ミニ・いんふぉめーしょん

目 次

【1】複数のMozilla製品に脆弱性
【2】2022年10月Oracle Critical Patch Updateについて
【3】Trend Micro Apex OneおよびTrend Micro Apex One SaaSに複数の脆弱性
【4】スマートフォンアプリ「Lemon8 (レモンエイト)」にアクセス制限不備の脆弱性
【5】日本語プログラミング言語「なでしこ3」に複数の脆弱性
【今週のひとくちメモ】JPCERT/CCが2022年7月～2022年9月分の「活動四半期レポート」「インシデント報告対応レポート」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください.

https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr224201.html
https://www.jpcert.or.jp/wr/2022/wr224201.xml
============================================================================

【1】複数のMozilla製品に脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox
https://www.cisa.gov/uscert/ncas/current-activity/2022/10/20/mozilla-releases-security-updates-firefox

概要
複数のMozilla製品には、複数の脆弱性があります。結果として、遠隔の第三者
がサービス運用妨害（DoS）攻撃などを行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Firefox 106より前のバージョン
- Firefox ESR 102.4より前のバージョン

この問題は、Mozillaが提供する修正済みのバージョンに更新することで解決
します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)
Mozilla
Mozilla Foundation Security Advisory 2022-44
https://www.mozilla.org/en-US/security/advisories/mfsa2022-44/

Mozilla
Mozilla Foundation Security Advisory 2022-45
https://www.mozilla.org/en-US/security/advisories/mfsa2022-45/

【2】2022年10月Oracle Critical Patch Updateについて

情報源
CISA Current Activity
Oracle Releases October 2022 Critical Patch Update
https://www.cisa.gov/uscert/ncas/current-activity/2022/10/19/oracle-releases-october-2022-critical-patch-update

概要
Oracleから複数の製品およびコンポーネントに含まれる脆弱性に対応した
Oracle Critical Patch Update Advisoryが公開されました。

詳細は、Oracleが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
2022年10月Oracle製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2022/at220029.html

関連文書 (英語)
Oracle
Oracle Critical Patch Update Advisory - October 2022
https://www.oracle.com/security-alerts/cpuoct2022.html

【3】Trend Micro Apex OneおよびTrend Micro Apex One SaaSに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#97131578
Trend Micro Apex OneおよびTrend Micro Apex One SaaSにおける複数の脆弱性
https://jvn.jp/vu/JVNVU97131578/

概要
Trend Micro Apex OneおよびTrend Micro Apex One SaaSには、複数の脆弱性
があります。結果として、第三者が権限昇格などを行う可能性があります。

対象となるバージョンは次のとおりです。

- Trend Micro Apex One 2019
- Trend Micro Apex One SaaS

この問題は、開発者が提供するアップデートを適用することで解決します。詳
細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ：Trend Micro Apex One およびTrend Micro Apex One SaaSで確認した複数の脆弱性について（2022年10月）
https://success.trendmicro.com/jp/solution/000291648

【4】スマートフォンアプリ「Lemon8 (レモンエイト)」にアクセス制限不備の脆弱性

情報源
Japan Vulnerability Notes JVN#10921428
スマートフォンアプリ「Lemon8 (レモンエイト)」におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN10921428/

概要
ByteDance株式会社が提供するスマートフォンアプリ「Lemon8 (レモンエイト)」
には、アクセス制限不備の脆弱性が存在します。結果として、遠隔の第三者に
よって、当該製品を経由し任意のウェブサイトにアクセスさせられる可能性が
あります。

対象となるバージョンは次のとおりです。

- Android アプリ「Lemon8 (レモンエイト)」3.3.5より前のバージョン
- iOS アプリ「Lemon8 (レモンエイト)」3.3.5より前のバージョン

この問題は、開発者が提供するアップデートを適用することで解決します。詳
細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
Google Play
Lemon8 (レモンエイト)
https://play.google.com/store/apps/details?id=com.bd.nproject

APP Store
Lemon8 (レモンエイト)
https://apps.apple.com/jp/app/lemon8-%E3%83%AC%E3%83%A2%E3%83%B3%E3%82%A8%E3%82%A4%E3%83%88/id1498607143

【5】日本語プログラミング言語「なでしこ3」に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#56968681
日本語プログラミング言語「なでしこ3」における複数の脆弱性
https://jvn.jp/jp/JVN56968681/

