« ■02/19(日)~02/25(土) のセキュリティ関連情報 | メイン | ■03/05(日)~03/11(土) のセキュリティ関連情報 »

2023年3月 8日 (水)

■02/26(日)~03/04(土) のセキュリティ関連情報

目 次
【1】複数のCisco製品に脆弱性
【2】Trend Micro Apex OneおよびTrend Micro Apex One SaaSに複数の脆弱性
【3】トレンドマイクロ製ウイルスバスター クラウドに複数の脆弱性
【4】EC-CUBEに複数のクロスサイトスクリプティングの脆弱性
【5】IT資産管理ツール「SS1」および「らくらくPCクラウド」に複数の脆弱性
【6】web2pyの開発ツールにオープンリダイレクトの脆弱性
【7】Edgecross基本ソフトウェアWindows版に複数の脆弱性
【8】Trusted Computing GroupのTPM2.0実装に複数の脆弱性
【今週のひとくちメモ】IPAが「情報セキュリティ10大脅威 2023」解説書[組織編]を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2023/wr230308.html
https://www.jpcert.or.jp/wr/2023/wr230308.xml
============================================================================


【1】複数のCisco製品に脆弱性

情報源
CISA Cybersecurity Alerts & Advisories
Cisco Releases Security Advisory for Cisco IP Phones
https://www.cisa.gov/news-events/alerts/2023/03/02/cisco-releases-security-advisory-cisco-ip-phones

概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行したり、サービス運用妨害(DoS)攻撃を行ったりするなどの
可能性があります。

影響を受ける製品、バージョンは多岐にわたります。当該期間中は、計5件の
アドバイザリ(Critical1件、Medium4件)が新たに公開されています。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://sec.cloudapps.cisco.com/security/center/publicationListing.x

Cisco
Cisco IP Phone 6800, 7800, 7900, and 8800 Series Web UI Vulnerabilities
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ip-phone-cmd-inj-KMFynVcP

【2】Trend Micro Apex OneおよびTrend Micro Apex One SaaSに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#96221942
Trend Micro Apex OneおよびTrend Micro Apex One SaaSにおける複数の脆弱性
https://jvn.jp/vu/JVNVU96221942/

概要
Trend Micro Apex OneおよびTrend Micro Apex One SaaSには、複数の脆弱性
があります。結果として、管理サーバーにアクセス可能な第三者が悪意のある
アップロードを行い、サービス運用妨害 (DoS) 攻撃を行うなどの可能性があ
ります。

対象となる製品およびバージョンは次のとおりです。

- Trend Micro Apex One 2019
- Trend Micro Apex One SaaS

この問題は、該当する製品にトレンドマイクロ株式会社が提供するパッチを適
用することで解決します。詳細は、トレンドマイクロ株式会社が提供する情報
を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ:Trend Micro Apex One 及びTrend Micro Apex One SaaSで確認した複数の脆弱性について(2023年02月)
https://success.trendmicro.com/jp/solution/000292220

【3】トレンドマイクロ製ウイルスバスター クラウドに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#96882769
トレンドマイクロ製ウイルスバスター クラウドにおける複数の脆弱性
https://jvn.jp/vu/JVNVU96882769/

概要
トレンドマイクロ製ウイルスバスター クラウドには、複数の脆弱性がありま
す。結果として、攻撃者が権限を昇格するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- ウイルスバスター クラウド バージョン17.7
- ウイルスバスター クラウド バージョン17.0

この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正済みの
バージョンに更新することで解決します。詳細は、トレンドマイクロ株式会社
が提供する情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスター クラウドの脆弱性について(CVE-2022-30687)
https://helpcenter.trendmicro.com/ja-jp/article/tmka-11014

トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスター クラウドの脆弱性について(CVE-2022-34893)
https://helpcenter.trendmicro.com/ja-jp/article/tmka-11054

トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスター クラウドの脆弱性について(CVE-2022-35234/CVE-2022-37347/CVE-2022-37348)
https://helpcenter.trendmicro.com/ja-jp/article/tmka-11055

トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスター クラウドの脆弱性について(CVE-2022-48191)
https://helpcenter.trendmicro.com/ja-jp/article/tmka-11251

【4】EC-CUBEに複数のクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#04785663
EC-CUBE における複数のクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN04785663/

概要
株式会社イーシーキューブが提供するEC-CUBEには、複数のクロスサイトスク
リプティングの脆弱性があります。結果として、当該製品を使用しているサイ
トにアクセスしたユーザーのWebブラウザー上で、任意のスクリプトを実行さ
れるなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- EC-CUBE 4系
- EC-CUBE 4.2.0
- EC-CUBE 4.1.0から4.1.2-p1
- EC-CUBE 4.0.0から4.0.6-p2
- EC-CUBE 3系
- EC-CUBE 3.0.0から3.0.18-p5
- EC-CUBE 2系
- EC-CUBE 2.17.0から2.17.2
- EC-CUBE 2.13.0から2.13.5
- EC-CUBE 2.12.0から2.12.6
- EC-CUBE 2.11.0から2.11.5

この問題は、該当する製品を株式会社イーシーキューブが提供する修正済みの
バージョンに更新することで解決します。詳細は、株式会社イーシーキューブ
が提供する情報を参照してください。

