ミニ・いんふぉめーしょん

目 次

【1】Firefoxに複数の脆弱性
【2】Cisco Unified Communications ManagerにSQLインジェクションの脆弱性
【3】Drupalに複数の脆弱性
【4】2023年1月Oracle Critical Patch Updateについて
【5】Apache HTTP Serverに複数の脆弱性
【6】WordPress用プラグインWelcart e-Commerceにディレクトリトラバーサルの脆弱性
【7】Pgpool-IIに情報漏えいの脆弱性
【8】TP-Link製ルーターに複数の脆弱性
【9】Netcomm製ルーターに複数の脆弱性
【今週のひとくちメモ】JPCERT/CCが2022年10月～2022年12月分の「活動四半期レポート」「インシデント報告対応レポート」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2023/wr230125.html
https://www.jpcert.or.jp/wr/2023/wr230125.xml
============================================================================

【1】Firefoxに複数の脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox
https://www.cisa.gov/uscert/ncas/current-activity/2023/01/18/mozilla-releases-security-updates-firefox

概要
Firefoxには、複数の脆弱性があります。結果として、遠隔の第三者が任意の
ファイルを読み取るなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 109より前のバージョン
- Mozilla Firefox ESR 102.7より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)
Mozilla
Mozilla Foundation Security Advisory 2023-01
https://www.mozilla.org/en-US/security/advisories/mfsa2023-01/

Mozilla
Mozilla Foundation Security Advisory 2023-02
https://www.mozilla.org/en-US/security/advisories/mfsa2023-02/

【2】Cisco Unified Communications ManagerにSQLインジェクションの脆弱性

情報源
CISA Current Activity
Cisco Releases Security Advisory for Unified CM and Unified CM SME
https://www.cisa.gov/uscert/ncas/current-activity/2023/01/20/cisco-releases-security-advisory-unified-cm-and-unified-cm-sme

概要
Cisco Unified Communications Managerには脆弱性があります。結果として、
遠隔の第三者がデータベースのデータの読み取りや変更、権限を昇格するなど
の可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Cisco Unified CM および Unified CM SME ファームウェアバージョン11.5(1)およびそれ以前
- Cisco Unified CM および Unified CM SME ファームウェアバージョン12.5(1)およびそれ以前
- Cisco Unified CM および Unified CM SME ファームウェアバージョン14およびそれ以前

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco Security Advisory
Cisco Unified Communications Manager SQL Injection Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-sql-rpPczR8n

【3】Drupalに複数の脆弱性

情報源
CISA Current Activity
Drupal Releases Security Advisories to Address Multiple Vulnerabilities
https://www.cisa.gov/uscert/ncas/current-activity/2023/01/20/drupal-releases-security-advisories-address-multiple

概要
Drupalには複数の脆弱性があります。結果として、コンテンツの編集権限を持
つ攻撃者が、アクセスを許可されていないメディアアイテムのメタデータを
閲覧するなどの可能性があります。

対象となるバージョンおよびモジュールは次のとおりです。

- Drupal 8.0.0以上9.4.10より前のバージョン
- Drupal 9.5.0以上9.5.2より前のバージョン
- Drupal 10.0.0以上10.0.2より前のバージョン
- Entity Browser 8.x-2.9より前のバージョン
- Media Library Block 1.0以上1.0.4より前のバージョン
- Media Library Form API Element 2.0以上2.0.6より前のバージョン
- Media Library Form API Element 8.x-1系のすべてのバージョン

この問題は、Drupalが提供する修正済みのバージョンに更新することで解決し
ます。詳細は、Drupalが提供する情報を参照してください。

関連文書 (英語)
Drupal
Drupal core - Moderately critical - Information Disclosure - SA-CORE-2023-001
https://www.drupal.org/sa-core-2023-001

Drupal
Entity Browser - Moderately critical - Information Disclosure - SA-CONTRIB-2023-002
https://www.drupal.org/sa-contrib-2023-002

Drupal
Media Library Block - Moderately critical - Information Disclosure - SA-CONTRIB-2023-003
https://www.drupal.org/sa-contrib-2023-003

