ミニ・いんふぉめーしょん

目 次

【1】TP-Link RE300 V1のtdpServerに入力データの不適切な処理に関する脆弱性
【2】サイボウズ リモートサービスにリソース枯渇に至る脆弱性
【3】baserCMSに複数のクロスサイトスクリプティングの脆弱性
【4】TyporaにJavaScriptコードの無効化処理が不十分な問題
【5】オムロン製CX-Programmerに複数の脆弱性
【6】三菱電機製GOT2000シリーズのFTPサーバ機能に不適切な入力確認の脆弱性
【7】三菱電機製FAエンジニアリングソフトウェア製品に複数の脆弱性
【今週のひとくちメモ】JSAC2023参加申し込み開始

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr224701.html
https://www.jpcert.or.jp/wr/2022/wr224701.xml
============================================================================

【1】TP-Link RE300 V1のtdpServerに入力データの不適切な処理に関する脆弱性

情報源
Japan Vulnerability Notes JVN#29657972
TP-Link RE300 V1 の tdpServer における入力データの不適切な処理に関する脆弱性
https://jvn.jp/jp/JVN29657972/

概要
TP-Link RE300 V1に実装されているtdpServerには、入力データの処理に問題
があります。結果として、第三者によって細工された入力を処理させられると
クラッシュする可能性があります。

対象となるバージョンは次のとおりです。

- TP-Link RE300 V1 ファームウェア221009より前のバージョン

この問題は、該当する製品をTP-Linkが提供する修正済みのバージョンに更新
することで解決します。詳細は、TP-Linkが提供する情報を参照してください。

関連文書 (日本語)
TP-Link
RE300 V1 のコンテンツ
https://www.tp-link.com/jp/support/download/re300/v1/#Firmware

【2】サイボウズ リモートサービスにリソース枯渇に至る脆弱性

情報源
Japan Vulnerability Notes JVN#87895771
サイボウズ リモートサービスにおけるリソース枯渇に至る脆弱性
https://jvn.jp/jp/JVN87895771/

概要
サイボウズ株式会社が提供するサイボウズ リモートサービスには、リソース
枯渇に至る脆弱性があります。結果として、当該製品にログイン可能なユーザー
が、意図しない操作により対象サーバーのストレージ領域を消費し、サービス
運用妨害（DoS）状態を引き起こす可能性があります。

対象となるバージョンは次のとおりです。

- サイボウズ リモートサービス 4.0.0から4.0.3まで

この問題は、該当する製品をサイボウズ株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、サイボウズ株式会社が提供する情報を
参照してください。

関連文書 (日本語)
サイボウズ株式会社
サイボウズ リモートサービス 4 脆弱性に関するお知らせ
https://cs.cybozu.co.jp/2022/007754.html

【3】baserCMSに複数のクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#53682526
baserCMS における複数のクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN53682526/

概要
baserCMSユーザー会が提供するbaserCMSには、複数のクロスサイトスクリプ
ティングの脆弱性があります。結果として、当該製品の管理画面にアクセスし
たユーザーのWebブラウザー上で、任意のスクリプトが実行される可能性があ
ります。

対象となるバージョンは次のとおりです。

- baserCMS 4.7.2より前のバージョン

この問題は、該当する製品をbaserCMSユーザー会が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、baserCMSユーザー会が提供する
情報を参照してください。

関連文書 (日本語)
baserCMSユーザー会
2022/11/24 baserCMS における複数のクロスサイトスクリプティングの脆弱性
https://basercms.net/security/JVN_53682526

【4】TyporaにJavaScriptコードの無効化処理が不十分な問題

情報源
Japan Vulnerability Notes JVN#26044739
Typora における JavaScript コードの無効化処理が不十分な問題
https://jvn.jp/jp/JVN26044739/

概要
Typoraには、編集内容に含まれるJavaScriptコードの一部に対して無効化処理
が行われない問題があります。結果として、当該製品を使用してファイルを開
いたときに、ファイルに含まれているJavaScriptコードが実行される可能性が
あります。

対象となるバージョンは次のとおりです。

- Typora 1.4.4より前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
Typora
History Releases
https://typora.io/releases/all

【5】オムロン製CX-Programmerに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#92877622
オムロン製CX-Programmerにおける複数の脆弱性
https://jvn.jp/vu/JVNVU92877622/

概要
オムロン株式会社が提供するCX-Programmerには、複数の脆弱性があります。
結果として、細工されたCXPファイルをユーザーに開かせることで、情報漏え
いが発生したり、任意のコードを実行されたりする可能性があります。

対象となるバージョンは次のとおりです。

- CX-Programmer Ver.9.77およびそれ以前のバージョン

この問題は、該当する製品をオムロン株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、オムロン株式会社が提供する情報を参
照してください。

