« ■01/15(日)~01/21(土) のセキュリティ関連情報 | メイン | ■01/29(日)~02/04(土) のセキュリティ関連情報 »

2023年2月 1日 (水)

■01/22(日)~01/28(土) のセキュリティ関連情報

目 次

【1】複数のApple製品に脆弱性
【2】VMware vRealize Log Insightに複数の脆弱性
【3】ISC BIND 9に複数の脆弱性
【4】Google Chromeに複数の脆弱性
【5】pgAdmin 4にディレクトリトラバーサルの脆弱性
【6】EasyMailにクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】IPAが「情報セキュリティ10大脅威 2023」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2023/wr230201.html
https://www.jpcert.or.jp/wr/2023/wr230201.xml
============================================================================


【1】複数のApple製品に脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2023/01/24/apple-releases-security-updates-multiple-products

概要
複数のApple製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Safari 16.3より前のバージョン
- iOS 12.5.7より前の12系バージョン
- iOS 15.7.3より前の15系バージョン
- iOS 16.3より前の16系バージョン
- iPadOS 15.7.3より前の15系バージョン
- iPadOS 16.3より前の16系バージョン
- macOS Big Sur 11.7.3より前のバージョン
- macOS Monterey 12.6.3より前のバージョン
- macOS Ventura 13.2より前のバージョン
- watchOS 9.3より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Apple製品のアップデートについて(2022年12月)
https://www.jpcert.or.jp/newsflash/2022121401.html

Apple
Safari 16.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213600

Apple
iOS 12.5.7 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213597

Apple
iOS 15.7.3 および iPadOS 15.7.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213598

Apple
iOS 16.3 および iPadOS 16.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213606

Apple
macOS Big Sur 11.7.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213603

Apple
macOS Monterey 12.6.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213604

Apple
macOS Ventura 13.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213605

Apple
watchOS 9.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213599

【2】VMware vRealize Log Insightに複数の脆弱性

情報源
CISA Current Activity
VMware Releases Security Updates for VMware vRealize Log Insight
https://www.cisa.gov/uscert/ncas/current-activity/2023/01/25/vmware-releases-security-updates-vmware-vrealize-log-insight

概要
VMware vRealize Log Insightには、複数の脆弱性があります。結果として、
遠隔の第三者が、認証なしで任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。詳細はVMwareが提供する情報を参照してく
ださい。

- VMware vRealize Log Insight
- VMware Cloud Foundation (VMware vRealize Log Insight)

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
るか、回避策を適用することで解決します。詳細は、VMwareが提供する情報を
参照してください。

関連文書 (英語)
VMware
VMSA-2023-0001
https://www.vmware.com/security/advisories/VMSA-2023-0001.html

【3】ISC BIND 9に複数の脆弱性

情報源
CISA Current Activity
ISC Releases Security Advisories for Multiple Versions of BIND 9
https://www.cisa.gov/uscert/ncas/current-activity/2023/01/27/isc-releases-security-advisories-multiple-versions-bind-9

概要
ISC BIND 9には、複数の脆弱性があります。結果として、遠隔の第三者がnamed
を異常終了させるなどの可能性があります。

対象となるバージョンは脆弱性によって異なります。詳細は、開発者が提供す
る情報を参照してください。

この問題は、該当する製品をISCが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、ISCが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
ISC BIND 9における複数の脆弱性について(2023年1月)
https://www.jpcert.or.jp/newsflash/2023012601.html

日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(メモリ不足の発生)について(CVE-2022-3094)- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2023-01-26-bind9-vuln-dynamic-update.html

日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2022-3736)- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2023-01-26-bind9-vuln-serve-stale-rrsig.html

日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2022-3924)- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2023-01-26-bind9-vuln-serve-stale-softquota.html

Japan Vulnerability Notes JVNVU#98318144
ISC BINDにおける複数の脆弱性
https://jvn.jp/vu/JVNVU98318144

関連文書 (英語)
Internet Systems Consortium, Inc.(ISC)
CVE-2022-3094: An UPDATE message flood may cause named to exhaust all available memory
https://kb.isc.org/docs/cve-2022-3094

Internet Systems Consortium, Inc.(ISC)
CVE-2022-3488: BIND Supported Preview Edition named may terminate unexpectedly when processing ECS options in repeated responses to iterative queries
https://kb.isc.org/docs/cve-2022-3488

Internet Systems Consortium, Inc.(ISC)
CVE-2022-3736: named configured to answer from stale cache may terminate unexpectedly while processing RRSIG queries
https://kb.isc.org/docs/cve-2022-3736

Internet Systems Consortium, Inc.(ISC)
CVE-2022-3924: named configured to answer from stale cache may terminate unexpectedly at recursive-clients soft quota
https://kb.isc.org/docs/cve-2022-3924

【4】Google Chromeに複数の脆弱性

情報源
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2023/01/stable-channel-update-for-desktop_24.html

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 109.0.5414.119より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

【5】pgAdmin 4にディレクトリトラバーサルの脆弱性

情報源
Japan Vulnerability Notes JVN#01398015
pgAdmin 4 におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN01398015/

概要
pgAdmin 4には、ディレクトリトラバーサルの脆弱性があります。結果として
当該製品のユーザーが、別のユーザーの設定を変更したり、データベースを書
き換えたりする可能性があります。

対象となるバージョンは次のとおりです。

- pgAdmin 4 v6.19より前のバージョン

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
pgAdmin
pgAdmin users who are authenticated can access each other's directories and files by providing relative paths #5734
https://github.com/pgadmin-org/pgadmin4/issues/5734

【6】EasyMailにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#05288621
EasyMail におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN05288621

概要
株式会社ファーストネットジャパンが提供するEasyMailには、クロスサイトス
クリプティングの脆弱性があります。結果として、当該製品を使用しているサ
イトにアクセスしたユーザーのウェブブラウザー上で、任意のスクリプトを実
行される可能性があります。

対象となるバージョンは次のとおりです。

- EasyMail 2.00.130およびそれ以前のバージョン

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
株式会社ファーストネットジャパン
ダウンロード | 無料のメールフォーム作成ツール「EasyMail(イージーメール) 」
https://www.mubag.com/download/


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○IPAが「情報セキュリティ10大脅威 2023」を公開

2023年1月25日、IPAは「情報セキュリティ10大脅威 2023」を公開しました。
「情報セキュリティ10大脅威 2023」は、2022年に発生した社会的に影響が大
きかったと考えられる情報セキュリティにおける事案から「10大脅威選考会」
が脅威候補に対して審議・投票を行い、決定したものです。

参考文献 (日本語)
情報処理推進機構(IPA)
情報セキュリティ10大脅威 2023
https://www.ipa.go.jp/security/vuln/10threats2023.html


――――――――――――――――――――――――――――――――――――――