ミニ・いんふぉめーしょん

目 次

【1】ISC BIND 9に複数の脆弱性
【2】Microsoft Endpoint Configuration Managerに脆弱性
【3】複数のMozilla製品に脆弱性
【今週のひとくちメモ】JPCERT/CCが「「積極的サイバー防御」（アクティブ・サイバー・ディフェンス）とは何か ―より具体的な議論に向けて必要な観点について―」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr223801.html
https://www.jpcert.or.jp/wr/2022/wr223801.xml
============================================================================

【1】ISC BIND 9に複数の脆弱性

情報源
CISA Current Activity
ISC Releases Security Advisories for Multiple Versions of BIND 9
https://www.cisa.gov/uscert/ncas/current-activity/2022/09/22/isc-releases-security-advisories-multiple-versions-bind-9

概要
ISC BIND 9には、複数の脆弱性があります。結果として、遠隔の第三者がnamed
を異常終了させるなどの可能性があります。

対象となるバージョンは次のとおりです。

- BIND 9.16.14からBIND 9.16.32まで
- BIND 9.18.0からBIND 9.18.6まで
- BIND 9.19.0からBIND 9.19.4まで
- BIND Supported Preview Edition 9.9.3-S1からBIND 9.11.37-S1まで
- BIND Supported Preview Edition 9.11.4-S1からBIND 9.11.37-S1まで
- BIND Supported Preview Edition 9.16.8-S1からBIND 9.16.32-S1まで

なお、すでにサポートが終了しているBIND 9も影響を受ける可能性があります。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
ISC BIND 9における複数の脆弱性について（2022年9月）
https://www.jpcert.or.jp/newsflash/2022092201.html

日本レジストリサービス (JPRS)
BIND 9.xの脆弱性（パフォーマンスの低下）について（CVE-2022-2795）- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2022-09-22-bind9-vuln-large-delegations.html

日本レジストリサービス (JPRS)
BIND 9.18.xの脆弱性（不適切なメモリの読み取りまたはDNSサービスの停止）について（CVE-2022-2881）- BIND 9.18系列のみが対象、バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2022-09-22-bind9-vuln-bufferoverread.html

日本レジストリサービス (JPRS)
（緊急）BIND 9.18.xの脆弱性（メモリリークの発生）について（CVE-2022-2906）- BIND 9.18系列のみが対象、バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2022-09-22-bind9-vuln-tkey.html

日本レジストリサービス (JPRS)
（緊急）BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2022-3080）- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2022-09-22-bind9-vuln-serve-stale.html

日本レジストリサービス (JPRS)
（緊急）BIND 9.xの脆弱性（メモリリークの発生）について（CVE-2022-38177）- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2022-09-22-bind9-vuln-ecdsa.html

日本レジストリサービス (JPRS)
（緊急）BIND 9.xの脆弱性（メモリリークの発生）について（CVE-2022-38178）- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2022-09-22-bind9-vuln-eddsa.html

【2】Microsoft Endpoint Configuration Managerに脆弱性

情報源
CISA Current Activity
Microsoft Releases Out-of-Band Security Update for Microsoft Endpoint Configuration Manager
https://www.cisa.gov/uscert/ncas/current-activity/2022/09/21/microsoft-releases-out-band-security-update-microsoft-endpoint

概要
Microsoft Endpoint Configuration Managerには、脆弱性があります。結果と
して、遠隔の第三者が機微な情報を取得する可能性があります。

対象となる製品は次のとおりです。

- Microsoft Endpoint Configuration Manager

この問題は、該当する製品をMicrosoftが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Microsoftが提供する情報を参照してください。

関連文書 (英語)
マイクロソフト株式会社
Microsoft Endpoint Configuration Manager Spoofing Vulnerability
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-37972

【3】複数のMozilla製品に脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird
https://www.cisa.gov/uscert/ncas/current-activity/2022/09/21/mozilla-releases-security-updates-firefox-esr-thunderbird

概要
複数のMozilla製品には、複数の脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Thunderbird 91.13.1より前のバージョン
- Mozilla Firefox 105より前のバージョン
- Mozilla Firefox ESR 102.3より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)
Mozilla
Mozilla Foundation Security Advisory 2022-39
https://www.mozilla.org/en-US/security/advisories/mfsa2022-39/