関連文書 (日本語)
オムロン株式会社
オムロン株式会社からの情報
https://jvn.jp/vu/JVNVU92877622/995504/

【6】三菱電機製GOT2000シリーズのFTPサーバ機能に不適切な入力確認の脆弱性

情報源
Japan Vulnerability Notes JVNVU#95633416
三菱電機製GOT2000シリーズのFTPサーバ機能における不適切な入力確認の脆弱性
https://jvn.jp/vu/JVNVU95633416/

概要
三菱電機株式会社が提供するGOT2000シリーズのFTPサーバー機能には、不適切
な入力確認の脆弱性があります。結果として、FTPクライアントを使用してFTP
サーバー（GOT）にアクセス可能な攻撃者が細工したコマンドを送信すること
で、当該製品がサービス運用妨害（DoS）状態になる可能性があります。

対象となるバージョンは次のとおりです。

- GOT2000シリーズ
- GT27モデル 01.39.000およびそれ以前
- GT25モデル 01.39.000およびそれ以前
- GT23モデル 01.39.000およびそれ以前

この問題は、該当する製品を三菱電機株式会社が提供する修正済みのバージョン
に更新するか、回避策を適用することで解決します。詳細は、三菱電機株式会社
が提供する情報を参照してください。

関連文書 (日本語)
三菱電機株式会社
GOT2000 シリーズの FTP サーバ機能におけるサービス拒否（DoS）の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2022-016.pdf

【7】三菱電機製FAエンジニアリングソフトウェア製品に複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#97244961
三菱電機製FAエンジニアリングソフトウェア製品における複数の脆弱性
https://jvn.jp/vu/JVNVU97244961/

概要
三菱電機株式会社が提供するFAエンジニアリングソフトウェア製品には、複数
の脆弱性があります。結果として、遠隔の第三者が当該製品のプロジェクトファ
イルに関する情報を窃取するなどの可能性があります。

対象となる製品は次のとおりです。

- GX Works3
- MX OPC UA Module Configurator-R

この問題は、該当する製品を三菱電機株式会社が提供する修正済みのバージョン
に更新するか、回避策を適用することで解決します。詳細は、三菱電機株式会
社が提供する情報を参照してください。

関連文書 (日本語)
三菱電機株式会社
複数の FA エンジニアリングソフトウェア製品における複数の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2022-015.pdf

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JSAC2023参加申し込み開始

2022年11月17日、JPCERT/CCは「JSAC2023」の参加申し込みを開始しました。
2023年1月25日（水）および26日（木）に開催される本カンファレンスは、日
本国内のセキュリティアナリストが一堂に会し、インシデント分析・対応に関
連する技術的な知見を共有することを目的に開催しているものです。

参加をご希望の場合は、必要事項をご記入いただき、電子メールにてお申し込
みください。申し込み締め切りは2023年1月17日(火) 23:59 JSTです。詳細は
JSAC2023ページをご確認ください。

参考文献 (日本語)
JPCERT/CC
JSAC2023
https://jsac.jpcert.or.jp/

JPCERT/CC
JSAC2023 -Registration-
https://jsac.jpcert.or.jp/registration.html

――――――――――――――――――――――――――――――――――――――

目 次

【1】複数のMozilla製品に脆弱性
【2】Sambaにバッファオーバーフローの脆弱性
【3】Cisco Identity Services Engineに複数の脆弱性
【4】Netatalkに複数の脆弱性
【5】RICOH IPSiO SP 4210にクロスサイトスクリプティングの脆弱性
【6】Movable Typeに複数の脆弱性
【7】日立国際電気製監視システムネットワーク製品（カメラ、エンコーダ、デコーダ）に複数の脆弱性
【8】WordPress用プラグインWordPress Popular Postsに外部入力の不適切な使用に関する脆弱性
【今週のひとくちメモ】FIRSTが「PSIRT Services Framework 1.1 日本語版と PSIRT Maturity Document 1.1 日本語版」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr224601.html
https://www.jpcert.or.jp/wr/2022/wr224601.xml
============================================================================

【1】複数のMozilla製品に脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/11/16/mozilla-releases-security-updates-multiple-products

概要
複数のMozilla製品には、複数の脆弱性があります。結果として、遠隔の第三
者がスプーフィング攻撃などを行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Thunderbird 102.5より前のバージョン
- Mozilla Firefox 107より前のバージョン
- Mozilla Firefox ESR 102.5より前のバージョン

この問題は、Mozillaが提供する修正済みのバージョンに更新することで解決
します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)
Mozilla
Mozilla Foundation Security Advisory 2022-47
https://www.mozilla.org/en-US/security/advisories/mfsa2022-47/

Mozilla
Mozilla Foundation Security Advisory 2022-48
https://www.mozilla.org/en-US/security/advisories/mfsa2022-48/

Mozilla
Mozilla Foundation Security Advisory 2022-49
https://www.mozilla.org/en-US/security/advisories/mfsa2022-49/

【2】Sambaにバッファオーバーフローの脆弱性

情報源
CISA Current Activity
Samba Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/11/16/samba-releases-security-updates

