22/apple-releases-security-updates-multiple-products

概要
複数のApple製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- iOS 15.6より前のバージョン
- iPadOS 15.6より前のバージョン
- tvOS 15.6より前のバージョン
- macOS Monterey 12.5より前のバージョン
- macOS Big Sur 11.6.8より前のバージョン
- macOS Catalina（Security Update 2022-005 未適用）
- watchOS 8.7より前のバージョン
- Safari 15.6より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
Apple
iOS 15.6 および iPadOS 15.6 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213346

Apple
tvOS 15.6 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213342

Apple
macOS Monterey 12.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213345

Apple
macOS Big Sur 11.6.8 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213344

Apple
セキュリティアップデート 2022-005 Catalina のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213343

Apple
watchOS 8.7 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213340

Apple
Safari 15.6 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213341

【5】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/07/22/cisco-releases-security-updates-multiple-products

概要
複数のCisco製品には、影響度Criticalを含む複数の脆弱性があります。結果
として、遠隔の第三者が任意のコマンドを実行するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細や最新の情報については、Cisco
が提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【6】Confluence ServerおよびData Center用のQuestions for Confluenceアプリに脆弱性

情報源
CISA Current Activity
Atlassian Releases Security Advisory for Questions for Confluence App, CVE-2022-26138
https://www.cisa.gov/uscert/ncas/current-activity/2022/07/22/atlassian-releases-security-advisory-questions-confluence-app-cve

概要
Confluence ServerおよびData Center用のQuestions for Confluenceアプリに
は、ハードコードされた認証情報の使用の脆弱性があります。結果として、遠
隔の第三者が機微な情報を窃取するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- 次のアプリを使用していたConfluence ServerおよびData Center
- Questions for Confluence 3.0.2
- Questions for Confluence 2.7.34および2.7.35

なお、上記バージョン以外にも影響を受ける可能性があるとのことです。

この問題は、当該アプリをAtlassianが提供する修正済みのバージョンに更新
または回避策を適用することで解決します。詳細は、Atlassianが提供する情
報を参照してください。

関連文書 (日本語)
Atlassian
Questions for Confluence のセキュリティ勧告 2022-07-20
https://ja.confluence.atlassian.com/doc/questions-for-confluence-security-advisory-2022-07-20-1142446709.html

【7】三菱電機製GENESIS64およびMC Works64に複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#96480474
三菱電機製GENESIS64およびMC Works64における複数の脆弱性
https://jvn.jp/vu/JVNVU96480474/

概要
三菱電機株式会社が提供するGENESIS64およびMC Works64には、複数の脆弱性
があります。結果として、第三者が悪意のあるプログラムを実行するなどの可
能性があります。

対象となる製品およびバージョンは次のとおりです。

- GENESIS64 Version 10.97から10.97.1まで
- MC Works64 Version 4.04Eおよびそれ以前の全バージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
三菱電機株式会社
GENESIS64 および MC Works64 における複数の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2022-008.pdf

【8】サイボウズ Officeに複数の脆弱性

情報源
Japan Vulnerability Notes JVN#20573662
サイボウズ Office に複数の脆弱性
https://jvn.jp/jp/JVN20573662/

概要
サイボウズ Officeには、複数の脆弱性があります。結果として、遠隔の第三
者が、当該製品の情報を窃取したり、改ざんしたりするなどの可能性がありま
す。

対象となるバージョンは次のとおりです。

- サイボウズ Office 10.0.0から10.8.5まで

この問題は、サイボウズ Officeを開発者が提供する修正済みのバージョンに
更新することで解決します。詳細は、開発者が提供する情報を参照してくださ
い。

関連文書 (日本語)
サイボウズ株式会社
サイボウズ Office 10 脆弱性に関するお知らせ
https://cs.cybozu.co.jp/2022/007584.html

【9】U-Bootのsquashfsファイルシステム実装にヒープベースのバッファオーバーフローの脆弱性

情報源
Japan Vulnerability Notes JVNVU#97846460
U-Bootのsquashfsファイルシステム実装にヒープベースのバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU97846460/