Drupal
Media Library Form API Element - Moderately critical - Information Disclosure - SA-CONTRIB-2023-004
https://www.drupal.org/sa-contrib-2023-004

【4】2023年1月Oracle Critical Patch Updateについて

情報源
JPCERT/CC 注意喚起
2023年1月Oracle製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2023/at230003.html

概要
Oracleから複数の製品およびコンポーネントに含まれる脆弱性に対応した
Oracle Critical Patch Update Advisoryが公開されました。

詳細は、Oracleが提供する情報を参照してください。

関連文書 (英語)
Oracle Corporation
Oracle Critical Patch Update Advisory - January 2023
https://www.oracle.com/security-alerts/cpujan2023.html

【5】Apache HTTP Serverに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#99928083
Apache HTTP Server 2.4における複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU99928083/

概要
Apache HTTP Server 2.4系には、複数の脆弱があります。結果として、攻撃者
によって、プロセスをクラッシュされるなどの可能性があります。

対象となるバージョンは次のとおりです。

Apache HTTP Server 2.4.54およびそれ以前

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
The Apache Software Foundation
Apache HTTP Server 2.4.55 Released
https://downloads.apache.org/httpd/Announcement2.4.html

【6】WordPress用プラグインWelcart e-Commerceにディレクトリトラバーサルの脆弱性

情報源
Japan Vulnerability Notes JVN#31073333
WordPress 用プラグイン Welcart e-Commerce におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN31073333/

概要
コルネ株式会社が提供するWordPress用プラグインWelcart e-Commerceには、
ディレクトリトラバーサルの脆弱性があります。結果として、遠隔の第三者に
よって、サーバー上の任意のファイルを閲覧される可能性があります。

対象となるバージョンは次のとおりです。

Welcart e-Commerce 2.6.0 から 2.8.5 まで

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
Welcart
Welcart 2.8.6 をリリースしました【脆弱性の修正】
https://www.welcart.com/archives/17865.html

【7】Pgpool-IIに情報漏えいの脆弱性

情報源
Japan Vulnerability Notes JVN#72418815
Pgpool-II における情報漏えいの脆弱性
https://jvn.jp/jp/JVN72418815/

概要
PgPool Global Development Groupが提供するPgpool-IIには、情報漏えいの脆
弱性があります。結果として、取得した認証情報でログインした攻撃者によっ
て、データベース内の情報を改ざんされるなどの可能性があります。

対象となるバージョンは多岐にわたります。

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するか
回避策を適用することで解決します。詳細は、開発者が提供する情報を参照し
てください。

関連文書 (日本語)
PgPool Global Development Group
Pgpool-II 4.4.2, 4.3.5, 4.2.12, 4.1.15, 4.0.22 がリリースされました (2023/01/23)
https://www.pgpool.net/mediawiki/jp/index.php/%E3%83%A1%E3%82%A4%E3%83%B3%E3%83%9A%E3%83%BC%E3%82%B8#What.27s_new

【8】TP-Link製ルーターに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#97719125
TP-Link製ルータにおける複数の脆弱性
https://jvn.jp/vu/JVNVU97719125/

概要
TP-Link製ルーターには、複数の脆弱性があります。結果として、遠隔の第三者
によって、任意のコードを実行されたりするなどの可能性があります。

対象となる製品は次のとおりです。

- TL-WR710N V1 ファームウェア 151022 (公開日 2015-10-22)
- Archer C5 V2 ファームウェア 160201 (公開日 2016-02-01)

2023年1月25日時点では、本脆弱性に対するアップデートは提供されていません。

関連文書 (英語)
TP-Link
Download for TL-WR710N V1
https://www.tp-link.com/us/support/download/tl-wr710n/#Firmware

TP-Link
Download for Archer C5 V2
https://www.tp-link.com/us/support/download/archer-c5/#Firmware

【9】Netcomm製ルーターに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#98520511
Netcomm製ルータにおける複数の脆弱性
https://jvn.jp/vu/JVNVU98520511/

