ミニ・いんふぉめーしょん

目 次

【1】Mozilla Thunderbirdにコード実行の脆弱性
【2】Trend Micro Apex OneおよびTrend Micro Apex One SaaSに複数の脆弱性
【3】スマートフォンアプリ「＋メッセージ（プラスメッセージ）」にUnicode制御文字の扱いに関する脆弱性
【4】Zenphotoにおけるクロスサイトスクリプティングの脆弱性
【5】コーレル製Roxio SAIBサービスによって登録されるWindowsサービスの実行ファイルパスが引用符で囲まれていない脆弱性
【6】Squirrel.Windowsで生成したインストーラーにDLL読み込みに関する脆弱性
【今週のひとくちメモ】JPCERTCCが「2022年10月から12月を振り返って」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
httpswww.jpcert.or.jpwr

※HTML 版および XML版は以下のページをご覧ください。
httpswww.jpcert.or.jpwr2022wr225101.html
httpswww.jpcert.or.jpwr2022wr225101.xml
============================================================================

【1】Mozilla Thunderbirdにコード実行の脆弱性

情報源
Mozilla
Security Vulnerabilities fixed in Thunderbird 102.6.1
httpswww.mozilla.orgen-USsecurityadvisoriesmfsa2022-54

概要
Mozilla Thunderbirdでは、名前の長いファイルをドラッグ＆ドロップした場
合、ファイル名が切り捨てられる脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Mozilla Thunderbird 102.6.1より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

【2】Trend Micro Apex OneおよびTrend Micro Apex One SaaSに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#96679793
Trend Micro Apex OneおよびTrend Micro Apex One SaaSにおける複数の脆弱性
httpsjvn.jpvuJVNVU96679793

概要
Trend Micro Apex OneおよびTrend Micro Apex One SaaSには複数の脆弱性が
あります。結果として、権限昇格を伴うファイル削除などが行われる可能性が
あります。

対象となる製品は次のとおりです。

- Trend Micro Apex One 2019
- Trend Micro Apex One SaaS

この問題は、該当製品を開発者が提供するパッチを適用することで解決します。
詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラートアドバイザリ：Trend Micro Apex One 及びTrend Micro Apex One SaaSで確認した複数の脆弱性について（2022年11月30日）
httpssuccess.trendmicro.comjpsolution000291841

【3】スマートフォンアプリ「＋メッセージ（プラスメッセージ）」にUnicode制御文字の扱いに関する脆弱性

情報源
Japan Vulnerability Notes JVN#43561812
スマートフォンアプリ「＋メッセージ（プラスメッセージ）」における Unicode 制御文字の扱いに関する脆弱性
httpsjvn.jpjpJVN43561812

概要
スマートフォンアプリ「＋メッセージ（プラスメッセージ）」にはUnicode制
御文字の扱いに関する脆弱性があります。結果として、細工されたテキスト情
報の表示においてURLが偽装され、フィッシング詐欺などに使用される可能性
があります。

対象となるバージョンは次のとおりです。

ソフトバンク株式会社
- Android アプリ「＋メッセージ（プラスメッセージ）」12.9.5より前のバージョン
- iOS アプリ「＋メッセージ（プラスメッセージ）」3.9.4 より前のバージョン

株式会社NTTドコモ
- Android アプリ「＋メッセージ（プラスメッセージ）」54.49.0500より前のバージョン
- iOS アプリ「＋メッセージ（プラスメッセージ）」3.9.4 より前のバージョン

KDDI株式会社
- Android アプリ「＋メッセージ（プラスメッセージ）」3.9.2より前のバージョン
- iOS アプリ「＋メッセージ（プラスメッセージ）」3.9.4 より前のバージョン

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
ソフトバンク株式会社
＋メッセージ（プラスメッセージ）
httpswww.softbank.jpmobileserviceplus-message

株式会社NTTドコモ
＋メッセージ（プラスメッセージ）
httpswww.docomo.ne.jpserviceplus_message

KDDI株式会社
お知らせ：＋メッセージ（プラスメッセージ）
httpswww.au.commobileserviceplus-messageinformation