概要
U-Bootのsquashfsファイルシステム実装には、ヒープベースのバッファオーバー
フローの脆弱性があります。結果として、細工されたsquashfsイメージをロー
ドすることで、任意のコードを実行されたり、サービス運用妨害（DoS）攻撃を
受けたりする可能性があります。

対象となるバージョンは次のとおりです。

- U-Boot バージョン v2020.10-rc2からv2022.07-rc5まで

この問題は、U-Bootを開発者が提供する修正済みのバージョンに更新すること
で解決します。詳細は、開発者が提供する情報を参照してください。

【10】Bookedにオープンリダイレクトの脆弱性

情報源
Japan Vulnerability Notes JVN#75063798
Booked におけるオープンリダイレクトの脆弱性
https://jvn.jp/jp/JVN75063798/

概要
Twinkle Toes Softwareが提供するBookedには、オープンリダイレクトの脆弱
性があります。結果として、細工されたURLにアクセスすることで、任意のWeb
サイトにリダイレクトされる可能性があります。

対象となるバージョンは次のとおりです。

- Booked 3.3より前のバージョン

この問題は、Bookedを開発者が提供する修正済みのバージョンに更新すること
で解決します。詳細は、開発者が提供する情報を参照してください。

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○「製品セキュリティインシデント対応チーム（PSIRT）成熟度ドキュメント」の日本語訳が公開

2022年7月、FIRSTの製品セキュリティコミュニティによってまとめられた「製
品セキュリティインシデント対応チーム（PSIRT）成熟度ドキュメント 運用能
力と成熟度レベル」の日本語訳が公開されました。日本語訳は日本シーサート
協議会とSoftware ISACによって翻訳された後、JPCERT/CCとPanasonic PSIRT
とTOSHIBA-SIRTによってレビューされました。本ドキュメントでは、PSIRTが
成熟度レベルごとに選択する一連のユースケースとサービスの概要を紹介して
います。

参考文献 (日本語)
日本シーサート協議会
PSIRT Maturity Document 日本語版
https://www.nca.gr.jp/ttc/first_psirt_maturity_document.html

FIRST
Product Security Incident Response Team (PSIRT) Maturity Document（日本語訳）
https://www.first.org/standards/frameworks/psirts/FIRST_PSIRT_Maturity_Document_ja.pdf

――――――――――――――――――――――――――――――――――――――

目 次

【1】複数のCitrix製品に情報漏えいの問題
【2】複数のSAP製品に脆弱性
【3】複数のマイクロソフト製品に脆弱性
【4】複数のアドビ製品に脆弱性
【5】DjangoのExtract関数およびTrunc関数にSQLインジェクションの脆弱性
【6】複数のIntel製品に脆弱性
【今週のひとくちメモ】JPCERT/CCが「なぜ、SSL-VPN製品の脆弱性は放置されるのか “サプライチェーン”攻撃という言葉の陰で見過ごされている攻撃原因について」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr222801.html
https://www.jpcert.or.jp/wr/2022/wr222801.xml
============================================================================

【1】複数のCitrix製品に情報漏えいの問題

情報源
CISA Current Activity
Citrix Releases Security Updates for Hypervisor
https://www.cisa.gov/uscert/ncas/current-activity/2022/07/12/citrix-releases-security-updates-hypervisor

概要
複数のCitrix製品には、AMD CPUハードウェアの脆弱性の影響で情報が漏えい
する問題があります。結果として、ゲストVM上の第三者がホスト上のRAMメモ
リの内容を推測する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Citrix Hypervisor 8.2 CU1 LTSR
- Citrix XenServer 7.1 CU2 LTSR

この問題は、該当する製品にCitrixが提供するhotfixを適用することで解決し
ます。詳細は、Citrixが提供する情報を参照してください。

関連文書 (英語)
Citrix
Citrix Hypervisor Security Bulletin for CVE-2022-23825 and CVE-2022-29900
https://support.citrix.com/article/CTX461397/citrix-hypervisor-security-bulletin-for-cve202223816-and-cve202223825

【2】複数のSAP製品に脆弱性

情報源
CISA Current Activity
SAP Releases July 2022 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/07/12/sap-releases-july-2022-security-updates