概要
日本語プログラミング言語「なでしこ3」には、複数の脆弱性が存在します。
結果として、遠隔の第三者がOSコマンドインジェクションを実行するなどの可
能性があります。

対象となるバージョンは次のとおりです。

- なでしこ3 PC版 v3.3.74 およびそれ以前のバージョン

この問題は、開発者が提供するアップデートを適用することで解決します。詳
細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
kujirahand /nadesiko3
cnako3の圧縮解凍の問題 #1325
https://github.com/kujirahand/nadesiko3/issues/1325

kujirahand /nadesiko3
nako3editのファイルの扱いの問題 #1347
https://github.com/kujirahand/nadesiko3/issues/1347

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CCが2022年7月～2022年9月分の「活動四半期レポート」「インシデント報告対応レポート」を公開

2022年10月20日、JPCERT/CCは2022年7月～2022年9月分の「活動四半期レポート」
「インシデント報告対応レポート」を公開しました。本四半期中のJPCERT/CC
の国内外の活動に加え、JPCERT/CCが報告を受け付けたインシデントの統計や
事例などについてまとめています。参考資料としてご活用ください。

参考文献 (日本語)
JPCERT/CC
JPCERT/CC 活動四半期レポート[2022年7月1日～2022年9月30日]
https://www.jpcert.or.jp/pr/2022/PR_Report2022Q2.pdf

JPCERT/CC
JPCERT/CC インシデント報告対応レポート[2022年7月1日～2022年9月30日]
https://www.jpcert.or.jp/pr/2022/IR_Report2022Q2.pdf

――――――――――――――――――――――――――――――――――――――

目 次

【1】複数のマイクロソフト製品に脆弱性
【2】複数のFortinet製品に認証バイパスの脆弱性
【3】複数のアドビ製品に脆弱性
【4】bingo!CMSに認証回避の脆弱性
【5】HeimdalのKerberos実装にNULLポインタ参照の脆弱性
【6】Sony Content TransferのインストーラにDLL読み込みの脆弱性
【今週のひとくちメモ】JIPDECが注意喚起「ECサイトにおける個人情報の漏えい（クレジットカード情報等）事故が増えています」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr224101.html
https://www.jpcert.or.jp/wr/2022/wr224101.xml
============================================================================

【1】複数のマイクロソフト製品に脆弱性

情報源
CISA Current Activity
Microsoft Releases October 2022 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/10/11/microsoft-releases-october-2022-security-updates

概要
複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく
ださい。

関連文書 (日本語)
マイクロソフト株式会社
2022 年 10 月 のセキュリティ更新プログラム (月例)
https://msrc-blog.microsoft.com/2022/10/11/202210-security-updates/

JPCERT/CC 注意喚起
2022年10月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2022/at220028.html

【2】複数のFortinet製品に認証バイパスの脆弱性

情報源
Fortinet
FortiOS / FortiProxy / FortiSwitchManager - Authentication bypass on administrative interface
https://www.fortiguard.com/psirt/FG-IR-22-377

概要
複数のFortinet製品には、認証バイパスの脆弱性があります。結果として、遠
隔の第三者が、同製品の管理インタフェースに細工したHTTPあるいはHTTPSリ
クエストを送信し、任意の操作を行う可能性があります。
Fortinetは、本脆弱性を悪用する攻撃を確認しているとのことです。

対象となる製品およびバージョンは次のとおりです。

- FortiOS バージョン7.2.0から7.2.1まで
- FortiOS バージョン7.0.0から7.0.6まで
- FortiProxy バージョン7.2.0
- FortiProxy バージョン7.0.0から7.0.6まで
- FortiSwitchManager バージョン7.2.0
- FortiSwitchManager バージョン7.0.0

この問題は、該当する製品をFortinetが提供する修正済みのバージョンに更新
することで解決します。詳細は、Fortinetが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
Fortinet製FortiOS、FortiProxyおよびFortiSwitchManagerの認証バイパスの脆弱性（CVE-2022-40684）に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220025.html

【3】複数のアドビ製品に脆弱性

情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/10/11/adobe-releases-security-updates-multiple-products

概要
複数のアドビ製品には、脆弱性があります。結果として、攻撃者が用意した悪
意のあるコンテンツをユーザーが開いた場合、任意のコードが実行されるなど
の可能性があります。

対象となる製品は次のとおりです。

- Adobe ColdFusion
- Adobe Acrobat
- Adobe Acrobat Reader
- Adobe Commerce
- Magento Open Source
- Adobe Dimension