【4】Zenphotoにおけるクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#06093462
Zenphoto におけるクロスサイトスクリプティングの脆弱性
httpsjvn.jpjpJVN06093462

概要
Zenphotoにはクロスサイトスクリプティングの脆弱性があります。結果として
当該製品を使用しているユーザーのWebブラウザー上で、任意のスクリプトを
実行される可能性があります。

対象となるバージョンは次のとおりです。

- Zenphoto 1.6より前のバージョン

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
Zenphoto
GitHub - zenphoto zenphoto
httpsgithub.comzenphotozenphoto

Zenphoto
ZenphotoCMS - The simpler media website CMS
httpswww.zenphoto.org

【5】コーレル製Roxio SAIBサービスによって登録されるWindowsサービスの実行ファイルパスが引用符で囲まれていない脆弱性

情報源
Japan Vulnerability Notes JVN#13075438
コーレル製 Roxio SAIB サービスによって登録される Windows サービスの実行ファイルパスが引用符で囲まれていない脆弱性
httpsjvn.jpjpJVN13075438

概要
コーレルが提供するRoxio SAIBサービスによって登録されるWindowsサービス
には、実行ファイルパスが引用符で囲まれていない脆弱性があります。結果と
して、当該サービスの権限で不正なファイルが実行される可能性があります。

対象となるバージョンは次のとおりです。

- Roxio Creator LJB バージョン 12.2、ビルド 106B62B
- Roxio Creator LJB バージョン 12.2、ビルド 106B63A
- Roxio Creator LJB バージョン 12.2、ビルド 106B69A
- Roxio Creator LJB バージョン 12.2、ビルド 106B71A
- Roxio Creator LJB バージョン 12.2、ビルド 106B74A

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者または当該製品をバンドルしているベンダー
が提供する情報を参照してください。

関連文書 (日本語)
Corel Corporation
Roxio Creator LJB アップデート・プログラム バージョン番号 12.2 (富士通クライアントコンピューティング製コンピュータ バンドル専用)
httpskb.corel.comjp129393

富士通株式会社
コーレル社Roxio Creator LJB の脆弱性に関するお知らせ
httpswww.fmworld.netbizcommoncorel20221110.html

【6】Squirrel.Windowsで生成したインストーラーにDLL読み込みに関する脆弱性

情報源
Japan Vulnerability Notes JVN#29902403
Squirrel.Windows で生成したインストーラにおける DLL 読み込みに関する脆弱性
httpsjvn.jpjpJVN29902403

概要
Squirrel.Windowsを使用して生成したインストーラーには同一ディレクトリに
存在する特定のDLLを読み込んでしまう脆弱性があります。結果として、イン
ストーラーを実行している権限で任意のコードが実行される可能性があります。

対象となるバージョンは次のとおりです。

- Squirrel.Windows 2.0.1およびそれ以前のバージョンを使用して生成したインストーラー

この問題は、developブランチの最新のソースコードから作成されたSquirrel.
Windowsでインストーラーを生成することで解決します。詳細は、開発者が提
供する情報を参照してください。

関連文書 (英語)
Squirrel
Better delay load urlmon and move official build to GH Actions #1807
httpsgithub.comSquirrelSquirrel.Windowspull1807

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERTCCが「2022年10月から12月を振り返って」を公開

2022年12月22日、JPCERTCCは「2022年10月から12月を振り返って」を公開し
ました。2022年10月以降に確認された、影響範囲の広い脆弱性情報や脅威情報
などをまとめています。JPCERTCCでは、日頃より脆弱性情報や脅威情報などに
関する情報発信を行っておりますので、適時ご確認ください。

参考文献 (日本語)
JPCERTCC CyberNewsFlash
2022年10月から12月を振り返って
httpswww.jpcert.or.jpnewsflash2022122201.html