Mozilla
Mozilla Foundation Security Advisory 2022-40
https://www.mozilla.org/en-US/security/advisories/mfsa2022-40/

Mozilla
Mozilla Foundation Security Advisory 2022-41
https://www.mozilla.org/en-US/security/advisories/mfsa2022-41/

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CCが「「積極的サイバー防御」（アクティブ・サイバー・ディフェンス）とは何か ―より具体的な議論に向けて必要な観点について―」を公開

2022年9月21日、JPCERT/CCは「「積極的サイバー防御」（アクティブ・サイバ
ー・ディフェンス）とは何か ―より具体的な議論に向けて必要な観点につい
て―」と題したブログをJPCERT/CC Eyesで公開しました。
「積極的サイバー防御」、「アクティブ・サイバー・ディフェンス」、「アク
ティブ・ディフェンス」といった言葉を目にする機会が増えたかと思います。
本ブログでは、これらの言葉が示すテーマを今後議論していくために必要な視
点について紹介しています。

参考文献 (日本語)
JPCERT/CC Eyes
「積極的サイバー防御」（アクティブ・サイバー・ディフェンス）とは何か ―より具体的な議論に向けて必要な観点について―
https://blogs.jpcert.or.jp/ja/2022/09/active-cyber-defense.html

――――――――――――――――――――――――――――――――――――――

目 次

【1】複数のマイクロソフト製品に脆弱性
【2】複数のApple製品に脆弱性
【3】Trend Micro Apex OneおよびTrend Micro Apex One SaaSに複数の脆弱性
【4】複数のアドビ製品に脆弱性
【5】OpenAM（OpenAMコンソーシアム版）にオープンリダイレクトの脆弱性
【6】EC-CUBEおよびEC-CUBE用プラグイン「商品画像一括アップロードプラグイン」に脆弱性
【今週のひとくちメモ】JPCERT/CCが「攻撃グループBlackTechによるF5 BIG-IPの脆弱性（CVE-2022-1388）を悪用した攻撃」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr223701.html
https://www.jpcert.or.jp/wr/2022/wr223701.xml
============================================================================

【1】複数のマイクロソフト製品に脆弱性

情報源
CISA Current Activity
Microsoft Releases September 2022 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/09/13/microsoft-releases-september-2022-security-updates

概要
複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく
ださい。

関連文書 (日本語)
マイクロソフト株式会社
2022 年 9 月のセキュリティ更新プログラム (月例)
https://msrc-blog.microsoft.com/2022/09/13/202209-security-updates/

JPCERT/CC 注意喚起
2022年9月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2022/at220024.html

【2】複数のApple製品に脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/09/13/apple-releases-security-updates-multiple-products

概要
複数のApple製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- iOS 15.7より前のバージョン
- iPadOS 15.7より前のバージョン
- macOS Big Sur 11.7より前のバージョン
- macOS Monterey 12.6より前のバージョン
- Safari 16より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Apple製品のアップデートについて（2022年9月）
https://www.jpcert.or.jp/newsflash/2022091301.html

Apple
iOS 15.7 および iPadOS 15.7 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213445

Apple
macOS Big Sur 11.7 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213443

Apple
macOS Monterey 12.6 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213444

Apple
iOS 16 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213446

Apple
Safari 16 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213442

【3】Trend Micro Apex OneおよびTrend Micro Apex One SaaSに複数の脆弱性

情報源
Japan Vulnerability Notes JVN#36454862
Trend Micro Apex One および Trend Micro Apex One SaaS における複数の脆弱性
https://jvn.jp/jp/JVN36454862/

概要
Trend Micro Apex OneおよびTrend Micro Apex One SaaSには、複数の脆弱性
があります。結果として、当該製品の管理コンソールにログイン可能な第三者
が、任意のコードを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Trend Micro Apex One 2019
- Trend Micro Apex One SaaS

この問題は、該当する製品に開発者が提供するパッチを適用することで解決し
ます。なお、Trend Micro Apex One SaaSは2022年8月のメンテナンスで修正済
みとのことです。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ：Trend Micro Apex One 及びTrend Micro Apex One SaaSで確認した複数の脆弱性について（2022年9月）
https://success.trendmicro.com/jp/solution/000291471