概要
Netcommが提供するルーターには、複数の脆弱性が存在あります。結果として、
攻撃者によって、任意のコードを実行される可能性があります。なお、本脆弱
性の実証コードが公開されていることを確認しています。

対象となる製品は次のとおりです。

- NF20
- NF20MESH
- NL1902

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
NetComm Wireless
Firmware
https://support.netcommwireless.com/products/NF20#Firmware

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CCが2022年10月～2022年12月分の「活動四半期レポート」「インシデント報告対応レポート」を公開

2023年1月19日、JPCERT/CCは2022年10月～2022年12月分の「活動四半期レポート」
「インシデント報告対応レポート」を公開しました。本四半期中のJPCERT/CC
の国内外の活動に加え、JPCERT/CCが報告を受け付けたインシデントの統計や
事例などについてまとめています。参考資料としてご活用ください。

参考文献 (日本語)
JPCERT/CC
JPCERT/CC 活動四半期レポート［2022年10月1日～2022年12月31日］
https://www.jpcert.or.jp/pr/2023/PR_Report2022Q3.pdf

JPCERT/CC
JPCERT/CC インシデント報告対応レポート［2022年10月1日～2022年12月31日］
https://www.jpcert.or.jp/pr/2023/IR_Report2022Q3.pdf

――――――――――――――――――――――――――――――――――――――

目 次

【1】複数のマイクロソフト製品に脆弱性
【2】Windows 8.1サポートは2023年1月10日に終了しました
【3】複数のアドビ製品に脆弱性
【4】複数のJuniper Networks製品に脆弱性
【5】DrupalのPrivate Taxonomy Termsモジュールに脆弱性
【6】Google Chromeに複数の脆弱性
【7】OpenAM Web Policy Agent(OpenAMコンソーシアム版)にパストラバーサル脆弱性
【8】TP-Link SG105PEに認証回避の脆弱性
【9】pgAdmin 4にオープンリダイレクトの脆弱性
【10】Intel製oneAPIツールキットに権限昇格の脆弱性
【11】CLUSTERPRO Xに複数の脆弱性
【12】MAHO-PBX NetDevancerシリーズに複数の脆弱性
【13】ピクセラ製PIX-RT100に複数の脆弱性
【今週のひとくちメモ】JPCERT/CCが「Malware Analysis Operations（MAOps）の自動化」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2023/wr230118.html
https://www.jpcert.or.jp/wr/2023/wr230118.xml
============================================================================

【1】複数のマイクロソフト製品に脆弱性

情報源
CISA Current Activity
Microsoft Releases January 2023 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2023/01/10/microsoft-releases-january-2023-security-updates

概要
複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく
ださい。

関連文書 (日本語)
マイクロソフト株式会社
2023 年 1 月のセキュリティ更新プログラム (月例)
https://msrc-blog.microsoft.com/2023/1/10/202301-security-update/

JPCERT/CC 注意喚起
2023年1月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2023/at230002.html

【2】Windows 8.1サポートは2023年1月10日に終了しました

情報源
マイクロソフト株式会社
Windows 8.1サポートは 2023 年 1 月 10 日に終了しました
https://prod.support.services.microsoft.com/ja-jp/windows/windows-8-1%E3%82%B5%E3%83%9D%E3%83%BC%E3%83%88%E3%81%AF-2023-%E5%B9%B4-1-%E6%9C%88-10-%E6%97%A5%E3%81%AB%E7%B5%82%E4%BA%86%E3%81%97%E3%81%BE%E3%81%99-3cfd4cde-f611-496a-8057-923fba401e93

概要
Windows 8.1は2023年1月10日にサポートが終了しました。この時点で、テクニ
カルアシスタンスとソフトウェア更新プログラムは提供されなくなります。Windows 8.1
を実行しているデバイスがある場合は、より最新のサービスおよびサポートさ
れているWindowsリリースにアップグレードすることをお勧めします。デバイ
スがWindowsのより最新のリリースを実行するための技術的な要件を満たして
いない場合は、デバイスをWindows 11をサポートするデバイスに置き換えるこ
とをお勧めします。