――――――――――――――――――――――――――――――――――――――

目 次

【1】複数のCitrix製品に任意のコード実行の脆弱性
【2】FortiOSにヒープベースのバッファーオーバーフローの脆弱性
【3】複数のマイクロソフト製品に脆弱性
【4】複数のApple製品に脆弱性
【5】複数のMozilla製品に脆弱性
【6】Drupalの複数のモジュールに脆弱性
【7】複数のVMware製品に脆弱性
【8】Sambaに複数の脆弱性
【9】複数のアドビ製品に脆弱性
【10】Redmineにクロスサイトスクリプティングの脆弱性
【11】OpenSSLのX.509ポリシー制限における二重ロックの問題
【12】シャープ製デジタル複合機にコマンドインジェクションの脆弱性
【今週のひとくちメモ】日本シーサート協議会が「CSIRT人材の育成 Ver1.0」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr225001.html
https://www.jpcert.or.jp/wr/2022/wr225001.xml
============================================================================

【1】複数のCitrix製品に任意のコード実行の脆弱性

情報源
CISA Current Activity
Citrix Releases Security Updates for Citrix ADC, Citrix Gateway
https://www.cisa.gov/uscert/ncas/current-activity/2022/12/13/citrix-releases-security-updates-citrix-adc-citrix-gateway

概要
複数のCitrix製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行する可能性があります。

対象となる製品は次のとおりです。

- Citrix ADCおよびCitrix Gateway 13.0-58.32より前の13系のバージョン
- Citrix ADCおよびCitrix Gateway 12.1-65.25より前の12.1系のバージョン
- Citrix ADC 12.1-FIPS 12.1-55.291より前の12.1-FIPS系のバージョン
- Citrix ADC 12.1-NDcPP 12.1-55.291より前の12.1-NDcPP系のバージョン

この問題は、該当する製品をCitrixが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Citrixが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
Citrix ADCおよびCitrix Gatewayの脆弱性（CVE-2022-27518）に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220033.html

関連文書 (英語)
Citrix
Citrix ADC and Citrix Gateway Security Bulletin for CVE-2022-27518
https://support.citrix.com/article/CTX474995/citrix-adc-and-citrix-gateway-security-bulletin-for-cve202227518

【2】FortiOSにヒープベースのバッファーオーバーフローの脆弱性

情報源
CISA Current Activity
Fortinet Releases Security Updates for FortiOS
https://www.cisa.gov/uscert/ncas/current-activity/2022/12/12/fortinet-releases-security-updates-fortios

概要
FortiOSには、ヒープベースのバッファーオーバーフローの脆弱性があります。
結果として、認証されていない遠隔の第三者が任意のコードやコマンドを実行
する可能性があります。

対象となる製品は次のとおりです。

- FortiOS バージョン 7.2.0から7.2.2まで
- FortiOS バージョン 7.0.0から7.0.8まで
- FortiOS バージョン 6.4.0から6.4.10まで
- FortiOS バージョン 6.2.0から6.2.11まで
- FortiOS バージョン 6.0.0から6.0.15まで
- FortiOS バージョン 5.6.0から5.6.14まで
- FortiOS バージョン 5.4.0から5.4.13まで
- FortiOS バージョン 5.2.0から5.2.15まで
- FortiOS バージョン 5.0.0から5.0.14まで
- FortiOS-6K7K バージョン 7.0.0から7.0.7まで
- FortiOS-6K7K バージョン 6.4.0から6.4.9まで
- FortiOS-6K7K バージョン 6.2.0から6.2.11まで
- FortiOS-6K7K バージョン 6.0.0から6.0.14まで

この問題は、該当する製品をFortinetが提供する修正済みのバージョンに更新
することで解決します。詳細は、Fortinetが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
FortiOSのヒープベースのバッファーオーバーフローの脆弱性（CVE-2022-42475）に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220032.html

関連文書 (英語)
Fortinet
FortiOS - heap-based buffer overflow in sslvpnd
https://www.fortiguard.com/psirt/FG-IR-22-398