概要
複数のSAP製品には、脆弱性があります。結果として、遠隔の第三者が情報を
窃取するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はSAPが提供するアドバイザリ情
報を参照してください。

この問題は、該当する製品をSAPが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、SAPが提供する情報を参照してください。

関連文書 (英語)
SAP
SAP Security Patch Day - July 2022
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a

【3】複数のマイクロソフト製品に脆弱性

情報源
CISA Current Activity
Microsoft Releases July 2022 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/07/12/microsoft-releases-july-2022-security-updates

概要
複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はマイクロソフト株式会社が提供
するアドバイザリ情報を参照してください。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく
ださい。

関連文書 (日本語)
マイクロソフト株式会社
2022 年 7 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2022-Jul

JPCERT/CC 注意喚起
2022年7月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2022/at220018.html

【4】複数のアドビ製品に脆弱性

情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/07/12/adobe-releases-security-updates-multiple-products

概要
複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe Acrobat
- Adobe Acrobat Reader
- Adobe RoboHelp
- Adobe Character Animator
- Adobe Photoshop

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
Adobe AcrobatおよびReaderの脆弱性（APSB22-32）に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220017.html

JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2022071302.html

関連文書 (英語)
アドビ
Security update available for Adobe Acrobat and Reader | APSB22-32
https://helpx.adobe.com/security/products/acrobat/apsb22-32.html

アドビ
Security update available for RoboHelp | APSB22-10
https://helpx.adobe.com/security/products/robohelp/apsb22-10.html

アドビ
Security Updates Available for Adobe Character Animator | APSB22-34
https://helpx.adobe.com/security/products/character_animator/apsb22-34.html

アドビ
Security update available for Adobe Photoshop | APSB22-35
https://helpx.adobe.com/security/products/photoshop/apsb22-35.html

【5】DjangoのExtract関数およびTrunc関数にSQLインジェクションの脆弱性

情報源
Japan Vulnerability Notes JVN#12610194
Django の Extract 関数および Trunc 関数における SQL インジェクションの脆弱性
https://jvn.jp/jp/JVN12610194/

概要
Django Software Foundationが提供するDjangoのExtract関数およびTrunc関数
には、SQLインジェクションの脆弱性があります。結果として、Djangoを利用
して構築されたWebサイト内のデータを攻撃者が改ざんしたり、消去したりす
る可能性があります。

対象となるバージョンは次のとおりです。

- Djangoメイン開発ブランチ
- Django 4.1 (現在ベータ版)
- Django 4.0
- Django 3.2

この問題は、Djangoを開発者が提供する修正済みのバージョンに更新すること
で解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
Django Software Foundation
Django security releases issued: 4.0.6 and 3.2.14
https://www.djangoproject.com/weblog/2022/jul/04/security-releases/

【6】複数のIntel製品に脆弱性

情報源
Japan Vulnerability Notes JVNVU#93756594
Intel製品に複数の脆弱性（2022年7月）
https://jvn.jp/vu/JVNVU93756594/

概要
Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security
Center Advisoriesが公開されました。

詳細は、Intelが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Intel製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2022071301.html

関連文書 (英語)
Intel
Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CCが「なぜ、SSL-VPN製品の脆弱性は放置されるのか “サプライチェーン”攻撃という言葉の陰で見過ごされている攻撃原因について」を公開

2022年7月14日、JPCERT/CCは「なぜ、SSL-VPN製品の脆弱性は放置されるのか
“サプライチェーン”攻撃という言葉の陰で見過ごされている攻撃原因につい
て」をJPCERT/CC Eyesで公開しました。侵入型ランサムウェア攻撃被害に遭う
ケースを「大企業のサプライチェーン」の観点ではなく、主な侵入原因である
SSL-VPN製品の脆弱性放置の問題というインシデント対応側の観点から解説し
ています。

参考文献 (日本語)
JPCERT/CC Eyes
なぜ、SSL-VPN製品の脆弱性は放置されるのか “サプライチェーン”攻撃という言葉の陰で見過ごされている攻撃原因について
https://blogs.jpcert.or.jp/ja/2022/07/ssl-vpn.html