また、同社が提供するWindows 7 ESU、Windows Server 2008 ESU、Windows Server 2008 R2 ESU
のサポートも終了しました。

関連文書 (日本語)
情報処理推進機構（IPA）
Windows 8.1 のサポート終了に伴う注意喚起
https://www.ipa.go.jp/security/announce/win8_1_eos.html

【3】複数のアドビ製品に脆弱性

情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2023/01/10/adobe-releases-security-updates-multiple-products

概要
複数のアドビ製品には、脆弱性があります。結果として、攻撃者が用意した悪
意のあるコンテンツをユーザーが開いた場合、任意のコードが実行されるなど
の可能性があります。

対象となる製品は次のとおりです。

- Adobe Acrobat
- Adobe Acrobat Reader
- Adobe InDesign
- Adobe InCopy
- Adobe Dimension

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
Adobe AcrobatおよびReaderの脆弱性（APSB23-01）に関する注意喚起
https://www.jpcert.or.jp/at/2023/at230001.html

JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2023011101.html

関連文書 (英語)
アドビ
Security update available for Adobe Acrobat and Reader | APSB23-01
https://helpx.adobe.com/security/products/acrobat/apsb23-01.html

アドビ
Security Update Available for Adobe InDesign | APSB23-07
https://helpx.adobe.com/security/products/indesign/apsb23-07.html

アドビ
Security Update Available for Adobe InCopy | APSB23-08
https://helpx.adobe.com/security/products/incopy/apsb23-08.html

アドビ
Security updates available for Dimension | APSB23-10
https://helpx.adobe.com/security/products/dimension/apsb23-10.html

【4】複数のJuniper Networks製品に脆弱性

情報源
CISA Current Activity
Juniper Networks Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2023/01/12/juniper-networks-releases-security-updates-multiple-products

概要
複数のJuniper Networks製品には、脆弱性があります。結果として、遠隔の第
三者がサービス運用妨害（DoS）攻撃を行うなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はJuniper Networksが提供するア
ドバイザリ情報を参照してください。

この問題は、該当する製品をJuniper Networksが提供する修正済みのバージョン
に更新することで解決します。詳細は、Juniper Networksが提供する情報を参
照してください。

関連文書 (英語)
Juniper Networks
Juniper Support Portal Search Results - Security Advisories
https://supportportal.juniper.net/s/global-search/%40uri?#f:ctype=[Security Advisories]

【5】DrupalのPrivate Taxonomy Termsモジュールに脆弱性

情報源
CISA Current Activity
Drupal Releases Security Update to Address Vulnerability in Private Taxonomy Terms
https://www.cisa.gov/uscert/ncas/current-activity/2023/01/12/drupal-releases-security-update-address-vulnerability-private

概要
DrupalのPrivate Taxonomy Termsモジュールには、taxonomy overview pageと
overview formに対して適切にパーミッションを実施しない脆弱性があります。

対象となるモジュールおよびバージョンは次のとおりです。

- Drupal 8系向けのPrivate Taxonomy Terms 8.x-2.6より前のバージョン

この問題は、開発者が提供する修正済みのバージョンに更新することで解決し
ます。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
Drupal
Private Taxonomy Terms - Moderately critical - Access bypass - SA-CONTRIB-2023-001
https://www.drupal.org/sa-contrib-2023-001

【6】Google Chromeに複数の脆弱性

情報源
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2023/01/stable-channel-update-for-desktop.html

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 109.0.5414.74（Linux版）より前のバージョン
- Google Chrome 109.0.5414.74/.75（Windows版）より前のバージョン
- Google Chrome 109.0.5414.87（Mac版）より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

【7】OpenAM Web Policy Agent(OpenAMコンソーシアム版)にパストラバーサル脆弱性

情報源
Japan Vulnerability Notes JVNVU#91740661
OpenAM Web Policy Agent (OpenAMコンソーシアム版)におけるパストラバーサル脆弱性
https://jvn.jp/vu/JVNVU91740661/