概要
Sambaには、バッファオーバーフローの脆弱性があります。結果として、遠隔の
攻撃者が偽造されたPACを使用してヒープを破損する可能性があります。

対象となるバージョンは次のとおりです。

- Samba 4.17.3より前のバージョン
- Samba 4.16.7より前のバージョン
- Samba 4.15.12より前のバージョン

この問題は、SambaをThe Samba Teamが提供する修正済みのバージョンに更新
することで解決します。詳細は、The Samba Teamが提供する情報を参照して
ください。

関連文書 (英語)
The Samba Team
CVE-2022-42898.html:
https://www.samba.org/samba/security/CVE-2022-42898.html

【3】Cisco Identity Services Engineに複数の脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Identity Services Engine
https://www.cisa.gov/uscert/ncas/current-activity/2022/11/16/cisco-releases-security-updates-identity-services-engine

概要
Cisco Identity Services Engineには、複数の脆弱性があります。結果として、
遠隔の攻撃者がアクセス許可されていないシステムファイルへアクセスするな
どの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Cisco Identity Services Engine 2.4系およびそれ以前のバージョン
- Cisco Identity Services Engine 2.6系のバージョン
- Cisco Identity Services Engine 2.7系のバージョン
- Cisco Identity Services Engine 3.0系のバージョン
- Cisco Identity Services Engine 3.1系のバージョン
- Cisco Identity Services Engine 3.2系のバージョン

2022年11月24日時点で、CVE-2022-20956およびCVE-2022-20959を修正するアッ
プデートが公開されていないバージョンもあります。Ciscoが公開している緩和
策を適用の上、アップデート公開後には速やかに適用することを推奨します。
詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-access-contol-EeufSUCx

Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-xss-twLnpy3M

【4】Netatalkに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#99505355
Netatalkに複数の脆弱性
https://jvn.jp/vu/JVNVU99505355/

概要
Netatalkには、複数の脆弱性があります。結果として、遠隔の第三者によって、
認証を経ずに機微な情報を窃取されたり、root権限で任意のコードを実行され
る可能性があります。

対象となるバージョンは次のとおりです。

- Netatalk 3.1.12

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
NETATALK
Netatalk 3.1.13
https://netatalk.sourceforge.io/3.1/ReleaseNotes3.1.13.html

CERT/CC Vulnerability Note VU#709991
Netatalk contains multiple error and memory management vulnerabilities
https://kb.cert.org/vuls/id/709991

【5】RICOH IPSiO SP 4210にクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#24659622
RICOH IPSiO SP 4210 におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN24659622/

概要
株式会社リコーが提供するIPSiO SP 4210には、Web Image Monitorにクロスサ
イトスクリプティングの脆弱性があります。結果として、管理者権限でログイ
ンしているユーザのウェブブラウザ上で、任意のスクリプトを実行される可能
性があります。

対象となるバージョンは次のとおりです。

- IPSiO SP 4210 Web Support 1.05より前のファームウェアバージョン

この問題は、該当する製品のファームウェアを最新版へアップデートすること
で解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
株式会社リコー
IPSiO SP 4210用 RICOH Firmware Update Tool Ver.1.01
https://support.ricoh.com/bbv2/html/dr_ut_d/ipsio/history/w/bb/pub_j/dr_ut_d/4101044/4101044791/V101/5236968/redirect_CLUTool_DOM/history.htm

【6】Movable Typeに複数の脆弱性

情報源
Japan Vulnerability Notes JVN#37014768
Movable Type における複数の脆弱性
https://jvn.jp/jp/JVN37014768/

概要
シックス・アパート株式会社が提供するMovable Typeには、複数の脆弱性が
あります。結果として、当該製品のコンテンツフィールドの編集権限を持つユ
ーザによって任意のOSコマンドを実行されるなどの可能性があります。

対象となるバージョンは次のとおりです。

- Movable Type 7 r.5301およびそれ以前(Movable Type 7系)
- Movable Type Advanced 7 r.5301およびそれ以前(Movable Type Advanced 7系)
- Movable Type 6.8.7およびそれ以前(Movable Type 6系)
- Movable Type Advanced 6.8.7およびそれ以前(Movable Type Advanced 6系)
- Movable Type Premium 1.53およびそれ以前
- Movable Type Premium Advanced 1.53およびそれ以前

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
シックス・アパート株式会社
[重要] Movable Type 7 r.5401 / Movable Type 6.8.8 / Movable Type Premium 1.54 の提供開始（セキュリティアップデート）と Movable Type 8 についてのお知らせ
https://www.sixapart.jp/movabletype/news/2022/11/16-1100.html

【7】日立国際電気製監視システムネットワーク製品（カメラ、エンコーダ、デコーダ）に複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#97968855
日立国際電気製監視システムネットワーク製品（カメラ、エンコーダ、デコーダ）における複数の脆弱性
https://jvn.jp/vu/JVNVU97968855/

