« ■02/26(日)~03/04(土) のセキュリティ関連情報 | メイン | ■03/12(日)~03/18(土) のセキュリティ関連情報 »

2023年3月15日 (水)

■03/05(日)~03/11(土) のセキュリティ関連情報

目 次


【1】複数のFortinet製品に脆弱性
【2】複数のCisco製品に脆弱性
【3】Apache HTTP Serverに複数の脆弱性
【4】PostgreSQL拡張モジュールpg_ivmに複数の脆弱性
【5】バッファロー製ネットワーク機器に複数の脆弱性
【6】セイコーエプソン製プリンターおよびネットワークインターフェイス製品のWeb Configに複数の脆弱性
【今週のひとくちメモ】「サイバー攻撃被害に係る情報の共有・公表ガイダンス(案)」に対する意見募集の結果及び「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の公表

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2023/wr230315.html
https://www.jpcert.or.jp/wr/2023/wr230315.xml
============================================================================


【1】複数のFortinet製品に脆弱性

情報源
CISA Cybersecurity Alerts & Advisories
Fortinet Releases March 2023 Vulnerability Advisories
https://www.cisa.gov/news-events/alerts/2023/03/09/fortinet-releases-march-2023-vulnerability-advisories

概要
複数のFortinet製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行したり、サービス運用妨害(DoS)攻撃を行ったりするなど
の可能性があります。

影響を受ける製品、バージョンは多岐にわたります。
影響度がCriticalの脆弱性(CVE-2023-25610)の対象製品は次のとおりです。

- FortiOS
- FortiProxy
- FortiOS-6K7K

対象のバージョンは、Fortinetが提供をする情報を参照してください。また、
対象のOSが動作している製品によって影響が異なります。

この問題は、該当する製品をFortinetが提供する修正済みのバージョンに更新
することで解決します。詳細は、Fortinetが提供する情報を参照してください。

関連文書 (日本語)
情報処理推進機構(IPA)
Fortinet 製 FortiOS および FortiProxy の脆弱性対策について(CVE-2023-25610)
https://www.ipa.go.jp/security/ciadr/vul/alert20230309.html

関連文書 (英語)
Fortinet
March 2023 Vulnerability Advisories
https://www.fortiguard.com/psirt-monthly-advisory/march-2023-vulnerability-advisories

Fortinet
FortiOS / FortiProxy - Heap buffer underflow in administrative interface
https://www.fortiguard.com/psirt/FG-IR-23-001

Fortinet
Analysis of FG-IR-22-369
https://www.fortinet.com/blog/psirt-blogs/fg-ir-22-369-psirt-analysis

【2】複数のCisco製品に脆弱性

情報源
CISA Cybersecurity Alerts & Advisories
Cisco Releases Security Advisory for IOS XR Software
https://www.cisa.gov/news-events/alerts/2023/03/09/cisco-releases-security-advisory-ios-xr-software

概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害(DoS)攻撃を行うなどの可能性があります。

影響を受ける製品、バージョンは多岐にわたります。当該期間中は、計2件の
アドバイザリ(High1件、Medium1件)が新たに公開されています。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://sec.cloudapps.cisco.com/security/center/publicationListing.x

Cisco
Cisco IOS XR Software for ASR 9000 Series Routers Bidirectional Forwarding Detection Denial of Service Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-bfd-XmRescbT

Cisco
Cisco IOS XR Software Bootloader Unauthenticated Information Disclosure Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-load-infodisc-9rdOr5Fq

【3】Apache HTTP Serverに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#94155938
Apache HTTP Server 2.4における複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU94155938/

概要
Apache HTTP Server 2.4系には、複数の脆弱性があります。結果として、攻撃
者がプロキシサーバーのアクセス制御をバイパスしたり、キャッシュポイズニン
グを引き起こすなどの可能性があります。

対象となるバージョンは次のとおりです。

- Apache HTTP Server 2.4.55およびそれ以前

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
The Apache Software Foundation
Fixed in Apache HTTP Server 2.4.56
https://httpd.apache.org/security/vulnerabilities_24.html#2.4.56