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
Adobe AcrobatおよびReaderの脆弱性（APSB22-46）に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220027.html

JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2022101201.html

関連文書 (英語)
アドビ
Security updates available for Adobe ColdFusion | APSB22-44
https://helpx.adobe.com/security/products/coldfusion/apsb22-44.html

アドビ
Security update available for Adobe Acrobat and Reader | APSB22-46
https://helpx.adobe.com/security/products/acrobat/apsb22-46.html

アドビ
Security update available for Adobe Commerce | APSB22-48
https://helpx.adobe.com/security/products/magento/apsb22-48.html

アドビ
Security updates available for Dimension | APSB22-57
https://helpx.adobe.com/security/products/dimension/apsb22-57.html

【4】bingo!CMSに認証回避の脆弱性

情報源
Japan Vulnerability Notes JVN#74592196
bingo!CMS における認証回避の脆弱性
https://jvn.jp/jp/JVN74592196/

概要
シフトテック株式会社が提供するbingo!CMSには、認証回避の脆弱性がありま
す。結果として、遠隔の第三者が当該製品の特定の管理機能の認証を回避し、
不正なコードを含むファイルをアップロードする可能性があります。
シフトテック株式会社は、本脆弱性を悪用する攻撃を確認しているとのことで
す。

対象となるバージョンは次のとおりです。

- bingo!CMS Version1.7.4.2より前のバージョン

この問題は、開発者が提供するアップデートを適用することで解決します。詳
細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
シフトテック株式会社
【重要・要対応】bingo!CMS 認証回避脆弱性に関する対応をお願いいたします
https://www.bingo-cms.jp/information/20221011.html

JPCERT/CC 注意喚起
bingo!CMSの認証回避の脆弱性（CVE-2022-42458）に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220026.html

【5】HeimdalのKerberos実装にNULLポインタ参照の脆弱性

情報源
Japan Vulnerability Notes JVNVU#93736410
HeimdalのKerberos実装にNULLポインタ参照の脆弱性
https://jvn.jp/vu/JVNVU93736410/

概要
HeimdalのKerberos実装には、NULLポインター参照の脆弱性があります。結果
として、攻撃者が特殊な細工を施したパケットを送信し、脆弱なHeimdal実装を
含むアプリケーションをクラッシュさせる可能性があります。

対象となるバージョンは次のとおりです。

- Heimdal 7.7.0およびそれ以前のバージョン

この問題は、Heimdalプロジェクトのソースコード（masterブランチ）へ2020
年2月にコミットされた修正コードを適用することで解決します。
ただし、2022年10月19日現在、Heimdalの最新の安定版である7.7.0には本脆弱
性の修正が含まれていません。詳細は、開発者が提供する情報を参照してくだ
さい。

関連文書 (英語)
Heimdal Software
Heimdal
https://github.com/heimdal/heimdal

CERT/CC Vulnerability Note VU#730793
Heimdal Kerbos vulnerable to remotely triggered NULL pointer dereference
https://kb.cert.org/vuls/id/730793

【6】Sony Content TransferのインストーラにDLL読み込みの脆弱性

情報源
Japan Vulnerability Notes JVN#40620121
Sony Content Transfer のインストーラにおける DLL 読み込みの脆弱性
https://jvn.jp/jp/JVN40620121/

概要
ソニー株式会社が提供するContent Transferのインストーラーには、DLL読み
込みに関する脆弱性が存在します。結果として、攻撃者が用意した悪意のある
DLLを読み込ませることで、インストーラーを実行している権限で、任意のコー
ドを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Content Transfer (for Windows) Ver.1.3およびそれ以前のインストーラー

開発者によると、当該製品のダウンロードサービスはすでに終了しており、使
用中の端末にインストーラーファイルが存在している場合は、当該ファイルの
削除を呼び掛けています。

関連文書 (日本語)
ソニー株式会社
Content Transfer | 音楽のソフトウェア | サポート・お問い合わせ
https://www.sony.jp/support/audiosoftware/contenttransfer/

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JIPDECが注意喚起「ECサイトにおける個人情報の漏えい（クレジットカード情報等）事故が増えています」を公開