――――――――――――――――――――――――――――――――――――――

目 次

【1】複数のCisco製品に脆弱性
【2】OpenSSLに複数の脆弱性
【3】Google Chromeに複数の脆弱性
【4】Passage Driveにデータ検証不備の脆弱性
【5】サイボウズ Garoon に複数の脆弱性
【6】LiteCartにクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】オフィスと自宅のWi-Fi接続端末をサイバースパイから守る

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr222701.html
https://www.jpcert.or.jp/wr/2022/wr222701.xml
============================================================================

【1】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/07/07/cisco-releases-security-updates-multiple-products

概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が任意
のファイルを上書きするなどの可能性があります。

影響度CriticalおよびHighの脆弱性情報に記載されている製品は次のとおりです。

- Cisco Expressway Series software and Cisco TelePresence VCS software
- Cisco SSM On-Prem and Cisco SSM Satellite

上記製品以外にも、影響度Mediumの複数の脆弱性情報が公開されています。詳
細はCiscoが提供する情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供するアドバイザリ情報を参照して
ください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【2】OpenSSLに複数の脆弱性

情報源
CISA Current Activity
OpenSSL Releases Security Update
https://www.cisa.gov/uscert/ncas/current-activity/2022/07/06/openssl-releases-security-update

概要
OpenSSLには、複数の脆弱性が存在します。結果として、遠隔の第三者が任意
のコード実行を行う可能性などがあります。

対象となるバージョンは次のとおりです。

- OpenSSL 1.1.1qより前の1.1.1系のバージョン
- OpenSSL 3.0.5より前の3.0系のバージョン

この問題は、OpenSSLをOpenSSL Projectが提供する修正済みのバージョンに更
新することで解決します。詳細は、OpenSSL Projectが提供する情報を参照し
てください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#96381485
OpenSSLに複数の脆弱性
https://jvn.jp/vu/JVNVU96381485/

関連文書 (英語)
OpenSSL
OpenSSL Security Advisory [5 July 2022]
https://www.openssl.org/news/secadv/20220705.txt

【3】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Update for Chrome
https://www.cisa.gov/uscert/ncas/current-activity/2022/07/05/google-releases-security-update-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 103.0.5060.114より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/07/stable-channel-update-for-desktop.html

【4】Passage Driveにデータ検証不備の脆弱性

情報源
Japan Vulnerability Notes JVN#23766146
Passage Drive にデータ検証不備の脆弱性
https://jvn.jp/jp/JVN23766146/

概要
横河レンタ・リース株式会社製のPassage Driveには、プロセス間通信におけ
るデータ検証不備の脆弱性が存在します。結果として、当該製品が動作する
WindowsシステムのLocalSystem権限で、任意のOSコマンドを実行される可能性
があります。

対象となるバージョンは次のとおりです。

- Passage Drive v1.4.0 から v1.5.1.0 までのバージョン
- Passage Drive for Box v1.0.0

この問題について、横河レンタ・リース株式会社より修正済みのバージョンの
提供が提供されています。詳細は、横河レンタ・リース株式会社が提供する情
報を参照してください。

関連文書 (日本語)
横河レンタ・リース株式会社
[Passage Drive]Passage Drive 任意のコード実行の脆弱性に関するご報告
https://www.yrl.com/fwp_support/info/a1hrbt0000002037.html

【5】サイボウズ Garoon に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#14077132
サイボウズ Garoon に複数の脆弱性
https://jvn.jp/jp/JVN14077132/

概要
サイボウズ株式会社が提供するサイボウズ Garoonには、複数の脆弱性があり
ます。結果として、当該製品にログイン可能なユーザーが、ファイル情報を
改ざんしたりファイルを削除したりするなどの可能性があります。

対象となるバージョンは次のとおりです。

- サイボウズ Garoon 4.0.0から5.9.1までのバージョン

この問題は、サイボウズ Garoonを開発者が提供する修正済みのバージョンに
更新することで解決します。詳細は、開発者が提供する情報を参照してくださ
い。

関連文書 (日本語)
サイボウズ株式会社
Passage Drive におけるデータ検証不備の脆弱性
https://cs.cybozu.co.jp/2022/007682.html