【3】複数のマイクロソフト製品に脆弱性

情報源
CISA Current Activity
Microsoft Releases December 2022 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/12/13/microsoft-releases-december-2022-security-updates

概要
複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく
ださい。

関連文書 (日本語)
マイクロソフト株式会社
2022 年 12 月のセキュリティ更新プログラム (月例)
https://msrc-blog.microsoft.com/2022/12/13/202212-security-update/

JPCERT/CC 注意喚起
2022年12月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2022/at220034.html

【4】複数のApple製品に脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/12/13/apple-releases-security-updates-multiple-products

概要
複数のApple製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- iOS 16.2より前のバージョン
- iOS 15.7.2より前のバージョン
- iPadOS 16.2より前のバージョン
- iPadOS 15.7.2より前のバージョン
- macOS Ventura 13.1より前のバージョン
- macOS Monterey 12.6.2より前のバージョン
- macOS Big Sur 11.7.2より前のバージョン
- tvOS 16.2より前のバージョン
- watchOS 9.2より前のバージョン
- Safari 16.2より前のバージョン
- iCloud for Windows 14.1より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
Apple
iOS 16.2 および iPadOS 16.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213530

Apple
iOS 15.7.2 および iPadOS 15.7.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213531

Apple
macOS Ventura 13.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213532

Apple
macOS Monterey 12.6.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213533

Apple
macOS Big Sur 11.7.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213534

Apple
tvOS 16.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213535

Apple
watchOS 9.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213536

Apple
Safari 16.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213537

Apple
Windows 用 iCloud 14.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213538

【5】複数のMozilla製品に脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Updates for Thunderbird and Firefox
https://www.cisa.gov/uscert/ncas/current-activity/2022/12/13/mozilla-releases-security-updates-thunderbird-and-firefox

概要
複数のMozilla製品には、複数の脆弱性があります。結果として、攻撃者が対
象のMozilla製品をクラッシュさせるなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 108より前のバージョン
- Mozilla Firefox ESR 102.6より前のバージョン
- Mozilla Thunderbird 102.6より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)
Mozilla
Mozilla Foundation Security Advisory 2022-51
https://www.mozilla.org/en-US/security/advisories/mfsa2022-51/

Mozilla
Mozilla Foundation Security Advisory 2022-52
https://www.mozilla.org/en-US/security/advisories/mfsa2022-52/

Mozilla
Mozilla Foundation Security Advisory 2022-53
https://www.mozilla.org/en-US/security/advisories/mfsa2022-53/

【6】Drupalの複数のモジュールに脆弱性

情報源
CISA Current Activity
Drupal Releases Security Updates to Address Vulnerabilities in H5P and File (Field) Paths
https://www.cisa.gov/uscert/ncas/current-activity/2022/12/15/drupal-releases-security-updates-address-vulnerabilities-h5p-and

概要
Drupalの複数のモジュールに脆弱性があります。結果として、攻撃者が任意の
コードを実行するなどの可能性があります。

対象となるモジュールおよびバージョンは次のとおりです。

- H5P 7.x-1.51より前のバージョン
- File (Field) Paths 7.x-1.2より前のバージョン

この問題は、Drupalが提供する修正済みのバージョンに更新することで解決し
ます。詳細は、Drupalが提供する情報を参照してください。

関連文書 (英語)
Drupal
H5P - Create and Share Rich Content and Applications - Moderately critical - Remote Code Execution - SA-CONTRIB-2022-064
https://www.drupal.org/sa-contrib-2022-064

Drupal
File (Field) Paths - Moderately critical - Access bypass - SA-CONTRIB-2022-065
https://www.drupal.org/sa-contrib-2022-065

【7】複数のVMware製品に脆弱性

情報源
CISA Current Activity
VMware Releases Security Updates for Multiple products
https://www.cisa.gov/uscert/ncas/current-activity/2022/12/13/vmware-releases-security-updates-multiple-products