日本情報経済社会推進協会（JIPDEC）は、ECサイトの脆弱性を広範囲に狙った
不正アクセス等による個人情報の漏えい事故が増加していることから、ECサイ
トの構築・運用における注意点などを掲げた注意喚起を公開しました。個人情
報の漏えい事故が発生した際の対応などを示しながら、適切な安全管理措置を
講じることを呼び掛けています。

参考文献 (日本語)
日本情報経済社会推進協会 (JIPDEC)
【注意喚起】ECサイトにおける個人情報の漏えい（クレジットカード情報等）事故が増えています
https://privacymark.jp/news/system/2022/1012.html

――――――――――――――――――――――――――――――――――――――

目 次

【1】Microsoft Exchange Serverに複数の脆弱性
【2】複数のCisco製品に脆弱性
【3】バッファロー製ネットワーク機器に複数の脆弱性
【4】ISC DHCPに複数の脆弱性
【5】トレンドマイクロ製Deep SecurityおよびCloud One - Workload SecurityのWindows版Agentに複数の脆弱性
【6】GROWIにアクセス制限不備の脆弱性
【7】IPFireにクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】JPCERT/CCが「TLP v2の日本語版が公開されました」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr224001.html
https://www.jpcert.or.jp/wr/2022/wr224001.xml
============================================================================

【1】Microsoft Exchange Serverに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#96017091
Microsoft Exchange Serverに複数の脆弱性
https://jvn.jp/vu/JVNVU96017091/

概要
Microsoft Exchange Serverには、複数の脆弱性があります。結果として、当該
製品の認証情報を持つ第三者が、権限を昇格し任意のコードを実行する可能性
があります。

対象となるバージョンは次のとおりです。

- Microsoft Exchange Server 2019
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2013

2022年10月12日時点で、この問題を修正するアップデートは公開されていません。
マイクロソフト株式会社が公開している緩和策を適用の上、アップデート公開
後には速やかに適用することを推奨します。詳細は、マイクロソフト株式会社
が提供する情報を参照してください。

関連文書 (日本語)
マイクロソフト株式会社
Microsoft Exchange サーバーのゼロデイ脆弱性報告に関するお客様向けガイダンス
https://msrc-blog.microsoft.com/2022/09/30/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server-ja/

関連文書 (英語)
マイクロソフト株式会社
Analyzing attacks using the Exchange vulnerabilities CVE-2022-41040 and CVE-2022-41082
https://www.microsoft.com/security/blog/2022/09/30/analyzing-attacks-using-the-exchange-vulnerabilities-cve-2022-41040-and-cve-2022-41082/

【2】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/10/06/cisco-releases-security-updates-multiple-products

概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が、機
微な情報を窃取するなどの可能性があります。

影響を受ける製品、バージョンは多岐にわたります。詳細は、Ciscoが提供す
るアドバイザリ情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【3】バッファロー製ネットワーク機器に複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#92805279
バッファロー製ネットワーク機器における複数の脆弱性
https://jvn.jp/vu/JVNVU92805279/

概要
株式会社バッファローが提供するネットワーク製品には、複数の脆弱性があり
ます。結果として、隣接するネットワーク上の第三者が認証を回避するなどの
可能性があります。

対象となる製品は多岐にわたります。詳細は、株式会社バッファローが提供す
る情報を参照してください。

この問題は、該当する製品を株式会社バッファローが提供する修正済みのバー
ジョンに更新することで解決します。なお、対象となる製品の中には、サポー
トが終了しアップデートが提供されない製品が含まれます。株式会社バッファ
ローが提供する情報を確認し、当該製品の使用を停止して後継製品への乗り換
えを検討してください。

関連文書 (日本語)
株式会社バッファロー
【更新】ルーター等の一部商品における複数の脆弱性とその対処方法
https://www.buffalo.jp/news/detail/20221011-01.html

【4】ISC DHCPに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#96924367
ISC DHCPにおける複数の脆弱性
https://jvn.jp/vu/JVNVU96924367/

概要
ISCが提供するISC DHCPには、複数の脆弱性があります。結果として、隣接ネッ
トワーク上の第三者がサービス運用妨害（DoS）攻撃を行う可能性があります。

対象となるバージョンは次のとおりです。

- ISC DHCP 4.2.0から4.4.3まで
- ISC DHCP 1.0.0から4.1-ESV-R16-P1まで

なお、ISCによると、すでにサポート対象外（EOL）となっているバージョンも
影響を受ける可能性がありますが、正式な検証はされていないとのことです。

この問題は、該当する製品をISCが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、ISCが提供する情報を参照してください。