【6】LiteCartにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#32625020
LiteCart におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN32625020/

概要
LiteCart には、クロスサイトスクリプティングの脆弱性が存在します。
結果として、当該製品を使用しているサイトにアクセスしているユーザのWeb
ブラウザ上で、任意のスクリプトを実行される可能性があります。

対象となるバージョンは次のとおりです。

- LiteCart 2.4.2より前のバージョン

この問題について、開発者より修正済みのバージョンが提供されています。詳
細は、開発者が提供する情報を参照してください。

関連文書 (英語)
GitHub
litecart /litecart
https://github.com/litecart/litecart

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○オフィスと自宅のWi-Fi接続端末をサイバースパイから守る

昨年から今年にかけて、Wi-Fiで正規のアクセスポイントを偽装して、標的ユ
ーザに自ら設定した偽のアクセスポイントを経由させることで、重要情報を搾
取する事案が多数発生しています。本コラムでは、当該事案の具体例と共に、
被害を軽減する対策について紹介しています。

参考文献 (日本語)
デジタル・フォレンジック研究会
オフィスと自宅のWi-Fi接続端末をサイバースパイから守る
https://digitalforensic.jp/2022/07/04/columu724/

――――――――――――――――――――――――――――――――――――――

目 次

【1】複数のMozilla製品に脆弱性
【2】ruby-mysqlに任意のファイルを読み取り可能な脆弱性
【3】HOME SPOT CUBE2にOSコマンドインジェクションの脆弱性
【4】三菱電機製FAエンジニアリングソフトウェア製品に複数の脆弱性
【5】複数のオムロン製品に脆弱性
【今週のひとくちメモ】JPCERT/CC 感謝状 2022

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr222601.html
https://www.jpcert.or.jp/wr/2022/wr222601.xml
============================================================================

【1】複数のMozilla製品に脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird
https://www.cisa.gov/uscert/ncas/current-activity/2022/06/29/mozilla-releases-security-updates-firefox-firefox-esr-and

概要
複数のMozilla製品には、複数の脆弱性があります。結果として、第三者が任
意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 102より前のバージョン
- Mozilla Firefox ESR 91.11より前のバージョン
- Mozilla Firefox for iOS 102より前のバージョン
- Mozilla Thunderbird 91.11より前のバージョン
- Mozilla Thunderbird 102より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)
Mozilla
Mozilla Foundation Security Advisory 2022-24
https://www.mozilla.org/en-US/security/advisories/mfsa2022-24/

Mozilla
Mozilla Foundation Security Advisory 2022-25
https://www.mozilla.org/en-US/security/advisories/mfsa2022-25/

Mozilla
Mozilla Foundation Security Advisory 2022-26
https://www.mozilla.org/en-US/security/advisories/mfsa2022-26/

Mozilla
Mozilla Foundation Security Advisory 2022-27
https://www.mozilla.org/en-US/security/advisories/mfsa2022-27/

【2】ruby-mysqlに任意のファイルを読み取り可能な脆弱性

情報源
Japan Vulnerability Notes JVN#92799903
ruby-mysqlにおけるファイル参照に関する脆弱性
https://jvn.jp/vu/JVNVU92799903/

概要
ruby-mysqlには、クライアント側のローカルファイルに適切な認可処理を経ずに
アクセスすることが可能となる脆弱性が存在します。結果として、遠隔の第三者
が任意のファイルを読み取り、データを不正に窃取する可能性があります。

対象となるバージョンは次のとおりです。

- ruby-mysql 2.10.0より前のバージョン

この問題は、ruby-mysqlを開発者が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
tommy
ruby-mysql 3.0.1
https://rubygems.org/gems/ruby-mysql/

【3】HOME SPOT CUBE2にOSコマンドインジェクションの脆弱性

情報源
Japan Vulnerability Notes JVN#41017328
HOME SPOT CUBE2 における OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN41017328/

