« ■01/08(日)~01/14(土) のセキュリティ関連情報 | メイン | ■01/22(日)~01/28(土) のセキュリティ関連情報 »

2023年1月25日 (水)

■01/15(日)~01/21(土) のセキュリティ関連情報

目 次

【1】Firefoxに複数の脆弱性
【2】Cisco Unified Communications ManagerにSQLインジェクションの脆弱性
【3】Drupalに複数の脆弱性
【4】2023年1月Oracle Critical Patch Updateについて
【5】Apache HTTP Serverに複数の脆弱性
【6】WordPress用プラグインWelcart e-Commerceにディレクトリトラバーサルの脆弱性
【7】Pgpool-IIに情報漏えいの脆弱性
【8】TP-Link製ルーターに複数の脆弱性
【9】Netcomm製ルーターに複数の脆弱性
【今週のひとくちメモ】JPCERT/CCが2022年10月~2022年12月分の「活動四半期レポート」「インシデント報告対応レポート」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2023/wr230125.html
https://www.jpcert.or.jp/wr/2023/wr230125.xml
============================================================================


【1】Firefoxに複数の脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox
https://www.cisa.gov/uscert/ncas/current-activity/2023/01/18/mozilla-releases-security-updates-firefox

概要
Firefoxには、複数の脆弱性があります。結果として、遠隔の第三者が任意の
ファイルを読み取るなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 109より前のバージョン
- Mozilla Firefox ESR 102.7より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)
Mozilla
Mozilla Foundation Security Advisory 2023-01
https://www.mozilla.org/en-US/security/advisories/mfsa2023-01/

Mozilla
Mozilla Foundation Security Advisory 2023-02
https://www.mozilla.org/en-US/security/advisories/mfsa2023-02/

【2】Cisco Unified Communications ManagerにSQLインジェクションの脆弱性

情報源
CISA Current Activity
Cisco Releases Security Advisory for Unified CM and Unified CM SME
https://www.cisa.gov/uscert/ncas/current-activity/2023/01/20/cisco-releases-security-advisory-unified-cm-and-unified-cm-sme

概要
Cisco Unified Communications Managerには脆弱性があります。結果として、
遠隔の第三者がデータベースのデータの読み取りや変更、権限を昇格するなど
の可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Cisco Unified CM および Unified CM SME ファームウェアバージョン11.5(1)およびそれ以前
- Cisco Unified CM および Unified CM SME ファームウェアバージョン12.5(1)およびそれ以前
- Cisco Unified CM および Unified CM SME ファームウェアバージョン14およびそれ以前

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco Security Advisory
Cisco Unified Communications Manager SQL Injection Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-sql-rpPczR8n

【3】Drupalに複数の脆弱性

情報源
CISA Current Activity
Drupal Releases Security Advisories to Address Multiple Vulnerabilities
https://www.cisa.gov/uscert/ncas/current-activity/2023/01/20/drupal-releases-security-advisories-address-multiple

概要
Drupalには複数の脆弱性があります。結果として、コンテンツの編集権限を持
つ攻撃者が、アクセスを許可されていないメディアアイテムのメタデータを
閲覧するなどの可能性があります。

対象となるバージョンおよびモジュールは次のとおりです。

- Drupal 8.0.0以上9.4.10より前のバージョン
- Drupal 9.5.0以上9.5.2より前のバージョン
- Drupal 10.0.0以上10.0.2より前のバージョン
- Entity Browser 8.x-2.9より前のバージョン
- Media Library Block 1.0以上1.0.4より前のバージョン
- Media Library Form API Element 2.0以上2.0.6より前のバージョン
- Media Library Form API Element 8.x-1系のすべてのバージョン

この問題は、Drupalが提供する修正済みのバージョンに更新することで解決し
ます。詳細は、Drupalが提供する情報を参照してください。

関連文書 (英語)
Drupal
Drupal core - Moderately critical - Information Disclosure - SA-CORE-2023-001
https://www.drupal.org/sa-core-2023-001

Drupal
Entity Browser - Moderately critical - Information Disclosure - SA-CONTRIB-2023-002
https://www.drupal.org/sa-contrib-2023-002

Drupal
Media Library Block - Moderately critical - Information Disclosure - SA-CONTRIB-2023-003
https://www.drupal.org/sa-contrib-2023-003

Drupal
Media Library Form API Element - Moderately critical - Information Disclosure - SA-CONTRIB-2023-004
https://www.drupal.org/sa-contrib-2023-004

【4】2023年1月Oracle Critical Patch Updateについて

情報源
JPCERT/CC 注意喚起
2023年1月Oracle製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2023/at230003.html

概要
Oracleから複数の製品およびコンポーネントに含まれる脆弱性に対応した
Oracle Critical Patch Update Advisoryが公開されました。