概要
複数のVMware製品には、脆弱性があります。結果として、攻撃者がコマンドを
実行するなどの可能性があります。

対象となる製品は次のとおりです。

- VMware vRealize Network Insight (vRNI)
- VMware ESXi
- VMware Fusion
- VMware Cloud Foundation
- VMware Workstation

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
るか、回避策を適用することで解決します。詳細は、VMwareが提供する情報を
参照してください。

関連文書 (英語)
VMware
VMSA-2022-0031
https://www.vmware.com/security/advisories/VMSA-2022-0031.html

VMware
VMSA-2022-0033
https://www.vmware.com/security/advisories/VMSA-2022-0033.html

【8】Sambaに複数の脆弱性

情報源
CISA Current Activity
Samba Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/12/16/samba-releases-security-updates

概要
Sambaには、複数の脆弱性があります。結果として、遠隔のユーザーが権限を
昇格するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Samba 4.17.4より前のバージョン
- Samba 4.16.8より前のバージョン
- Samba 4.15.13より前のバージョン

この問題は、SambaをThe Samba Teamが提供する修正済みのバージョンに更新
することで解決します。詳細は、The Samba Teamが提供する情報を参照してく
ださい。

関連文書 (英語)
The Samba Team
CVE-2022-38023.html:
https://www.samba.org/samba/security/CVE-2022-38023.html

The Samba Team
CVE-2022-37966.html:
https://www.samba.org/samba/security/CVE-2022-37966.html

The Samba Team
CVE-2022-37967.html:
https://www.samba.org/samba/security/CVE-2022-37967.html

The Samba Team
CVE-2022-45141.html:
https://www.samba.org/samba/security/CVE-2022-45141.html

【9】複数のアドビ製品に脆弱性

情報源
アドビ
Security updates available for Adobe Campaign Classic | APSB22-58
https://helpx.adobe.com/security/products/campaign/apsb22-58.html

アドビ
Security updates available for Adobe Experience Manager | APSB22-59
https://helpx.adobe.com/security/products/experience-manager/apsb22-59.html

アドビ
Security Updates Available for Adobe Illustrator | APSB22-60
https://helpx.adobe.com/security/products/illustrator/apsb22-60.html

概要
複数のアドビ製品には、脆弱性があります。結果として、当該製品にアクセス
したユーザーのWebブラウザー上で、任意のコードが実行されるなどの可能性
があります。

対象となる製品およびバージョンは次のとおりです。

- Adobe Campaign Classic 7.3.1およびそれ以前のバージョン
- Adobe Campaign Classic 8.3.9およびそれ以前のバージョン
- Adobe Experience Manager Cloud Service Release 2022.10.0より前のバージョン
- Adobe Experience Manager 6.5.14.0およびそれ以前のバージョン
- Adobe Illustrator 2022 26.5.1およびそれ以前のバージョン
- Adobe Illustrator 2023 27.0およびそれ以前のバージョン

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

【10】Redmineにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#60211811
Redmine におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN60211811/

概要
Redmineには、クロスサイトスクリプティングの脆弱性があります。結果とし
て、当該製品を使用しているユーザーのWebブラウザ上で、任意のスクリプト
を実行される可能性があります。

対象となるバージョンは次のとおりです。

- Redmine すべてのバージョン

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
Redmine
Redmine Security Advisories
https://www.redmine.org/projects/redmine/wiki/Security_Advisories

【11】OpenSSLのX.509ポリシー制限における二重ロックの問題

情報源
Japan Vulnerability Notes JVNVU#96155097
OpenSSLのX.509ポリシー制限における二重ロックの問題
https://jvn.jp/vu/JVNVU96155097/

概要
OpenSSLのX.509証明書に不正なポリシー制限が含まれていて、ポリシー処理が
有効な場合、書き込みロックが二重に行われる問題があります。結果として、
一部のオペレーティングシステム(最も一般的なのは Windows)では、影響を受
けるプロセスがハングし、サービス運用妨害（DoS）状態となる可能性があり
ます。