トレンドマイクロ株式会社
【注意喚起】Trend Micro Apex One / Trend Micro Apex One SaaS の複数の脆弱性および脆弱性を悪用した攻撃(CVE-2022-40139)を確認したことによる修正プログラム適用のお願いについて（2022年9月）
https://appweb.trendmicro.com/SupportNews/NewsDetail.aspx?id=4553

JPCERT/CC 注意喚起
Trend Micro Apex OneおよびTrend Micro Apex One SaaSの脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220023.html

【4】複数のアドビ製品に脆弱性

情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/09/13/adobe-releases-security-updates-multiple-products

概要
複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe Experience Manager (AEM)
- Adobe Bridge
- Adobe InDesign
- Adobe Photoshop
- Adobe InCopy
- Adobe Animate
- Adobe Illustrator

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2022091401.html

関連文書 (英語)
アドビ
Security updates available for Adobe Experience Manager | APSB22-40
https://helpx.adobe.com/security/products/experience-manager/apsb22-40.html

アドビ
Security Updates Available for Adobe Bridge | APSB22-49
https://helpx.adobe.com/security/products/bridge/apsb22-49.html

アドビ
Security Update Available for Adobe InDesign | APSB22-50
https://helpx.adobe.com/security/products/indesign/apsb22-50.html

アドビ
Security update available for Adobe Photoshop | APSB22-52
https://helpx.adobe.com/security/products/photoshop/apsb22-52.html

アドビ
Security Update Available for Adobe InCopy | APSB22-53
https://helpx.adobe.com/security/products/incopy/apsb22-53.html

アドビ
Security updates available for Adobe Animate | APSB22-54
https://helpx.adobe.com/security/products/animate/apsb22-54.html

アドビ
Security Updates Available for Adobe Illustrator | APSB22-55
https://helpx.adobe.com/security/products/illustrator/apsb22-55.html

【5】OpenAM（OpenAMコンソーシアム版）にオープンリダイレクトの脆弱性

情報源
Japan Vulnerability Notes JVNVU#99326969
OpenAM (OpenAMコンソーシアム版)におけるオープンリダイレクトの脆弱性
https://jvn.jp/vu/JVNVU99326969/

概要
OpenAM（OpenAMコンソーシアム版）には、オープンリダイレクトの脆弱性があ
ります。結果として、細工されたURLを通じて当該製品が稼働しているサーバー
にアクセスすることで、任意のWebサイトにリダイレクトされる可能性があり
ます。

対象となるバージョンは次のとおりです。

- OpenAM（OpenAMコンソーシアム版）14.0.0

この問題は、該当する製品に開発者が提供するパッチを適用することで解決し
ます。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
OSSTech株式会社
OpenAM の脆弱性(CVE-2022-31735)について [am2022-1-1]
https://www.osstech.co.jp/support/am2022-1-1/

【6】EC-CUBEおよびEC-CUBE用プラグイン「商品画像一括アップロードプラグイン」に脆弱性

情報源
Japan Vulnerability Notes JVN#21213852
EC-CUBE における複数の脆弱性
https://jvn.jp/jp/JVN21213852/

Japan Vulnerability Notes JVN#30900552
EC-CUBE 用プラグイン「商品画像一括アップロードプラグイン」におけるアップロードファイルの検証不備の脆弱性
https://jvn.jp/jp/JVN30900552/

概要
EC-CUBEおよびEC-CUBE用プラグイン「商品画像一括アップロードプラグイン」
には、脆弱性があります。結果として、攻撃者が当該製品の管理者を細工した
ページに誘導し、特定の操作を実行させることにより、管理者のWebブラウザー
上で任意のスクリプトが実行されるなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- EC-CUBE 4.0.0から4.1.2まで（EC-CUBE 4系）
- EC-CUBE 3.0.0から3.0.18-p4まで（EC-CUBE 3系）
- 商品画像一括アップロードプラグイン 4.1.0
- 商品画像一括アップロードプラグイン 1.0.0

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
るか、パッチを適用することで解決します。詳細は、開発者が提供する情報を
参照してください。

関連文書 (日本語)
株式会社イーシーキューブ
EC-CUBEにおけるディレクトリトラバーサルの脆弱性(JVN#21213852)
https://www.ec-cube.net/info/weakness/20220909/

