■01/22(日)~01/28(土) のセキュリティ関連情報
目 次
【1】複数のApple製品に脆弱性
【2】VMware vRealize Log Insightに複数の脆弱性
【3】ISC BIND 9に複数の脆弱性
【4】Google Chromeに複数の脆弱性
【5】pgAdmin 4にディレクトリトラバーサルの脆弱性
【6】EasyMailにクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】IPAが「情報セキュリティ10大脅威 2023」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2023/wr230201.html
https://www.jpcert.or.jp/wr/2023/wr230201.xml
============================================================================
【1】複数のApple製品に脆弱性
情報源
CISA Current Activity
Apple Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2023/01/24/apple-releases-security-updates-multiple-products
概要
複数のApple製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。
対象となる製品は次のとおりです。
- Safari 16.3より前のバージョン
- iOS 12.5.7より前の12系バージョン
- iOS 15.7.3より前の15系バージョン
- iOS 16.3より前の16系バージョン
- iPadOS 15.7.3より前の15系バージョン
- iPadOS 16.3より前の16系バージョン
- macOS Big Sur 11.7.3より前のバージョン
- macOS Monterey 12.6.3より前のバージョン
- macOS Ventura 13.2より前のバージョン
- watchOS 9.3より前のバージョン
この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Apple製品のアップデートについて(2022年12月)
https://www.jpcert.or.jp/newsflash/2022121401.html
Apple
Safari 16.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213600
Apple
iOS 12.5.7 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213597
Apple
iOS 15.7.3 および iPadOS 15.7.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213598
Apple
iOS 16.3 および iPadOS 16.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213606
Apple
macOS Big Sur 11.7.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213603
Apple
macOS Monterey 12.6.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213604
Apple
macOS Ventura 13.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213605
Apple
watchOS 9.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213599
【2】VMware vRealize Log Insightに複数の脆弱性
情報源
CISA Current Activity
VMware Releases Security Updates for VMware vRealize Log Insight
https://www.cisa.gov/uscert/ncas/current-activity/2023/01/25/vmware-releases-security-updates-vmware-vrealize-log-insight
概要
VMware vRealize Log Insightには、複数の脆弱性があります。結果として、
遠隔の第三者が、認証なしで任意のコードを実行するなどの可能性があります。
対象となる製品は次のとおりです。詳細はVMwareが提供する情報を参照してく
ださい。
- VMware vRealize Log Insight
- VMware Cloud Foundation (VMware vRealize Log Insight)
この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
るか、回避策を適用することで解決します。詳細は、VMwareが提供する情報を
参照してください。
関連文書 (英語)
VMware
VMSA-2023-0001
https://www.vmware.com/security/advisories/VMSA-2023-0001.html
【3】ISC BIND 9に複数の脆弱性
情報源
CISA Current Activity
ISC Releases Security Advisories for Multiple Versions of BIND 9
https://www.cisa.gov/uscert/ncas/current-activity/2023/01/27/isc-releases-security-advisories-multiple-versions-bind-9
概要
ISC BIND 9には、複数の脆弱性があります。結果として、遠隔の第三者がnamed
を異常終了させるなどの可能性があります。
対象となるバージョンは脆弱性によって異なります。詳細は、開発者が提供す
る情報を参照してください。
この問題は、該当する製品をISCが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、ISCが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
ISC BIND 9における複数の脆弱性について(2023年1月)
https://www.jpcert.or.jp/newsflash/2023012601.html
日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(メモリ不足の発生)について(CVE-2022-3094)- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2023-01-26-bind9-vuln-dynamic-update.html
日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2022-3736)- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2023-01-26-bind9-vuln-serve-stale-rrsig.html
日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2022-3924)- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2023-01-26-bind9-vuln-serve-stale-softquota.html
Japan Vulnerability Notes JVNVU#98318144
ISC BINDにおける複数の脆弱性
https://jvn.jp/vu/JVNVU98318144
関連文書 (英語)
Internet Systems Consortium, Inc.(ISC)
CVE-2022-3094: An UPDATE message flood may cause named to exhaust all available memory
https://kb.isc.org/docs/cve-2022-3094
Internet Systems Consortium, Inc.(ISC)
CVE-2022-3488: BIND Supported Preview Edition named may terminate unexpectedly when processing ECS options in repeated responses to iterative queries
https://kb.isc.org/docs/cve-2022-3488
Internet Systems Consortium, Inc.(ISC)
CVE-2022-3736: named configured to answer from stale cache may terminate unexpectedly while processing RRSIG queries
https://kb.isc.org/docs/cve-2022-3736
Internet Systems Consortium, Inc.(ISC)
CVE-2022-3924: named configured to answer from stale cache may terminate unexpectedly at recursive-clients soft quota
https://kb.isc.org/docs/cve-2022-3924
【4】Google Chromeに複数の脆弱性
情報源
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2023/01/stable-channel-update-for-desktop_24.html
概要
Google Chromeには、複数の脆弱性があります。
対象となるバージョンは次のとおりです。
- Google Chrome 109.0.5414.119より前のバージョン
この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。
【5】pgAdmin 4にディレクトリトラバーサルの脆弱性
情報源
Japan Vulnerability Notes JVN#01398015
pgAdmin 4 におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN01398015/
概要
pgAdmin 4には、ディレクトリトラバーサルの脆弱性があります。結果として
当該製品のユーザーが、別のユーザーの設定を変更したり、データベースを書
き換えたりする可能性があります。
対象となるバージョンは次のとおりです。
- pgAdmin 4 v6.19より前のバージョン
この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (英語)
pgAdmin
pgAdmin users who are authenticated can access each other's directories and files by providing relative paths #5734
https://github.com/pgadmin-org/pgadmin4/issues/5734
【6】EasyMailにクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#05288621
EasyMail におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN05288621
概要
株式会社ファーストネットジャパンが提供するEasyMailには、クロスサイトス
クリプティングの脆弱性があります。結果として、当該製品を使用しているサ
イトにアクセスしたユーザーのウェブブラウザー上で、任意のスクリプトを実
行される可能性があります。
対象となるバージョンは次のとおりです。
- EasyMail 2.00.130およびそれ以前のバージョン
この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
株式会社ファーストネットジャパン
ダウンロード | 無料のメールフォーム作成ツール「EasyMail(イージーメール) 」
https://www.mubag.com/download/
――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――
○IPAが「情報セキュリティ10大脅威 2023」を公開
2023年1月25日、IPAは「情報セキュリティ10大脅威 2023」を公開しました。
「情報セキュリティ10大脅威 2023」は、2022年に発生した社会的に影響が大
きかったと考えられる情報セキュリティにおける事案から「10大脅威選考会」
が脅威候補に対して審議・投票を行い、決定したものです。
参考文献 (日本語)
情報処理推進機構(IPA)
情報セキュリティ10大脅威 2023
https://www.ipa.go.jp/security/vuln/10threats2023.html
――――――――――――――――――――――――――――――――――――――