概要
OpenAM Web Policy Agent（OpenAMコンソーシアム版）には、パストラバーサ
ルの脆弱性があります。結果として、第三者がドキュメントルート外のファイ
ルにアクセスする可能性があります。また、アクセスを許可されていない第三
者が、保護されたリソースにアクセスする可能性があります。

対象となるバージョンは次のとおりです。

- OpenAM Web Policy Agent（OpenAMコンソーシアム版）バージョン 4.1.0

この問題は、該当製品に開発者が提供する情報をもとにパッチを適用すること
で解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
OpenAMコンソーシアム
web-agentsリポジトリ
https://github.com/openam-jp/web-agents

OpenAMコンソーシアム
issue#3: CVE-2023-22320
https://github.com/openam-jp/web-agents/issues/3

【8】TP-Link SG105PEに認証回避の脆弱性

情報源
Japan Vulnerability Notes JVN#78481846
TP-Link SG105PE における認証回避の脆弱性
https://jvn.jp/jp/JVN78481846/

概要
TP-Link SG105PEには、認証回避の脆弱性があります。結果として、悪意のあ
る第三者が特定の条件下で、管理者の権限で情報を閲覧したり、設定を変更し
たりする可能性があります。

対象となるバージョンは次のとおりです。

- TP-Link SG105PE 「TL-SG105PE(UN) 1.0_1.0.0 Build 20221208」より前のファームウェア

この問題は、該当製品を開発者が提供する情報をもとに、ファームウェアを最
新版へアップデートすることで解決します。詳細は、開発者が提供する情報を
参照してください。

関連文書 (日本語)
TP-Link
TL-SG105PE V1 のコンテンツ
https://www.tp-link.com/jp/support/download/tl-sg105pe/v1/#Firmware

TP-Link
イージースマートスイッチ | TL-SG105PE
https://www.tp-link.com/jp/business-networking/easy-smart-switch/tl-sg105pe/

【9】pgAdmin 4にオープンリダイレクトの脆弱性

情報源
Japan Vulnerability Notes JVN#03832974
pgAdmin 4 におけるオープンリダイレクトの脆弱性
https://jvn.jp/jp/JVN03832974/

概要
pgAdmin Projectが提供するpgAdmin 4には、オープンリダイレクトの脆弱性が
あります。結果として、細工されたURLにアクセスすることで、任意のウェブ
サイトにリダイレクトされる可能性があります。

対象となるバージョンは次のとおりです。

- pgAdmin 4 v6.14より前のバージョン

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
pgAdmin Project
pgAdmin - PostgreSQL Tools
https://www.pgadmin.org/

pgAdmin Project
GitHub pgadmin-org / pgadmin4
https://github.com/pgadmin-org/pgadmin4

pgAdmin Project
Open URL Redirect Vulnerability #5343
https://github.com/pgadmin-org/pgadmin4/issues/5343

【10】Intel製oneAPIツールキットに権限昇格の脆弱性

情報源
Japan Vulnerability Notes JVNVU#94327726
Intel製oneAPIツールキットにおける権限昇格の脆弱性
https://jvn.jp/vu/JVNVU94327726/

概要
Intelから権限昇格の脆弱性に対応したoneAPIツールキット向けのアップデー
トが公開されました。

対象となる製品およびバージョンは次のとおりです。

- Intel oneAPI DPC++/C++ Compiler 2022.2.1より前のバージョン
- Intel C++ Compiler Classic 2021.8より前のバージョン

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Intel製品に関する脆弱性について
https://www.jpcert.or.jp/newsflash/2023011102.html

関連文書 (英語)
Intel Corporation
INTEL-SA-00773: Intel oneAPI Toolkit software Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00773.html

Intel Corporation
Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html

【11】CLUSTERPRO Xに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#937040474
CLUSTERPRO Xにおける複数の脆弱性
https://jvn.jp/vu/JVNVU93704047/

概要
日本電気株式会社が提供するCLUSTERPRO Xには、複数の脆弱性があります。結
果として、遠隔の第三者が既存ファイルを上書きし、任意のコードを実行する
可能性があります。