詳細は、Oracleが提供する情報を参照してください。

関連文書 (英語)
Oracle Corporation
Oracle Critical Patch Update Advisory - January 2023
https://www.oracle.com/security-alerts/cpujan2023.html

【5】Apache HTTP Serverに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#99928083
Apache HTTP Server 2.4における複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU99928083/

概要
Apache HTTP Server 2.4系には、複数の脆弱があります。結果として、攻撃者
によって、プロセスをクラッシュされるなどの可能性があります。

対象となるバージョンは次のとおりです。

Apache HTTP Server 2.4.54およびそれ以前

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
The Apache Software Foundation
Apache HTTP Server 2.4.55 Released
https://downloads.apache.org/httpd/Announcement2.4.html

【6】WordPress用プラグインWelcart e-Commerceにディレクトリトラバーサルの脆弱性

情報源
Japan Vulnerability Notes JVN#31073333
WordPress 用プラグイン Welcart e-Commerce におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN31073333/

概要
コルネ株式会社が提供するWordPress用プラグインWelcart e-Commerceには、
ディレクトリトラバーサルの脆弱性があります。結果として、遠隔の第三者に
よって、サーバー上の任意のファイルを閲覧される可能性があります。

対象となるバージョンは次のとおりです。

Welcart e-Commerce 2.6.0 から 2.8.5 まで

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
Welcart
Welcart 2.8.6 をリリースしました【脆弱性の修正】
https://www.welcart.com/archives/17865.html

【7】Pgpool-IIに情報漏えいの脆弱性

情報源
Japan Vulnerability Notes JVN#72418815
Pgpool-II における情報漏えいの脆弱性
https://jvn.jp/jp/JVN72418815/

概要
PgPool Global Development Groupが提供するPgpool-IIには、情報漏えいの脆
弱性があります。結果として、取得した認証情報でログインした攻撃者によっ
て、データベース内の情報を改ざんされるなどの可能性があります。

対象となるバージョンは多岐にわたります。

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するか
回避策を適用することで解決します。詳細は、開発者が提供する情報を参照し
てください。

関連文書 (日本語)
PgPool Global Development Group
Pgpool-II 4.4.2, 4.3.5, 4.2.12, 4.1.15, 4.0.22 がリリースされました (2023/01/23)
https://www.pgpool.net/mediawiki/jp/index.php/%E3%83%A1%E3%82%A4%E3%83%B3%E3%83%9A%E3%83%BC%E3%82%B8#What.27s_new

【8】TP-Link製ルーターに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#97719125
TP-Link製ルータにおける複数の脆弱性
https://jvn.jp/vu/JVNVU97719125/

概要
TP-Link製ルーターには、複数の脆弱性があります。結果として、遠隔の第三者
によって、任意のコードを実行されたりするなどの可能性があります。

対象となる製品は次のとおりです。

- TL-WR710N V1 ファームウェア 151022 (公開日 2015-10-22)
- Archer C5 V2 ファームウェア 160201 (公開日 2016-02-01)

2023年1月25日時点では、本脆弱性に対するアップデートは提供されていません。

関連文書 (英語)
TP-Link
Download for TL-WR710N V1
https://www.tp-link.com/us/support/download/tl-wr710n/#Firmware

TP-Link
Download for Archer C5 V2
https://www.tp-link.com/us/support/download/archer-c5/#Firmware

【9】Netcomm製ルーターに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#98520511
Netcomm製ルータにおける複数の脆弱性
https://jvn.jp/vu/JVNVU98520511/

概要
Netcommが提供するルーターには、複数の脆弱性が存在あります。結果として、
攻撃者によって、任意のコードを実行される可能性があります。なお、本脆弱
性の実証コードが公開されていることを確認しています。

対象となる製品は次のとおりです。

- NF20
- NF20MESH
- NL1902

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
NetComm Wireless
Firmware
https://support.netcommwireless.com/products/NF20#Firmware


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CCが2022年10月~2022年12月分の「活動四半期レポート」「インシデント報告対応レポート」を公開

2023年1月19日、JPCERT/CCは2022年10月~2022年12月分の「活動四半期レポート」
「インシデント報告対応レポート」を公開しました。本四半期中のJPCERT/CC
の国内外の活動に加え、JPCERT/CCが報告を受け付けたインシデントの統計や
事例などについてまとめています。参考資料としてご活用ください。

参考文献 (日本語)
JPCERT/CC
JPCERT/CC 活動四半期レポート[2022年10月1日~2022年12月31日]
https://www.jpcert.or.jp/pr/2023/PR_Report2022Q3.pdf

JPCERT/CC
JPCERT/CC インシデント報告対応レポート[2022年10月1日~2022年12月31日]
https://www.jpcert.or.jp/pr/2023/IR_Report2022Q3.pdf


――――――――――――――――――――――――――――――――――――――