対象となるバージョンは次のとおりです。

- OpenSSL 3.0.0から3.0.7

OpenSSL 1.1.1および1.0.2は、本脆弱性の影響を受けないとのことです。

OpenSSLによると、本脆弱性の深刻度が低であるため、修正は提供されていま
せん。ただし、開発者向けに回避策を提示しています。詳細は、OpenSSLが提
供する情報を参照してください。

関連文書 (英語)
OpenSSL Project
OpenSSL Security Advisory [13 December 2022]
https://www.openssl.org/news/secadv/20221213.txt

openssl/openssl
x509 fix double locking problem
https://github.com/openssl/openssl/commit/7725e7bfe6f2ce8146b6552b44e0d226be7638e7

【12】シャープ製デジタル複合機にコマンドインジェクションの脆弱性

情報源
Japan Vulnerability Notes JVNVU#96195138
シャープ製デジタル複合機におけるコマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU96195138/

概要
シャープ株式会社が提供する複数のデジタル複合機には、コマンドインジェク
ションの脆弱性があります。結果として、管理者権限でログイン可能な攻撃者
により、複合機のファームウェア上で任意のコマンドが実行される可能性があ
ります。

影響を受ける製品、機種名、ファームウェアバージョンは多岐にわたります。
詳しくは、開発者が提供する情報をご確認ください。

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。また、回避策が提示されています。詳細は、開発者が提供す
る情報を参照してください。

関連文書 (日本語)
シャープ株式会社
弊社複合機におけるセキュリティ脆弱性について
https://jp.sharp/business/print/information/info_security_2022-11.html

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○日本シーサート協議会が「CSIRT人材の育成 Ver1.0」を公開

2022年12月13日、日本シーサート協議会は、「CSIRT人材の育成 Ver1.0」を公
開しました。
本資料では、「CSIRT人材の定義と確保 Ver.2.1」により定義されたCSIRTに必
要な役割とスキルをベースとして、その役割毎にどのように育成していくのか
という解決策、また要員不足に対しては兼任できる役割をグループ化して育成
するという解決策をWGメンバーのベストプラクティスとして集約し作成したも
のになります。CSIRT人材の育成方法について悩まれている組織のCSIRT活動の
参考にしてください。

参考文献 (日本語)
日本シーサート協議会
CSIRT人材の育成 Ver1.0
https://www.nca.gr.jp/activity/imgs/development-hr20220331.pdf

――――――――――――――――――――――――――――――――――――――

目 次

【1】Cisco IP Phone に複数の脆弱性
【2】複数のVMware製品に脆弱性
【3】FortiOSおよびFortiProxyに認証バイパスの脆弱性
【4】バッファロー製ネットワーク機器に複数の脆弱性
【今週のひとくちメモ】JPCERT/CC ベストレポーター賞 2022

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr224901.html
https://www.jpcert.or.jp/wr/2022/wr224901.xml
============================================================================

【1】Cisco IP Phone に複数の脆弱性

情報源
CISA Current Activity
Cisco Releases Security Advisory for IP Phone 7800 and 8800 Series
https://www.cisa.gov/uscert/ncas/current-activity/2022/12/09/cisco-releases-security-advisory-ip-phone-7800-and-8800-series

概要
Cisco IP Phone には脆弱性があります。結果として、隣接するネットワーク
上の第三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ
たりする可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Cisco IP Phone 7800 シリーズ ファームウェアバージョン14.2およびそれ以前
- Cisco IP Phone 8800 シリーズ ファームウェアバージョン14.2およびそれ以前（Wireless IP Phone 8821を除く）

この問題に関し、Ciscoは修正済みのバージョンの提供を予定しており、2022
年12月14日時点では一定の条件を満たす環境にて実施可能となる緩和策を提供
しています。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco Security Advisory
Cisco IP Phone 7800 and 8800 Series Cisco Discovery Protocol Stack Overflow Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ipp-oobwrite-8cMF5r7U

【2】複数のVMware製品に脆弱性

情報源
VMware
VMSA-2022-0030
https://www.vmware.com/security/advisories/VMSA-2022-0030.html