対象となるバージョンは多岐にわたります。

この問題は、該当製品に開発者が提供する修正パッチを適用するか回避策を適
用することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
日本電気株式会社
CLUSTERPRO X に複数の脆弱性
https://jpn.nec.com/security-info/secinfo/nv22-014.html

【12】MAHO-PBX NetDevancerシリーズに複数の脆弱性

情報源
Japan Vulnerability Notes JVN#99957889
MAHO-PBX NetDevancerシリーズにおける複数の脆弱性
https://jvn.jp/jp/JVN99957889/

概要
株式会社まほろば工房が提供するMAHO-PBX NetDevancerシリーズには、複数の
脆弱性があります。結果として、遠隔の第三者が任意のOSコマンドを実行する
などの可能性があります。

対象となるバージョンは次のとおりです。

- MAHO-PBX NetDevancer Lite/Uni/Pro/Cloud Ver.1.11.00より前のバージョン
- MAHO-PBX NetDevancer VSG Lite/Uni Ver.1.11.00より前のバージョン
- MAHO-PBX NetDevancer MobileGate Home/Office Ver.1.11.00より前のバージョン

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
株式会社まほろば工房
MAHO-PBX NetDevancerにおける複数の脆弱性につきまして
https://www.ate-mahoroba.jp/netdevancer/download/JVN99957889.pdf

【13】ピクセラ製PIX-RT100に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#57296685
ピクセラ製 PIX-RT100 における複数の脆弱性
https://jvn.jp/jp/JVN57296685/

概要
株式会社ピクセラが提供するPIX-RT100には、複数の脆弱性があります。結果
として、隣接ネットワーク上の第三者が、ドキュメント化されていないTelnet
サービスまたはSSHサービスを介して当該製品にアクセスする可能性がありま
す。

対象となるバージョンは次のとおりです。

- PIX-RT100 バージョン RT100_TEQ_2.1.1_EQ101およびRT100_TEQ_2.1.2_EQ101

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
株式会社ピクセラ
PIX-RT100 アップデート
https://www.pixela.co.jp/products/network/pix_rt100/update.html

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CCが「Malware Analysis Operations（MAOps）の自動化」を公開

2023年1月10日、JPCERT/CCは「Malware Analysis Operations（MAOps）の自動
化」を公開しました。JPCERT/CCで行っているクラウド上でのマルウェア分析
の自動化方法について、事例をもとに紹介しています。クラウドサービスを活
用して日々のマルウェア分析の効率化に取り組む一助となれば幸いです。

参考文献 (日本語)
JPCERT/CC Eyes
Malware Analysis Operations（MAOps）の自動化
https://blogs.jpcert.or.jp/ja/2023/01/cloud_malware_analysis.html

―――――――――――――――――――――――――――――――――

目 次

【1】FortiADCにOSコマンドインジェクションの脆弱性
【2】Synology VPN Plus Serverに任意のコード実行の脆弱性
【3】デジタルアーツ製m-FILTERに認証不備の脆弱性
【4】Apache TomcatのJsonErrorReportValveにエスケープ処理不備の問題
【5】ruby-gitに複数のコードインジェクションの脆弱性
【今週のひとくちメモ】JASAが「2023年 情報セキュリティ十大トレンド」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2023/wr230112.html
https://www.jpcert.or.jp/wr/2023/wr230112.xml
============================================================================

【1】FortiADCにOSコマンドインジェクションの脆弱性

情報源
CISA Current Activity
Fortinet Releases Security Updates for FortiADC
https://www.cisa.gov/uscert/ncas/current-activity/2023/01/04/fortinet-releases-security-updates-fortiadc

概要
FortiADCには、OSコマンドインジェクションの脆弱性があります。結果として、
当該製品のWeb GUIにアクセス可能な第三者が、任意のコードまたはコマンドを
実行する可能性があります。

対象となるバージョンは次のとおりです。

- FortiADC バージョン7.0.0から7.0.1まで
- FortiADC バージョン6.2.0から6.2.3まで
- FortiADC バージョン6.1.0から6.1.6まで
- FortiADC バージョン6.0.0から6.0.4まで
- FortiADC バージョン5.4.0から5.4.5まで