概要
株式会社日立国際電気が提供する監視システムネットワーク製品（カメラ、エ
ンコーダ、デコーダ）には、複数の脆弱性があります。結果として、遠隔の第
三者によって、サービス運用妨害（DoS）状態にされるなどの可能性があります。

対象となる製品およびバージョンは多岐にわたるため、開発者が提供する情報
を参照してください。

この問題は、該当する製品のファームウェアを最新版へアップデートすること
で解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
株式会社日立国際電気
監視システムネットワーク製品（カメラ、デコーダ、エンコーダ）における脆弱性の対策について（CVE-2022-37680/CVE-2022-37681）
https://www.hitachi-kokusai.co.jp/products/info/vulnerable/hitachi-sec-2022-001/

【8】WordPress用プラグインWordPress Popular Postsに外部入力の不適切な使用に関する脆弱性

情報源
Japan Vulnerability Notes JVN#13927745
WordPress 用プラグイン WordPress Popular Posts における外部入力の不適切な使用に関する脆弱性
https://jvn.jp/jp/JVN13927745/

概要
Hector Cabreraが提供するWordPress用プラグインWordPress Popular Posts
には、外部入力の不適切な使用に関する脆弱性があります。結果として、遠隔
の第三者によって、任意の記事の閲覧数を不正に操作される可能性があります。

対象となるバージョンは次のとおりです。

- WordPress Popular Posts 6.0.5およびそれ以前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
WordPressプラグイン
WordPress Popular Posts
https://ja.wordpress.org/plugins/wordpress-popular-posts/

関連文書 (英語)
cabrerahector/wordpress-popular-posts
WordPress Popular Posts
https://github.com/cabrerahector/wordpress-popular-posts/

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○FIRSTが「PSIRT Services Framework 1.1 日本語版と PSIRT Maturity Document 1.1 日本語版」を公開

FIRSTは、製品やサービスを開発し提供する組織によるPSIRTの設置・継続的運
用・能力の向上を支援するためのガイドとして「PSIRT Services Framework」
を作成し公開しています。本フレームワークは、PSIRTの組織モデル、機能、
サービス、成果などを含むPSIRTのコンセプトと全体像を示し、さらに、PSIRT
が果たすべき責任と、PSIRTがその活動に必要な能力を備え、組織内外との連
携によって価値を提供するために必要となる事項について説明しています。

今回、PSIRT Services Framework 1.1 日本語版と PSIRT Maturity Document
1.1 日本語版は、Software ISACと一般社団法人JPCERT コーディネーションセン
ターによって翻訳された後、KONICA MINOLTA PSIRT、Mitsubishi Electric PSIRT、
Panasonic PSIRT によってレビューされ、公開されたものになります。

参考文献 (日本語)
JPCERT/CC
PSIRT Services Framework と PSIRT Maturity Document
https://www.jpcert.or.jp/research/psirtSF.html

――――――――――――――――――――――――――――――――――――――

目 次

【1】複数のマイクロソフト製品に脆弱性
【2】複数のCitrix製品に複数の脆弱性
【3】VMware製品に複数の脆弱性
【4】複数のCisco製品に脆弱性
【5】複数のIntel製品に脆弱性
【6】複数のApple製品に脆弱性
【7】Google Chromeに複数の脆弱性
【8】トレンドマイクロ製Apex OneおよびApex One SaaSに複数の脆弱性
【9】WordPressに複数の脆弱性
【10】複数のUEFI実装における競合状態に関する脆弱性
【11】アイホン製インターホンシステムに情報漏えいの脆弱性
【今週のひとくちメモ】Internet Week 2022開催のお知らせ

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr224501.html
https://www.jpcert.or.jp/wr/2022/wr224501.xml
============================================================================

【1】複数のマイクロソフト製品に脆弱性

情報源
CISA Current Activity
Microsoft Releases November 2022 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/11/09/microsoft-releases-november-2022-security-updates

概要
複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく
ださい。

関連文書 (日本語)
マイクロソフト株式会社
2022 年 11 月のセキュリティ更新プログラム (月例)
https://msrc-blog.microsoft.com/2022/11/08/202211-security-update/

JPCERT/CC 注意喚起
2022年11月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2022/at220031.html

【2】複数のCitrix製品に複数の脆弱性

情報源
CISA Current Activity
Citrix Releases Security Updates for ADC and Gateway
https://www.cisa.gov/uscert/ncas/current-activity/2022/11/09/citrix-releases-security-updates-adc-and-gateway

概要
複数のCitrix製品には、脆弱性があります。結果として、遠隔の第三者が認証を
回避するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Citrix ADCおよびCitrix Gateway 13.1-33.47より前の13.1系のバージョン
- Citrix ADCおよびCitrix Gateway 13.0-88.12より前の13.0系のバージョン
- Citrix ADCおよびCitrix Gateway 12.1-65.21より前の12.1系のバージョン
- Citrix ADC 12.1-FIPS 12.1-55.289より前のバージョン
- Citrix ADC 12.1-NDcPP 12.1-55.289より前のバージョン