株式会社イーシーキューブ
EC-CUBEにおけるクロスサイトスクリプティングの脆弱性(JVN#21213852)
https://www.ec-cube.net/info/weakness/20220909/xss.php

株式会社イーシーキューブ
EC-CUBE用プラグイン「商品画像一括アップロードプラグイン」におけるアップロードファイルの検証不備の脆弱性(JVN#30900552)
https://www.ec-cube.net/info/weakness/20220909/product_images_uploader.php

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CCが「攻撃グループBlackTechによるF5 BIG-IPの脆弱性（CVE-2022-1388）を悪用した攻撃」を公開

2022年9月15日、JPCERT/CCは「攻撃グループBlackTechによるF5 BIG-IPの脆弱
性（CVE-2022-1388）を悪用した攻撃」に関するブログをJPCERT/CC Eyesで公
開しました。2022年5月頃、JPCERT/CCはF5 BIG-IPの脆弱性（CVE-2022-1388）
を悪用して日本の組織に攻撃を行う活動を確認しました。この攻撃は、攻撃グ
ループBlackTechの活動と関連しているものと推測しています。本ブログでは、
今回確認した活動について紹介しています。

参考文献 (日本語)
JPCERT/CC Eyes
攻撃グループBlackTechによるF5 BIG-IPの脆弱性（CVE-2022-1388）を悪用した攻撃
https://blogs.jpcert.or.jp/ja/2022/09/bigip-exploit.html

――――――――――――――――――――――――――――――――――――――

目 次

【1】複数のCisco製品に脆弱性
【2】Movable Type用プラグインA-Formにクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】フィッシング対策協議会が「各ブラウザーによるSSL/TLSサーバー証明書の表示の違い」を更新

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr223601.html
https://www.jpcert.or.jp/wr/2022/wr223601.xml
============================================================================

【1】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/09/08/cisco-releases-security-updates-multiple-products

概要
複数のCisco製品には、影響度Highを含む複数の脆弱性があります。結果とし
て、隣接するネットワーク上の第三者が構成を変更するなどの可能性がありま
す。

影響度Highの脆弱性情報に記載されている製品は次のとおりです。

- Cisco SD-WAN vManage Software
- Cisco Catalyst 8000V Edge Software
- Adaptive Security Virtual Appliance (ASAv)
- Secure Firewall Threat Defense Virtual (formerly FTDv)

上記製品以外にも、影響度Mediumの脆弱性情報が公開されています。詳細は
Ciscoが提供する情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供するアドバイザリ情報を参照して
ください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

Cisco
Cisco SD-WAN vManage Software Unauthenticated Access to Messaging Services Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vmanage-msg-serv-AqTup7vs

Cisco
Vulnerability in NVIDIA Data Plane Development Kit Affecting Cisco Products: August 2022
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-mlx5-jbPCrqD8

【2】Movable Type用プラグインA-Formにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#48120704
Movable Type 用プラグイン A-Form におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN48120704/

概要
Movable Type用プラグインA-Formには、クロスサイトスクリプティングの脆弱
性があります。結果として、当該プラグインを使用しているサイトにアクセス
したユーザーのWebブラウザー上で、任意のスクリプトを実行される可能性が
あります。

対象となるバージョンは次のとおりです。

- A-Form 4.1.1より前のバージョン（Movable Type 7系用）
- A-Form 3.9.1より前のバージョン（Movable Type 6系用）

なお、開発者によると、A-FormはA-Member、A-Reserve、A-Memberサブスクリ
プションパックにも同梱されているとのことです。

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
株式会社アークウェブ
MTプラグインAシリーズ：新バージョン4.1.1/3.9.1（脆弱性対応版）リリースのお知らせ
https://www.ark-web.jp/blog/archives/2022/09/a-series-411-391.html

株式会社アークウェブ
リリースノート：A-Form PC 4.1.1/3.9.1, A-Member 4.1.1/3.9.1, A-Reserve 4.1.1/3.9.1, A-Memberサブスクリプションパック 1.005
https://www.ark-web.jp/movabletype/blog/2022/09/a-series-411-391.html

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○フィッシング対策協議会が「各ブラウザーによるSSL/TLSサーバー証明書の表示の違い」を更新