関連文書 (日本語)
株式会社イーシーキューブ
EC-CUBE4系におけるクロスサイトスクリプティングの脆弱性(JVN#04785663)
https://www.ec-cube.net/info/weakness/weakness.php?id=87

株式会社イーシーキューブ
EC-CUBE3系におけるクロスサイトスクリプティングの脆弱性(JVN#04785663)
https://www.ec-cube.net/info/weakness/weakness.php?id=88

株式会社イーシーキューブ
EC-CUBE2系におけるクロスサイトスクリプティングの脆弱性(JVN#04785663)
https://www.ec-cube.net/info/weakness/weakness.php?id=89

【5】IT資産管理ツール「SS1」および「らくらくPCクラウド」に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#57224029
IT 資産管理ツール「SS1」および「らくらくPCクラウド」における複数の脆弱性
https://jvn.jp/jp/JVN57224029/

概要
株式会社ディー・オー・エスが提供する「SS1」および「らくらくPCクラウド」
には、複数の脆弱性があります。結果として、遠隔の第三者がSYSTEM権限で任
意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- SS1 Ver.13.0.0.40およびそれ以前
- らくらくPCクラウド エージェント Ver.2.1.8およびそれ以前

この問題は、該当する製品を株式会社ディー・オー・エスが提供する修正済み
のバージョンに更新することで解決します。詳細は、株式会社ディー・オー・
エスが提供する情報を参照してください。

関連文書 (日本語)
株式会社ディー・オー・エス
弊社製品「SS1」「らくらくPCクラウド」の脆弱性に関するお知らせ
https://www.dos-osaka.co.jp/news/2023/03/230301.html

【6】web2pyの開発ツールにオープンリダイレクトの脆弱性

情報源
Japan Vulnerability Notes JVN#78253670
web2py の開発ツールにおけるオープンリダイレクトの脆弱性
https://jvn.jp/jp/JVN78253670/

概要
web2pyのadmin開発ツールには、オープンリダイレクトの脆弱性があります。
結果として、web2pyの利用者が細工されたURLにアクセスすることで、任意の
Webサイトにリダイレクトされる可能性があります。

対象となる製品およびバージョンは次のとおりです。

- web2py 2.23.1より前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

【7】Edgecross基本ソフトウェアWindows版に複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#96890975
Edgecross 基本ソフトウェア Windows版における複数の脆弱性
https://jvn.jp/vu/JVNVU96890975/

概要
一般社団法人Edgecrossコンソーシアムが提供するEdgecross基本ソフトウェア
Windows版には、複数の脆弱性があります。結果として、マネジメントシェル
のサービスを明示的に停止していない場合、遠隔の第三者がサービス運用妨害
(DoS)攻撃を行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Edgecross基本ソフトウェアWindows版 ECP-BS1-W 1.10から1.26までのバージョン
- 開発者用Edgecross基本ソフトウェアWindows版 ECP-BS1-W-D 1.10から1.26までのバージョン

この問題は、該当する製品を一般社団法人Edgecrossコンソーシアムが提供す
る修正済みのバージョンに更新することで解決します。詳細は、一般社団法人
Edgecrossコンソーシアムが提供する情報を参照してください。

関連文書 (日本語)
一般社団法人Edgecrossコンソーシアム
Edgecross 基本ソフトウェア Windows 版における複数の脆弱性
https://www.edgecross.org/ja/data-download/pdf/ECD-TE10-0005-01-JA.pdf

【8】Trusted Computing GroupのTPM2.0実装に複数の脆弱性

情報源
CERT/CC Vulnerability Note VU#782720
TCG TPM2.0 implementations vulnerable to memory corruption
https://kb.cert.org/vuls/id/782720

Japan Vulnerability Notes JVNVU#95600622
Trusted Computing GroupのTPM2.0実装における複数の脆弱性
https://jvn.jp/vu/JVNVU95600622/

概要
Trusted Computing GroupのTPM2.0実装には、複数の脆弱性があります。結果
として、TPMがクラッシュさせられたり、TPM内で任意のコードが実行されたり
するなどの可能性があります。

対象となる製品は次のとおりです。

- Trusted Computing GroupのTPM2.0を実装した製品

この問題について、Trusted Computing Groupは、これらの脆弱性に対処する
ための説明を記載したErrata for TPM2.0 Library Specificationを公開して
います。ハードウェアおよびソフトウェアメーカーが提供する情報を注視し、
最新のアップデートを適用してください。

関連文書 (英語)
Trusted Computing Group
Errata for TPM Library Specification 2.0
https://trustedcomputinggroup.org/resource/errata-for-tpm-library-specification-2-0/


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○IPAが「情報セキュリティ10大脅威 2023」解説書[組織編]を公開

2023年2月28日、情報処理推進機構(IPA)は「情報セキュリティ10大脅威 2023」
解説書[組織編]を公開しました。これは、IPAが昨年発生した情報セキュリ
ティにおける事案から脅威候補を選出し、情報セキュリティ関連に携わるメンバー
で審議・投票を行い、順位を決定したものに対して各脅威の解説をまとめた資
料です。個人の脅威に対する解説は後日公開予定とのことです。

参考文献 (日本語)
情報処理推進機構(IPA)
情報セキュリティ10大脅威 2023
https://www.ipa.go.jp/security/vuln/10threats2023.html


――――――――――――――――――――――――――――――――――――――