関連文書 (英語)
Internet Systems Consortium, Inc. (ISC)
CVE-2022-2928 An option refcount overflow exists in dhcpd
https://kb.isc.org/docs/cve-2022-2928

Internet Systems Consortium, Inc. (ISC)
CVE-2022-2929 DHCP memory leak
https://kb.isc.org/docs/cve-2022-2929

【5】トレンドマイクロ製Deep SecurityおよびCloud One - Workload SecurityのWindows版Agentに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#99960963
トレンドマイクロ製Deep SecurityおよびCloud One - Workload SecurityのWindows版Agentにおける複数の脆弱性
https://jvn.jp/vu/JVNVU99960963/

概要
トレンドマイクロ製Deep SecurityおよびCloud One - Workload Securityの
Windows版Agentには、複数の脆弱性があります。結果として、第三者が機微な
情報を窃取するなどの可能性があります。

対象となるバージョンは次のとおりです。

- 次の製品のWindows版Agent
- Deep Security Agent バージョン 20.0
- Cloud One - Workload Security Agent バージョン 20.0

この問題は、該当する製品に開発者が提供するパッチを適用することで解決し
ます。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ：Deep Security および Cloud One - Workload Security の Windows版Agentにおける複数の脆弱性について (2022年9月)
https://success.trendmicro.com/jp/solution/000291590

【6】GROWIにアクセス制限不備の脆弱性

情報源
Japan Vulnerability Notes JVN#00845253
GROWI におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN00845253/

概要
株式会社WESEEKが提供するGROWIには、アクセス制限不備の脆弱性があります。
結果として、当該製品にログイン可能なユーザーが、非公開に設定されている
ページを閲覧するなどの可能性があります。

対象となるバージョンは次のとおりです。

- GROWI v5.1.4より前のバージョン（v5系）
- GROWI v4.5.25より前のバージョン（v4系）

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
株式会社WESEEK
GROWI 脆弱性対応のお知らせ (JVN#00845253)
https://weseek.co.jp/ja/news/2022/10/07/growi-private-page-can-be-viewed/

【7】IPFireにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#15411362
IPFire の WebUI におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN15411362/

概要
IPFire Projectが提供するIPFireには、クロスサイトスクリプティングの脆弱
性があります。結果として、当該製品を使用しているユーザーのWebブラウザー
上で、任意のスクリプトが実行される可能性があります。

対象となるバージョンは次のとおりです。

- IPFire 2.27 - Core Update 170より前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
IPFire Project
ipfire-2.x
https://github.com/ipfire/ipfire-2.x

IPFire Project
IPFire 2.27 - Core Update 170 released
https://blog.ipfire.org/post/ipfire-2-27-core-update-170-released

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CCが「TLP v2の日本語版が公開されました」を公開

2022年9月29日、JPCERT/CCは「TLP v2の日本語版が公開されました」と題した
ブログをJPCERT/CC Eyesで公開しました。2022年8月にFIRSTが公開したTraffic
Light Protocol（TLP）のVersion 2.0について、JPCERT/CCを含めた複数の日
本のサイバーセキュリティ関係者が協力して翻訳とレビューを行い、2022年9月
15日にFIRSTのWebサイトで日本語版が公開されました。本ブログでは、TLPの
概要とv2での変更点について解説しています。

参考文献 (日本語)
JPCERT/CC Eyes
TLP v2の日本語版が公開されました
https://blogs.jpcert.or.jp/ja/2022/09/tlp-v2.html

――――――――――――――――――――――――――――――――――――――

目 次

【1】Google Chromeに複数の脆弱性
【2】Apache TomcatにHttp11Processorインスタンスにおける競合状態による情報漏えいの脆弱性
【3】複数のCisco製品に脆弱性
【4】Drupal coreに情報漏えいの脆弱性
【5】Mozilla Thunderbirdに複数の脆弱性
【今週のひとくちメモ】IPAが「ビジネスメール詐欺（BEC）対策特設ページ」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr223901.html
https://www.jpcert.or.jp/wr/2022/wr223901.xml
============================================================================

【1】Google Chromeに複数の脆弱性

情報源
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/09/stable-channel-update-for-desktop_27.html

概要
Google Chromeには、複数の脆弱性があります。

対象となる製品は次のとおりです。

- Google Chrome 106.0.5249.61より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