2022年9月6日、フィッシング対策協議会は、各ブラウザーによるSSL/TLSサーバー
証明書の表示の違いに関するお知らせを更新しました。本お知らせでは、主要
ブラウザーのバージョンアップおよびMicrosoft Internet Explorer（IE）バー
ジョン11が2022年6月15日をもってサポートが終了したことを受け、各ブラウ
ザーによるサーバー証明書の表示の違いについて説明しています。また、ブラ
ウザーの表示に対して適切な認識を持ち、証明書確認サービスを利用すること
で証明書の種類やWebサイトに掲載されている情報に疑わしい点がないか確認
を行うことをお勧めしています。

参考文献 (日本語)
フィッシング対策協議会
【更新】 各ブラウザーによる SSL / TLS サーバー証明書の表示の違い (2022/09/06)
https://www.antiphishing.jp/news/info/_ssl_20220906.html

――――――――――――――――――――――――――――――――――――――

目 次

【1】Mozilla Thunderbirdに複数の脆弱性
【2】iOS 12に任意のコード実行の脆弱性
【3】PowerCMSにコマンドインジェクションの脆弱性
【4】シンクグラフィカ製メールフォームプロ CGIに情報漏えいの脆弱性
【5】プラネックスコミュニケーションズ製ネットワークカメラに複数の脆弱性
【6】CentreCOM AR260S V2に複数の脆弱性
【7】リコーカンタンドライバーインストーラセットアップツールにDLL読み込みに関する脆弱性
【今週のひとくちメモ】SecurityDays Fall 2022開催

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr223501.html
https://www.jpcert.or.jp/wr/2022/wr223501.xml
============================================================================

【1】Mozilla Thunderbirdに複数の脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Update for Thunderbird
https://www.cisa.gov/uscert/ncas/current-activity/2022/09/02/mozilla-releases-security-update-thunderbird

概要
Mozilla Thunderbirdには、複数の脆弱性があります。結果として、攻撃者が
機微な情報を取得するなどの可能性があります。

対象となる製品とバージョンは次のとおりです。

- Mozilla Thunderbird 102.2.1より前のバージョン

この問題は、Mozilla ThunderbirdをMozillaが提供する修正済みのバージョン
に更新することで解決します。詳細は、Mozillaが提供する情報を参照してく
ださい。

関連文書 (日本語)
Mozilla
Mozilla Foundation Security Advisory 2022-38
https://www.mozilla.org/en-US/security/advisories/mfsa2022-38/

【2】iOS 12に任意のコード実行の脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/09/01/apple-releases-security-updates-multiple-products

概要
iOS 12には、任意のコード実行の脆弱性があります。結果として、第三者が任
意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- iOS 12.5.6より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
Apple
iOS 12.5.6 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213428

CyberNewsFlash
Apple製品のアップデートについて（2022年8月）
https://www.jpcert.or.jp/newsflash/2022081801.html

【3】PowerCMSにコマンドインジェクションの脆弱性

情報源
Japan Vulnerability Notes JVN#76024879
PowerCMS の XMLRPC API におけるコマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN76024879/

概要
PowerCMSのXMLRPC APIには、コマンドインジェクションの脆弱性があります。
結果として、遠隔の第三者が任意のOSコマンドを実行するなどの可能性があり
ます。

対象となる製品およびバージョンは次のとおりです。

- PowerCMS 6.021 およびそれ以前 (PowerCMS 6系)
- PowerCMS 5.21 およびそれ以前 (PowerCMS 5系)
- PowerCMS 4.51 およびそれ以前 (PowerCMS 4系)

なお、開発者によると、すでにサポートが終了している PowerCMS 3系以前の
バージョンも本脆弱性の影響を受けるとのことです。

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
アルファサード株式会社
XMLRPC API におけるコマンド・インジェクションの脆弱性対策 (JVN#7602487)
https://www.powercms.jp/news/xmlrpc-api-provision-202208.html

【4】シンクグラフィカ製メールフォームプロ CGIに情報漏えいの脆弱性

情報源
Japan Vulnerability Notes JVN#34205166
シンクグラフィカ製メールフォームプロ CGI における情報漏えいの脆弱性
https://jvn.jp/jp/JVN34205166/

概要
シンクグラフィカが提供するメールフォームプロ CGIには、情報漏えいの脆弱
性があります。結果として、第三者がユーザーの機微な情報を取得する可能性
があります。