概要
複数のVMware製品には、脆弱性があります。このうち、メモリ破壊の脆弱性
が悪用されると、ESXiにローカル環境からアクセスできる攻撃者が、ESXiサン
ドボックスから脱出するなどの可能性があります。

対象となる製品は次のとおりです。対象となるバージョンは多岐にわたります。
詳細はVMwareが提供するアドバイザリ情報を参照してください。

- VMware ESXi
- VMware vCenter Server (vCenter Server)
- VMware Cloud Foundation (Cloud Foundation)

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
るか、回避策を適用することで解決します。詳細は、VMwareが提供する情報を
参照してください。

【3】FortiOSおよびFortiProxyに認証バイパスの脆弱性

情報源
Fortinet
FortiOS & FortiProxy - SSH authentication bypass when RADIUS authentication is used
https://www.fortiguard.com/psirt/FG-IR-22-255

概要
FortiOSおよびFortiProxyには、認証バイパスの脆弱性があります。結果とし
て、遠隔の第三者が、特別に細工した応答をRADIUSサーバーから送信すること
で、認証を迂回してログインする可能性があります。

対象となる製品およびバージョンは次のとおりです。

- FortiOS バージョン7.2.0から7.2.1まで
- FortiOS バージョン7.0.0から7.0.7まで
- FortiOS バージョン6.4.0から6.4.9まで
- FortiOS バージョン6.2系のすべてのバージョン
- FortiOS バージョン6.0系のすべてのバージョン
- FortiProxy バージョン7.0.0から7.0.6まで
- FortiProxy バージョン2.0.0から2.0.10まで
- FortiProxy バージョン1.2.0系のすべてのバージョン

この問題は、該当する製品をFortinetが提供する修正済みのバージョンに更新
することで解決します。詳細は、Fortinetが提供する情報を参照してください。

【4】バッファロー製ネットワーク機器に複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#97099584
バッファロー製ネットワーク機器における複数の脆弱性
https://jvn.jp/vu/JVNVU97099584/

概要
バッファロー製ネットワーク機器には、複数の脆弱性があります。結果として、
隣接するネットワーク上から当該機器の管理画面にログイン可能な第三者が、
デバッグ機能を不正に有効化し、任意のコマンドを実行するなどの可能性があ
ります。

対象となる製品は多岐にわたります。詳細は、株式会社バッファローが提供す
る情報を参照してください。

この問題は、該当する製品を株式会社バッファローが提供する修正済みのバー
ジョンに更新することで解決します。詳細は、株式会社バッファローが提供す
る情報を参照してください。

関連文書 (日本語)
株式会社バッファロー
ルーター等の一部商品における複数の脆弱性とその対処方法
https://www.buffalo.jp/news/detail/20221205-01.html

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CC ベストレポーター賞 2022

JPCERT/CCは12月8日、ベストレポーター賞2022の受賞者を発表しました。
ベストレポーター賞は、インシデント報告と脆弱性報告のそれぞれの部門に
おいて、情報提供によりJPCERT/CCの活動に顕著な貢献をいただいた方に年1回、
記念品の贈呈とともに感謝の意を表するものです。

JPCERT/CCは、多くの報告者の方々に日々ご協力いただいております。
JPCERT/CCに報告をくださったすべての方々に、この場を借りて感謝申し上げ
ます。引き続きJPCERT/CCの活動にご協力いただければと存じます。

参考文献 (日本語)
JPCERT/CC
JPCERT/CC ベストレポーター賞 2022
https://www.jpcert.or.jp/award/best-reporter-award/2022.html

――――――――――――――――――――――――――――――――――――――

目 次

【1】Google Chromeに複数の脆弱性
【2】ユニモテクノロジー製デジタルビデオレコーダーに複数の脆弱性
【3】三菱電機製MELSEC iQ-RシリーズEthernetインタフェースユニットに不適切な入力確認の脆弱性
【今週のひとくちメモ】NISCと警察庁が「学術関係者・シンクタンク研究員等を標的としたサイバー攻撃について（注意喚起）」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr224801.html
https://www.jpcert.or.jp/wr/2022/wr224801.xml
============================================================================