【2】Apache TomcatにHttp11Processorインスタンスにおける競合状態による情報漏えいの脆弱性

情報源
Japan Vulnerability Notes JVNVU#98868043
Apache TomcatにHttp11Processorインスタンスにおける競合状態による情報漏えいの脆弱性
https://jvn.jp/vu/JVNVU98868043/

概要
Apache Tomcatには、Http11Processorインスタンスにて競合状態が発生し、情
報漏えいに繋がる脆弱性があります。結果として、複数のクライアントから接
続された場合、レスポンスのすべてまたはその一部を誤ったクライアントに送
信することで、情報が漏えいする可能性があります。

対象となるバージョンは次のとおりです。

- Apache Tomcat 10.1.0-M1から10.1.0-M12までのバージョン
- Apache Tomcat 10.0.0-M1から10.0.18までのバージョン
- Apache Tomcat 9.0.0-M1から9.0.60までのバージョン
- Apache Tomcat 8.5.0から8.5.77までのバージョン

この問題は、Apache TomcatをThe Apache Software Foundationがが提供する
修正済みのバージョンに更新することで解決します。詳細は、開発者が提供す
る情報を参照してください。

関連文書 (英語)
The Apache Software Foundation
Fixed in Apache Tomcat 10.0.20
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.20

The Apache Software Foundation
Fixed in Apache Tomcat 10.1.0-M14
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.0-M14

The Apache Software Foundation
Fixed in Apache Tomcat 9.0.62
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.62

The Apache Software Foundation
Fixed in Apache Tomcat 8.5.78
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.78

【3】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/09/30/cisco-releases-security-updates-multiple-products

概要
複数のCisco製品には、複数の脆弱性があります。結果として、遠隔の第三者
が、サービス運用妨害（DoS）攻撃を行うなどの可能性があります。

影響を受ける製品、バージョンは多岐にわたります。詳細は、Ciscoが提供す
るアドバイザリ情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【4】Drupal coreに情報漏えいの脆弱性

情報源
CISA Current Activity
Drupal Releases Security Update
https://www.cisa.gov/uscert/ncas/current-activity/2022/09/30/drupal-releases-security-update

概要
Drupal coreには情報漏えいの脆弱性があります。結果として、Twigコードの
書き込み権限を持つ第三者が、当該システムのファイルの内容やデータベース
の資格情報を窃取する可能性があります

対象となるバージョンは次のとおりです。

- Drupal 9.4.7より前のバージョン
- Drupal 9.3.22より前のバージョン
- Drupal 8系バージョン

なお、Drupal 9.3系より前の9系および8系のバージョンはサポートが終了して
おり、セキュリティに関する情報は提供されていません。脆弱性ごとの対象
バージョンや条件についてはDrupalが提供する情報をご確認ください。

この問題は、Drupalが提供する修正済みのバージョンに更新することで解決し
ます。詳細は、Drupalが提供する情報を参照してください。

関連文書 (英語)
Drupal
Drupal core - Critical - Multiple vulnerabilities - SA-CORE-2022-016
https://www.drupal.org/sa-core-2022-016

【5】Mozilla Thunderbirdに複数の脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Update for Thunderbird
https://www.cisa.gov/uscert/ncas/current-activity/2022/09/30/mozilla-releases-security-update-thunderbird

概要
Thunderbirdは複数の脆弱性があります。結果として、攻撃者がメッセージを
他者になりすまして送信するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Mozilla Thunderbird 102.3.1より前のバージョン

この問題は、Mozilla ThunderbirdをMozillaが提供する修正済みのバージョン
に更新することで解決します。詳細は、Mozillaが提供する情報を参照してく
ださい。

関連文書 (英語)
Mozilla
Mozilla Foundation Security Advisory 2022-43
https://www.mozilla.org/en-US/security/advisories/mfsa2022-43/

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○IPAが「ビジネスメール詐欺（BEC）対策特設ページ」を公開

2022年9月28日、IPAは「ビジネスメール詐欺（BEC）対策特設ページ」を公開
しました。本ページでは、今後もさらなるビジネスメール詐欺の脅威が考えら
れることから、ビジネスメール詐欺の対策に必要となる情報を集約しています。

参考文献 (日本語)
情報処理推進機構（IPA）
ビジネスメール詐欺（BEC）対策特設ページ
https://www.ipa.go.jp/security/bec/

――――――――――――――――――――――――――――――――――――――