この問題は、該当する製品をCitrixが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Citrixが提供する情報を参照してください。

関連文書 (英語)
Citrix
Citrix Gateway and Citrix ADC Security Bulletin for CVE-2022-27510 CVE-2022-27513 and CVE-2022-27516
https://support.citrix.com/article/CTX463706/citrix-gateway-and-citrix-adc-security-bulletin-for-cve202227510-cve202227513-and-cve202227516

【3】VMware製品に複数の脆弱性

情報源
CISA Current Activity
VMware Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/11/09/vmware-releases-security-updates

概要
VMware Workspace ONE Assistには、複数の脆弱性があります。結果として、
遠隔の第三者が認証を経ずにアプリケーションへアクセスするなどの可能性が
あります。

対象となる製品およびバージョンは次のとおりです。

- VMware Workspace ONE Assist 21系および22系のバージョン

この問題は、対象の製品をVMwareが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、VMwareが提供する情報を参照してください。

関連文書 (英語)
VMware
VMSA-2022-0028
https://www.vmware.com/security/advisories/VMSA-2022-0028.html

【4】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/11/10/cisco-releases-security-updates-multiple-products

概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害（DoS）攻撃などを行う可能性があります。

影響を受ける製品、バージョンは多岐にわたります。詳細は、Ciscoが提供す
る情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【5】複数のIntel製品に脆弱性

情報源
Japan Vulnerability Notes JVNVU#94499505
Intel製品に複数の脆弱性（2022年11月）
https://jvn.jp/vu/JVNVU94499505/

概要
Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security
Center Advisoriesが公開されました。

詳細は、Intelが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Intel製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2022110901.html

関連文書 (英語)
Intel
Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html

【6】複数のApple製品に脆弱性

情報源
Apple
macOS Ventura 13.0.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213504

Apple
iOS 16.1.1 および iPadOS 16.1.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213505

概要
複数のApple製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- macOS Ventura 13.0.1より前のバージョン
- iOS 16.1.1より前のバージョン
- iPadOS 16.1.1より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

【7】Google Chromeに複数の脆弱性

情報源
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/11/stable-channel-update-for-desktop.html

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 107.0.5304.106/107（Windows版）より前のバージョン
- Google Chrome 107.0.5304.110（Mac版）より前のバージョン
- Google Chrome 107.0.5304.110（Linux版）より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

【8】トレンドマイクロ製Apex OneおよびApex One SaaSに複数の脆弱性

情報源
トレンドマイクロ株式会社
アラート/アドバイザリ：Trend Micro Apex One およびTrend Micro Apex One SaaSで確認した複数の脆弱性について（2022年11月）
https://success.trendmicro.com/jp/solution/000291774

概要
Apex OneおよびApex One SaaSには、複数の脆弱性があります。結果として、
脆弱な端末にアクセスできる第三者が権限を昇格するなどの可能性がありま
す。

対象となる製品は次のとおりです。

- Apex One 2019
- Apex One SaaS

この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正済みの
バージョンに更新することで解決します。なお、Apex One SaaSについては
2022年10月のメンテナンスで修正済みとのことです。詳細はトレンドマイクロ
株式会社が提供する情報を参照してください。

【9】WordPressに複数の脆弱性

情報源
Japan Vulnerability Notes JVN#09409909
WordPress における複数の脆弱性
https://jvn.jp/jp/JVN09409909/

概要
WordPressには、複数の脆弱性があります。結果として、当該製品を使用する
サイトを閲覧しているユーザーのWebブラウザー上で、任意のスクリプトが実
行されるなどの可能性があります。

対象となるバージョンは次のとおりです。

- WordPress 6.0.3より前のバージョン

この問題は、該当する製品をWordPressが提供する修正済みのバージョンに更
新することで解決します。詳細は、WordPressが提供する情報を参照してくだ
さい。

関連文書 (英語)
WordPress
WordPress 6.0.3 Security Release
https://wordpress.org/news/2022/10/wordpress-6-0-3-security-release/

【10】複数のUEFI実装における競合状態に関する脆弱性

情報源
Japan Vulnerability Notes JVNVU#96604488
複数のUEFI実装における競合状態に関する脆弱性
https://jvn.jp/vu/JVNVU96604488/

概要
複数のUEFI実装において、高い特権で任意のコードが実行される競合状態の問
題が発見されました。結果として、悪意のある第三者がSecureBootやBootGuard
といった、UEFIのセキュリティ機能をバイパスするなどの可能性があります。

この問題に関する詳細は、CERT/CCが提供する情報を参照してください。

関連文書 (英語)
CERT/CC Vulnerability Note VU#434994
Multiple race conditions due to TOCTOU flaws in various UEFI Implementations
https://kb.cert.org/vuls/id/434994