対象となる製品およびバージョンは次のとおりです。

- メールフォームプロ CGI 4.3.1 およびそれ以前

なお、開発者によると、thanksモジュールを有効にしている場合に本脆弱性の
影響を受けるとのことです。

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
シンクグラフィカ
メールフォームプロ 情報漏洩の脆弱性 について
https://www.synck.com/blogs/news/newsroom/detail_1661907555.html

シンクグラフィカ
サンクスページへ値の引き継ぎ（v4.1.2）
https://www.synck.com/downloads/cgi-perl/mailformpro/feature_1381250709.html

【5】プラネックスコミュニケーションズ製ネットワークカメラに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#90766406
プラネックスコミュニケーションズ製ネットワークカメラにおける複数の脆弱性
https://jvn.jp/vu/JVNVU90766406/

概要
プラネックスコミュニケーションズ株式会社が提供する「スマカメ CS-QR10」
および「スマカメ ナイトビジョン CS-QR20」には、複数の脆弱性があります。
結果として、Web管理インターフェイスにログイン可能な攻撃者が、当該製品
上で任意のOSコマンドを実行するなどの可能性があります。

対象となる製品とバージョンは次のとおりです。

- スマカメ CS-QR10 すべてのバージョン
- スマカメ ナイトビジョン CS-QR20 すべてのバージョン

当該製品のサポートは終了しており、修正アップデートは提供されません。
開発者は対策として、製品の使用停止、または管理者パスワードを変更した上
で安全性を配慮したローカルネットワーク環境での使用を推奨しています。

【6】CentreCOM AR260S V2に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#45473612
CentreCOM AR260S V2 における複数の脆弱性
https://jvn.jp/jp/JVN45473612/

概要
アライドテレシス株式会社が提供する CentreCOM AR260S V2には、複数の脆弱
性があります。結果として、遠隔の第三者が任意のOSコマンドを実行する可能
性があります。

対象となる製品とバージョンは次のとおりです。

- CentreCOM AR260S V2 ファームウェアバージョン Ver.3.3.7より前のバージョン

この問題は、当該製品を開発者が提供する修正済みのバージョンに更新し、全
てのアカウントのパスワードを変更することで解決します。詳細は、開発者が
提供する情報を参照してください。

関連文書 (日本語)
アライドテレシス株式会社
CentreCOM AR260S V2 における複数の脆弱性について
https://www.allied-telesis.co.jp/support/list/faq/vuls/20220829.html

【7】リコーカンタンドライバーインストーラセットアップツールにDLL読み込みに関する脆弱性

情報源
Japan Vulnerability Notes JVN#44721267
リコーカンタンドライバーインストーラセットアップツールにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN44721267/

概要
株式会社リコーが提供するリコーカンタンドライバーインストーラセットアッ
プツールには、DLL 読み込みに関する脆弱性があります。結果として、攻撃者
が任意のコードを実行する可能性があります。

- リコーカンタンドライバーインストーラセットアップツール Ver.2.20.3.0より前のバージョン

この問題は、開発者が提供する情報をもとに、最新のセットアップツールを使
用することで解決します。なお、本脆弱性の影響を受けるのはセットアップツー
ルの起動時のみで、すでにドライバインストーラのセットアップを完了してい
る場合、再度セットアップツールを実行する必要はありません。詳細は、開発
者が提供する情報を参照してください。

関連文書 (日本語)
株式会社リコー
リコーカンタンドライバーインストーラー
https://www.ricoh.co.jp/software/utility/dev_soft_manager

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○SecurityDays Fall 2022開催

2022年10月4日-7日に東京会場、10月13日に大阪会場で、株式会社ナノオプト・
メディア主催の「SecurityDays Fall 2022」が開催されます。システムインテ
グレーター、ソリューションベンダー、学術研究機関などが参加し、最新のサ
イバー攻撃の脅威動向やセキュリティ対策などに関する知見を深めるイベント
です。参加費は無料、参加には事前の申し込みが必要です。JPCERT/CCは
SecurityDays Fall 2022を後援しています。

参考文献 (日本語)
SecurityDays
SecurityDays Fall 2022
https://f2ff.jp/secd/2022-fall

――――――――――――――――――――――――――――――――――――――