【4】PostgreSQL拡張モジュールpg_ivmに複数の脆弱性

情報源
Japan Vulnerability Notes JVN#19872280
PostgreSQL 拡張モジュール pg_ivm における複数の脆弱性
https://jvn.jp/jp/JVN19872280/

概要
IVM Development Groupが提供するpg_ivmには、複数の脆弱性があります。結
果として、行レベルセキュリティで保護されているテーブル内の情報が、本来
アクセス権限のないユーザーに漏えいするなどの可能性があります。

対象となる製品は次のとおりです。

- pg_ivm 1.5.1より前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
IVM Development Group
IVM (Incremental View Maintenance) implementation as a PostgreSQL extension
https://github.com/sraoss/pg_ivm

IVM Development Group
pg_ivm 1.5.1 (2023-03-02)
https://github.com/sraoss/pg_ivm/releases/tag/v1.5.1

【5】バッファロー製ネットワーク機器に複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#96824262
バッファロー製ネットワーク機器における複数の脆弱性
https://jvn.jp/vu/JVNVU96824262/

概要
バッファロー製ネットワーク機器には、複数の脆弱性があります。結果として、
当該製品の特定ファイルを窃取され、製品の設定を不正に変更されるなどの可
能性があります。

対象となる製品は多岐にわたります。詳細は、株式会社バッファローが提供す
る情報を参照してください。

この問題は、該当する製品を株式会社バッファローが提供する修正済みのバー
ジョンに更新することで解決します。詳細は、株式会社バッファローが提供す
る情報を参照してください。

関連文書 (日本語)
株式会社バッファロー
スイッチの一部商品における複数の脆弱性とその対処方法
https://www.buffalo.jp/news/detail/20230310-01.html

【6】セイコーエプソン製プリンターおよびネットワークインターフェイス製品のWeb Configに複数の脆弱性

情報源
Japan Vulnerability Notes JVN#82424996
セイコーエプソン製プリンターおよびネットワークインターフェイス製品の Web Config における複数の脆弱性
https://jvn.jp/jp/JVN82424996/

概要
セイコーエプソン株式会社が提供するプリンターおよびネットワークインター
フェイス製品のWeb Configには、複数の脆弱性があります。結果として、当該
製品の設定画面にアクセスしたユーザーのWebブラウザー上で、任意のスクリ
プトを実行されるなどの可能性があります。

対象となる製品は多岐にわたります。

この問題は、該当する製品をセイコーエプソン株式会社が提供する修正済みの
バージョンに更新するまたは回避策を適用することで解決します。なお、対策
ファームウェアは 2023年4月以降順次リリース予定とのことです。詳細は、セ
イコーエプソン株式会社が提供する情報を参照してください。

関連文書 (日本語)
セイコーエプソン株式会社
プリンターおよびネットワークインターフェイス製品のWeb Configにおける脆弱性について
https://www.epson.jp/support/misc_t/230308_oshirase.htm


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○「サイバー攻撃被害に係る情報の共有・公表ガイダンス(案)」に対する意見募集の結果及び「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の公表

2023年3月8日、「サイバー攻撃被害に係る情報の共有・公表ガイダンス」が策
定されました。本ガイダンスは、サイバー攻撃を受けた被害組織がサイバーセ
キュリティ関係組織とサイバー攻撃被害に係る情報を共有する際の実務上の参
考となるポイントをFAQ形式でまとめたもので、2022年12月26日に公開されたガ
イダンス案への意見募集を踏まえて公開されました。
JPCERT/CCは同検討会の共同事務局を務め、ガイダンス素案の作成を行いました。

参考文献 (日本語)
経済産業省
「サイバー攻撃被害に係る情報の共有・公表ガイダンス(案)」に対する意見募集の結果及び「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の公表
https://www.meti.go.jp/press/2022/03/20230308006/20230308006.html


――――――――――――――――――――――――――――――――――――――