この問題は、該当製品をFortinetが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Fortinetが提供する情報を参照してください。

関連文書 (英語)
Fortinet
FortiADC - command injection in web interface
https://www.fortiguard.com/psirt/FG-IR-22-061

【2】Synology VPN Plus Serverに任意のコード実行の脆弱性

情報源
Synology
Synology-SA-22:26 VPN Plus Server
https://www.synology.com/en-us/security/advisory/Synology_SA_22_26

概要
Synology VPN Plus Serverには、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行する可能性があります。

対象となるバージョンは次のとおりです。

- VPN Plus Server for SRM 1.3 1.4.4-0635より前のバージョン
- VPN Plus Server for SRM 1.2 1.4.3-0534より前のバージョン

この問題は、該当製品をSynologyが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Synologyが提供する情報を参照してください。

【3】デジタルアーツ製m-FILTERに認証不備の脆弱性

情報源
Japan Vulnerability Notes JVN#55675303
デジタルアーツ製 m-FILTER における認証不備の脆弱性
https://jvn.jp/jp/JVN55675303/

概要
デジタルアーツ株式会社が提供するm-FILTERには、特定の条件下においてメー
ル送信時に認証不備の脆弱性があります。結果として、遠隔の第三者によって
意図しないメールを送信される可能性があります。

対象となるバージョンは次のとおりです。

- m-FILTER Ver.5.70R01より前のバージョン (Ver.5系)
- m-FILTER Ver.4.87R04より前のバージョン (Ver.4系)

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。なお、m-FILTER@Cloudについては2022年12月23日のメンテ
ナンスで修正済みとのことです。詳細は、開発者が提供する情報を参照して
ください。

関連文書 (日本語)
デジタルアーツ株式会社
m-FILTER Ver.5 (要ログイン)
https://download.daj.co.jp/support/detail/?page=version&type=6&division=12

デジタルアーツ株式会社
m-FILTER Ver.4 (要ログイン)
https://download.daj.co.jp/support/detail/?page=version&type=6&division=13

デジタルアーツ株式会社
m-FILTER@Cloud (要ログイン)
https://download.daj.co.jp/support/detail/?page=version&type=5&division=2

【4】Apache TomcatのJsonErrorReportValveにエスケープ処理不備の問題

情報源
Japan Vulnerability Notes JVNVU#92183876
Apache TomcatのJsonErrorReportValveにおけるエスケープ処理不備の問題
https://jvn.jp/vu/JVNVU92183876/

概要
Apache TomcatのJsonErrorReportValveクラスには、エスケープ処理不備の問題
があります。結果として、JSON出力を無効化されたり、操作されたりする可能
性があります。

対象となるバージョンは次のとおりです。

- Apache Tomcat 10.1.0-M1から10.1.1までのバージョン
- Apache Tomcat 9.0.40から9.0.68までのバージョン
- Apache Tomcat 8.5.83

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
The Apache Software Foundation
[SECURITY] CVE-2022-45143 Apache Tomcat - JsonErrorReportValve injection
https://lists.apache.org/thread/yqkd183xrw3wqvnpcg3osbcryq85fkzj

The Apache Software Foundation
Fixed in Apache Tomcat 10.1.2
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.2

The Apache Software Foundation
Fixed in Apache Tomcat 9.0.69
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.69

The Apache Software Foundation
Fixed in Apache Tomcat 8.5.84
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.84

【5】ruby-gitに複数のコードインジェクションの脆弱性

情報源
Japan Vulnerability Notes JVN#16765254
ruby-git における複数のコードインジェクションの脆弱性
https://jvn.jp/jp/JVN16765254/

概要
ruby-gitには、複数のコードインジェクションの脆弱性があります。結果とし
て、任意のrubyコードを実行される可能性があります。

対象となるバージョンは次のとおりです。

- ruby-git v1.13.0より前のバージョン

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
ruby-git
GitHub | ruby-git / ruby-git
https://github.com/ruby-git/ruby-git

ruby-git
In ls-files do not unescape file paths with eval #602
https://github.com/ruby-git/ruby-git/pull/602