【1】Google Chromeに複数の脆弱性

情報源
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/12/stable-channel-update-for-desktop.html

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/11/stable-channel-update-for-desktop_29.html

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 108.0.5359.94/95（Windows版）より前のバージョン
- Google Chrome 108.0.5359.94（Mac版、Linux版）より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

【2】ユニモテクノロジー製デジタルビデオレコーダーに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#94514762
ユニモテクノロジー製デジタルビデオレコーダにおける複数の脆弱性
https://jvn.jp/vu/JVNVU94514762/

概要
ユニモテクノロジー株式会社が提供するデジタルビデオレコーダー製品には、
複数の脆弱性があります。結果として、遠隔の第三者が当該製品上で任意のOS
コマンドを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- UDR-JA1604/UDR-JA1608/UDR-JA1616 ファームウェアバージョン 71x10.1.107112.43Aおよびそれ以前のバージョン

この問題は、該当する製品をユニモテクノロジー株式会社が提供する修正済み
のファームウェアに更新することで解決します。詳細は、ユニモテクノロジー
株式会社が提供する情報を参照してください。

関連文書 (日本語)
ユニモテクノロジー株式会社
UDR-JA1604/UDR-JA1608/UDR-JA1616 ファームウエアを更新しました
http://www.unimo.co.jp/table_notice/index.php?act=1&resid=1666831567-004418

【3】三菱電機製MELSEC iQ-RシリーズEthernetインタフェースユニットに不適切な入力確認の脆弱性

情報源
Japan Vulnerability Notes JVNVU#94702422
三菱電機製MELSEC iQ-RシリーズEthernetインタフェースユニットにおける不適切な入力確認の脆弱性
https://jvn.jp/vu/JVNVU94702422/

概要
三菱電機株式会社が提供するMELSEC iQ-RシリーズEthernetインタフェースユ
ニットには、不適切な入力確認の脆弱性があります。結果として、遠隔の第三
者が細工したパケットを送信することで、当該製品がサービス運用妨害（DoS）
状態になる可能性があります。

対象となる製品およびバージョンは次のとおりです。

- MELSEC iQ-Rシリーズ
- RJ71EN71 ファームウェアバージョン"65"およびそれ以前のバージョン
- R04/08/16/32/120ENCPU(ネットワーク部) ファームウェアバージョン"65"およびそれ以前のバージョン

この問題は、該当する製品を三菱電機株式会社が提供する修正済みのファーム
ウェアに更新することで解決します。詳細は、三菱電機株式会社が提供する情
報を参照してください。

関連文書 (日本語)
三菱電機株式会社
MELSEC iQ-R シリーズ Ethernet インタフェースユニットにおけるサービス拒否(DoS)の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2022-017.pdf

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○NISCと警察庁が「学術関係者・シンクタンク研究員等を標的としたサイバー攻撃について（注意喚起）」を公開

2022年11月30日、内閣サイバーセキュリティセンター（NISC）と警察庁は「学
術関係者・シンクタンク研究員等を標的としたサイバー攻撃について（注意喚
起）」を公開しました。本注意喚起では実在する組織の社員・職員をかたり、
イベントの講師、講演、取材等の依頼メールや資料・原稿等の紹介メールを装っ
た攻撃事例を取り上げています。

参考文献 (日本語)
内閣サイバーセキュリティセンター
学術関係者・シンクタンク研究員等を標的としたサイバー攻撃について（注意喚起）
https://www.nisc.go.jp/pdf/press/20221130NISC_press.pdf

内閣サイバーセキュリティセンター
標的型サイバー攻撃、不審メールにご注意ください！
https://www.nisc.go.jp/pdf/press/20221130NISC_gaiyou.pdf

――――――――――――――――――――――――――――――――――――――