【11】アイホン製インターホンシステムに情報漏えいの脆弱性

情報源
Japan Vulnerability Notes JVN#75437943
アイホン製インターホンシステムにおける情報漏えいの脆弱性
https://jvn.jp/jp/JVN75437943/

概要
アイホン株式会社が提供するインターホンシステムには、情報漏えいの脆弱性
があります。結果として、製品に関する特定の情報を不正に入手して当該製品
にアクセス可能な第三者が、機器内に登録されている機微な情報を取得する可
能性があります。

対象となる製品およびバージョンは次のとおりです。

- GT-DMB-N Ver3.00より前のバージョン
- GT-DMB Ver3.00より前のバージョン
- GT-DMB-LVN Ver3.00より前のバージョン
- GT-DB-VN Ver2.00より前のバージョン

開発者によると、2021年12月7日以降に出荷した製品は対策ファームウェアを
適用済みとのことです。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
アイホン株式会社
テナントビル用インターホン集合玄関機「GT-DMB-N」・「GT-DMB」をご利用のお客様へ
https://www.aiphone.co.jp/customer/20221110.html

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○Internet Week 2022開催のお知らせ

2022年11月21日（月）から30日（水）まで、一般社団法人日本ネットワークイン
フォメーションセンター（JPNIC）は、「Internet Week 2022」をオンライン
開催および、一部会期を現地会場とオンラインのハイブリッドで開催します。
インターネットに関する技術の研究・開発、 構築・運用・サービスに関わる
人々が、主にインターネットの基盤技術の基礎知識や最新動向を学び、議論し、
理解と交流を深めるためのイベントです。JPCERT/CCは本カンファレンスを後
援しています。詳細は、JPNICが提供する情報を確認してください。

参考文献 (日本語)
一般社団法人日本ネットワークインフォメーションセンター (JPNIC)
Internet Week 2022
https://www.nic.ad.jp/iw2022/

一般社団法人日本ネットワークインフォメーションセンター (JPNIC)
参加申込
https://www.nic.ad.jp/iw2022/apply/main/

――――――――――――――――――――――――――――――――――――――

目 次

【1】OpenSSLに複数の脆弱性
【2】Xcodeに複数の脆弱性
【3】複数のCisco製品に脆弱性
【4】Apache Tomcatに無効なHTTPヘッダーの取り扱いに関する問題
【5】京セラドキュメントソリューションズ製の複合機およびプリンターのWebインタフェースに複数の脆弱性
【今週のひとくちメモ】マルウェアEmotetの感染に至るメールの配布再開に関する注意喚起

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr224401.html
https://www.jpcert.or.jp/wr/2022/wr224401.xml
============================================================================

【1】OpenSSLに複数の脆弱性

情報源
CISA Current Activity
OpenSSL Releases Security Update
https://www.cisa.gov/uscert/ncas/current-activity/2022/11/01/openssl-releases-security-update

概要
OpenSSLには、複数の脆弱性があります。結果として、システムがサービス運
用妨害（DoS）状態にされたり、遠隔からのコード実行が行われたりする可能
性があります。

対象となるバージョンは次のとおりです。

- OpenSSL 3.0.0から3.0.6

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
OpenSSLの脆弱性（CVE-2022-3602、CVE-2022-3786）に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220030.html

Japan Vulnerability Notes JVNVU#92673251
OpenSSLに複数の脆弱性
https://jvn.jp/vu/JVNVU92673251/

関連文書 (英語)
OpenSSL Project
OpenSSL Security Advisory [01 November 2022]
https://www.openssl.org/news/secadv/20221101.txt

【2】Xcodeに複数の脆弱性

情報源
CISA Current Activity
Apple Releases Security Update for Xcode
https://www.cisa.gov/uscert/ncas/current-activity/2022/11/03/apple-releases-security-update-xcode

概要
Xcodeには、複数の脆弱性があります。結果として、遠隔の第三者が任意のコー
ドを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Xcode 14.1より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
Apple
Xcode 14.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213496

【3】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/11/03/cisco-releases-security-updates-multiple-products

概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が機微
な情報を窃取するなどの可能性があります。

影響を受ける製品、バージョンは多岐にわたります。詳細は、Ciscoが提供す
る情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【4】Apache Tomcatに無効なHTTPヘッダーの取り扱いに関する問題

情報源
Japan Vulnerability Notes JVNVU#93003913
Apache Tomcatにおける無効なHTTPヘッダの取り扱いに関する問題
https://jvn.jp/vu/JVNVU93003913/

概要
Apache Tomcatには、無効なHTTPヘッダーの取り扱いに関する問題があります。
結果として、Tomcatをリバースプロキシの背後に配備している場合、リクエス
トスマグリング攻撃が行われる可能性があります。