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JASAが「2023年 情報セキュリティ十大トレンド」を公開

2023年1月6日、日本セキュリティ監査協会（JASA）は、「情報セキュリティ監
査人が選ぶ2023年の情報セキュリティ十大トレンド」を公開しました。
このトレンド調査は、協会の公認情報セキュリティ監査人資格認定制度により
認定を受けた情報セキュリティ監査人を対象としたアンケートにより選ばれた
ものです。
2023年のトレンドは、さまざまなITシステムが業態や規模を超えてネットワー
クでつながることにより、局所的なシステム障害が全国にまたがるネットワー
クの機能不全につながりかねないこと、また、ネットワーク化されたITシステ
ムが産業活動・国民生活を支えるインフラとなっており、そのセキュリティが
安全保障の観点からも注目されてきていることなどを懸念したトピックが上位
に挙げられています。

参考文献 (日本語)
日本セキュリティ監査協会（JASA）
監査人の警鐘- 2023年 情報セキュリティ十大トレンド
https://www.jasa.jp/seminar/sec_trend2023/

――――――――――――――――――――――――――――――――――――――

目 次

【1】富士電機製V-SFT、TELLUSおよびV-Serverに複数の脆弱性
【今週のひとくちメモ】「サイバー攻撃被害に係る情報の共有・公表ガイダンス（案）」に関する意見募集

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2023/wr230106.html
https://www.jpcert.or.jp/wr/2023/wr230106.xml
============================================================================

【1】富士電機製V-SFT、TELLUSおよびV-Serverに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#90679513
富士電機製V-SFTおよびTELLUSにおける複数の脆弱性
https://jvn.jp/vu/JVNVU90679513/

Japan Vulnerability Notes JVNVU#92811888
富士電機製V-Serverにおける複数の脆弱性
https://jvn.jp/vu/JVNVU92811888/

概要
富士電機株式会社が提供するV-SFT、TELLUSおよびV-Serverには、複数の脆弱
性があります。結果として、ユーザーが細工されたファイルを開くことで、情
報が漏えいしたり、任意のコードが実行されたりする可能性があります。

対象となる製品およびバージョンは次のとおりです。

- V-SFT v6.1.7.0およびそれ以前
- TELLUS v4.0.12.0およびそれ以前
- V-Server v4.0.12.0およびそれ以前

この問題は、当該製品を富士電機株式会社が提供する修正済みのバージョンに
更新することで解決します。詳細は、富士電機株式会社が提供する情報を参照
してください。

関連文書 (日本語)
富士電機株式会社／発紘電機株式会社
作画ソフトV-SFT Ver.6 改善情報
https://hakko-elec.co.jp/site/download/09vsft6_inf/

富士電機株式会社／発紘電機株式会社
TELLUS and V-Server 改善情報
https://hakko-elec.co.jp/site/download/03tellus_inf/

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○「サイバー攻撃被害に係る情報の共有・公表ガイダンス（案）」に関する意見募集

サイバーセキュリティ協議会運営委員会の下に設置された「サイバー攻撃被害
に係る情報の共有・公表ガイダンス検討会」は、サイバー攻撃を受けた被害組
織がサイバーセキュリティ関係組織とサイバー攻撃被害に係る情報を共有する
際の実務上の参考となるガイダンスの策定に向けて討議を行い、2022年12月
26日、「サイバー攻撃被害に係る情報の共有・公表ガイダンス（案）」を公開
しました。2022年12月27日（火）から2023年1月30日（月）までの間、同ガイ
ダンス案について、意見を募集しています。意見募集の詳細や意見提出方法な
どは関係各省のWebページをご覧ください。

参考文献 (日本語)
JPCERT/CC
「サイバー攻撃被害に係る情報の共有・公表ガイダンス（案）」に対する意見募集を開始
https://www.jpcert.or.jp/press/2023/20230105-pubcomm-sharing_and_disclosure.html

――――――――――――――――――――――――――――――――――――――