概要
KDDI株式会社が提供するHOME SPOT CUBE2には、DHCPサーバーから受け取った
データの処理の不備に起因する、OSコマンドインジェクションの脆弱性が存在
します。結果として、攻撃者が用意したDHCPサーバーを当該製品のWAN側に設
置した場合、当該製品上で任意のOSコマンドを実行する可能性があります。

対象となるバージョンは次のとおりです。

- HOME SPOT CUBE2 V102およびそれ以前

この問題は、KDDI株式会社が提供する回避策を適用することで本脆弱性の影響
を軽減することが可能とのことです。詳細は、KDDI株式会社が提供する情報を
参照してください。

関連文書 (日本語)
KDDI株式会社
重要なお知らせ HOME SPOT CUBE2 ご利用上の注意
https://www.au.com/support/service/mobile/guide/wlan/home_spot_cube_2/

【4】三菱電機製FAエンジニアリングソフトウェア製品に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#93817405
三菱電機製FAエンジニアリングソフトウェア製品における複数の脆弱性
https://jvn.jp/vu/JVNVU93817405/

概要
三菱電機株式会社が提供する複数のFAエンジニアリングソフトウェア製品に
は、複数の脆弱性が存在します。結果として、攻撃者が細工したプロジェクト
ファイルを当該ソフトウェア製品で開いた場合、当該ソフトウェア製品がサー
ビス運用妨害（DoS）状態になる可能性があります。

対象となる製品およびバージョンは次のとおりです。

- GX Works2 Ver. 1.606Gおよびそれ以前
- MELSOFT Navigator Ver. 2.84Nおよびそれ以前
- EZSocketすべてのバージョン

この問題について、三菱電機株式会社より修正済みのバージョンの提供または
脆弱性の影響を軽減するための回避策に関する情報が提供されています。詳細
は、三菱電機株式会社が提供する情報を参照してください。

関連文書 (日本語)
三菱電機株式会社
複数の FA エンジニアリングソフトウェア製品における複数のサービス拒否(DoS)の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-021.pdf

【5】複数のオムロン製品に脆弱性

情報源
Japan Vulnerability Notes JVNVU#97111518
オムロン製SYSMAC CS/CJ/CPシリーズおよびNJ/NXシリーズにおける複数の脆弱性
https://jvn.jp/vu/JVNVU97111518/

Japan Vulnerability Notes JVNVU#97050784
オムロン製複数製品における複数の脆弱性
https://jvn.jp/vu/JVNVU97050784/

概要
複数のオムロン製品には、脆弱性が存在します。結果として、サービス運用
妨害（DoS）攻撃や任意のプログラムが実行されるなどの可能性があります。

対象となる製品は、多岐にわたります。詳細や最新の情報については、オムロ
ン株式会社が提供するアドバイザリ情報を参照してください。

この問題について、オムロン株式会社より修正済みのバージョンの提供または
脆弱性の影響を軽減するための回避策に関する情報が提供されています。詳細
は、オムロン株式会社が提供する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes
オムロン株式会社からの情報
https://jvn.jp/vu/JVNVU97111518/995504/

オムロン株式会社
マシンオートメーションコントローラ NJ/NX シリーズの通信機能における認証回避の脆弱性
https://www.fa.omron.co.jp/product/vulnerability/OMSR-2022-001_ja.pdf

オムロン株式会社
マシンオートメーションコントローラ NJ/NX シリーズにおける悪意のあるプログラムが実行される脆弱性
https://www.fa.omron.co.jp/product/vulnerability/OMSR-2022-002_ja.pdf

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CC 感謝状 2022

JPCERT/CCは、2014年4月より、国内においてサイバーセキュリティインシデン
トの被害の低減に大きく貢献した方へ感謝の意を表することを目的に、感謝状
制度を制定しています。2022年度は第9回目を迎えました。

JPCERT/CCは、多くの報告者の方々に日々ご協力いただいております。 JPCERT/CC
に報告をくださったすべての方々に、この場を借りて感謝申し上げます。引き
続きJPCERT/CCの活動にご協力いただければと存じます。

参考文献 (日本語)
JPCERT/CC
JPCERT/CC 感謝状 2022
https://www.jpcert.or.jp/award/appreciation-award/2022.html

――――――――――――――――――――――――――――――――――――――