対象となるバージョンは次のとおりです。

- Apache Tomcat 10.1.0-M1から10.1.0までのバージョン
- Apache Tomcat 10.0.0-M1から10.0.26までのバージョン
- Apache Tomcat 9.0.0-M1から9.0.67までのバージョン
- Apache Tomcat 8.5.0から8.5.82までのバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
The Apache Software Foundation
Fixed in Apache Tomcat 10.1.1
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.1

The Apache Software Foundation
Fixed in Apache Tomcat 10.0.27
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.27

The Apache Software Foundation
Fixed in Apache Tomcat 9.0.68
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.68

The Apache Software Foundation
Fixed in Apache Tomcat 8.5.83
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.83

【5】京セラドキュメントソリューションズ製の複合機およびプリンターのWebインタフェースに複数の脆弱性

情報源
Japan Vulnerability Notes JVN#46345126
京セラドキュメントソリューションズ製の複合機およびプリンターの Web インタフェースにおける複数の脆弱性
https://jvn.jp/jp/JVN46345126/

概要
京セラドキュメントソリューションズ株式会社が提供する複合機およびプリン
ターのWebインタフェースには、複数の脆弱性があります。結果として、当該
製品にアクセス可能な第三者が、推測したセッション情報を使用することで、
正規ユーザーになりすましてログインするなどの可能性があります。

影響を受ける製品は多岐にわたります。詳細は、京セラドキュメントソリュー
ションズ株式会社が提供するアドバイザリ情報を参照してください。

この問題は、該当する製品のファームウェアを最新版へアップデートすること
で解決します。詳細は、京セラドキュメントソリューションズ株式会社が提供
する情報を参照してください。

関連文書 (日本語)
京セラドキュメントソリューションズ株式会社
京セラ製複合機・プリンターのセキュリティー脆弱性について
https://www.kyoceradocumentsolutions.co.jp/support/information/info_20221101.html

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○マルウェアEmotetの感染に至るメールの配布再開に関する注意喚起

2022年11月2日より、マルウェアEmotetの感染に至るメールの配布が観測され
ています。基本的な配布手法は変わらず、メールには悪性なxlsファイルある
いはxlsファイルを含むパスワード付きのZIPファイルが添付されています。引
き続き警戒いただき、対策や対応時には注意喚起の情報をご参照ください。

参考文献 (日本語)
JPCERT/CC 注意喚起
マルウェアEmotetの感染再拡大に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220006.html

独立行政法人情報処理推進機構（IPA）
Emotet（エモテット）と呼ばれるウイルスへの感染を狙うメールについて
https://www.ipa.go.jp/security/announce/20191202.html

――――――――――――――――――――――――――――――――――――――

目 次

【1】複数のApple製品に脆弱性
【2】VMware製品に複数の脆弱性
【3】Sambaに複数の脆弱性
【4】Google Chromeに複数の脆弱性
【5】SHIRASAGIに複数の脆弱性
【6】富士ソフト製ネットワーク製品に複数の脆弱性
【今週のひとくちメモ】JPCERT/CCが2022年7月~2022年9月分の「インターネット定点観測レポート（2022年 7~9月）」「TSUBAMEレポート Overflow（2022年7~9月）」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr224301.html
https://www.jpcert.or.jp/wr/2022/wr224301.xml
============================================================================

【1】複数のApple製品に脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/10/26/apple-releases-security-updates-multiple-products

概要
複数のApple製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- iOS 15.7.1より前のバージョン
- iPadOS 15.7.1より前のバージョン
- iOS 16.1より前のバージョン
- iPadOS 16より前のバージョン
- watchOS 9.1より前のバージョン
- tvOS 16.1より前のバージョン
- macOS Big Sur 11.7.1より前のバージョン
- macOS Monterey 12.6.1より前のバージョン
- macOS Ventura 13より前のバージョン
- Safari 16.1より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Apple製品のアップデートについて（2022年10月）
https://www.jpcert.or.jp/newsflash/2022102501.html

Apple
iOS 15.7.1 および iPadOS 15.7.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213490

Apple
iOS 16.1 および iPadOS 16 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213489

Apple
watchOS 9.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213491

Apple
tvOS 16.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213492

Apple
macOS Big Sur 11.7.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213493

Apple
macOS Monterey 12.6.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213494

Apple
macOS Ventura 13 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213488

Apple
Safari 16.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213495

【2】VMware製品に複数の脆弱性

情報源
CISA Current Activity
VMware Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/10/28/vmware-releases-security-updates

概要
VMware Cloud Foundation (NSX-V)には、複数の脆弱性があります。結果とし
て、遠隔の第三者が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- VMware Cloud Foundation (NSX-V) バージョン3.x

この問題は、対象の製品をVMwareが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、VMwareが提供する情報を参照してください。

関連文書 (英語)
VMware
VMSA-2022-0027.1
https://www.vmware.com/security/advisories/VMSA-2022-0027.html

【3】Sambaに複数の脆弱性

情報源
CISA Current Activity
Samba Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/10/26/samba-releases-security-updates

概要
Sambaには、複数の脆弱性があります。結果として、部分的な権限を持つユー
ザーがすべてのファイルにアクセスできるなどの可能性があります。

対象となるバージョンは次のとおりです。

- Samba 4.17.2より前のバージョン
- Samba 4.16.6より前のバージョン
- Samba 4.15.11より前のバージョン

この問題は、SambaをThe Samba Teamが提供する修正済みのバージョンに更新
することで解決します。詳細は、The Samba Teamが提供する情報を参照してく
ださい。

関連文書 (英語)
The Samba Team
CVE-2022-3437.html:
https://www.samba.org/samba/security/CVE-2022-3437.html

The Samba Team
CVE-2022-3592.html:
https://www.samba.org/samba/security/CVE-2022-3592.html

【4】Google Chromeに複数の脆弱性

情報源
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/10/stable-channel-update-for-desktop_25.html

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 107.0.5304.62/63（Windows版）より前のバージョン
- Google Chrome 107.0.5304.62（Mac版）より前のバージョン
- Google Chrome 107.0.5304.68（Linux版）より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

【5】SHIRASAGIに複数の脆弱性

情報源
Japan Vulnerability Notes JVN#86350682
SHIRASAGI における複数の脆弱性
https://jvn.jp/jp/JVN86350682/

概要
SHIRASAGI Projectが提供するSHIRASAGIには、複数の脆弱性があります。結果
として、当該製品に管理者権限でログインしているユーザーのWebブラウザー
上で、任意のスクリプトを実行されるなどの可能性があります。

対象となるバージョンは次のとおりです。

- SHIRASAGI v1.14.4からv1.15.0
- SHIRASAGI v1.16.2より前のバージョン

この問題は、開発者が提供するアップデートを適用することで解決します。詳
細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
SHIRASAGI Project
JVN#86350682 SHIRASAGI におけるオープンリダイレクト脆弱性とクロスサイトスクリプティング脆弱性
https://www.ss-proj.org/support/928.html

【6】富士ソフト製ネットワーク製品に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#74285622
富士ソフト製ネットワーク製品における複数の脆弱性
https://jvn.jp/jp/JVN74285622/

概要
富士ソフト株式会社が提供するネットワーク製品には、複数の脆弱性がありま
す。結果として、当該製品を入手した第三者が管理コンソールのログインパス
ワードを窃取するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- +F FS040U ソフトウェアバージョン V2.3.4およびそれ以前のバージョン
- +F FS020W ソフトウェアバージョン V4.0.0およびそれ以前のバージョン
- +F FS030W ソフトウェアバージョン V3.3.5およびそれ以前のバージョン
- +F FS040W ソフトウェアバージョン V1.4.1およびそれ以前のバージョン

この問題は、富士ソフト株式会社が提供するアップデートを適用するか回避策
を適用することで解決します。詳細は、富士ソフト株式会社が提供する情報を
参照してください。

関連文書 (日本語)
富士ソフト株式会社
+F（プラスエフ）FS020W 「クロスサイトリクエストフォージェリ」の脆弱性
https://www.fsi.co.jp/mobile/plusF/news/22102804.html

富士ソフト株式会社
+F（プラスエフ）FS030W 「クロスサイトリクエストフォージェリ」の脆弱性
https://www.fsi.co.jp/mobile/plusF/news/22102803.html

富士ソフト株式会社
+F（プラスエフ）FS040W 「クロスサイトリクエストフォージェリ」の脆弱性
https://www.fsi.co.jp/mobile/plusF/news/22102802.html

富士ソフト株式会社
+F（プラスエフ）FS040U 「クロスサイトリクエストフォージェリ」および「パスワード管理不備」の脆弱性
https://www.fsi.co.jp/mobile/plusF/news/22102801.html

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CCが2022年7月~2022年9月分の「インターネット定点観測レポート（2022年 7~9月）」「TSUBAMEレポート Overflow（2022年7~9月）」を公開

JPCERT/CCでは、インターネット上に複数の観測用センサーを分散配置し、不
特定多数に向けて発信されるパケットを継続的に収集し、攻撃活動や準備活動
の捕捉に努めています。
「インターネット定点観測レポート（2022年 7~9月）」では本四半期に観測
されたパケットを中心に分析した結果、「TSUBAMEレポート Overflow（2022年
7~9月）」では海外に設置しているセンサーの観測動向の比較などを紹介して
います。

参考文献 (日本語)
JPCERT/CC
インターネット定点観測レポート（2022年 7~9月）
https://www.jpcert.or.jp/tsubame/report/report202207-09.html

JPCERT/CC
TSUBAMEレポート Overflow（2022年7~9月）
https://blogs.jpcert.or.jp/ja/2022/10/tsubame_overflow_2022-07-09.html

――――――――――――――――――――――――――――――――――――――