■03/12(日)~03/18(土) のセキュリティ関連情報
目 次
【1】複数のマイクロソフト製品に脆弱性
【2】複数のMozilla製品に脆弱性
【3】複数のアドビ製品に脆弱性
【4】Drupalに不適切なアクセス制御の脆弱性
【5】TP-LINK製T2600G-28SQにおける脆弱なSSHホスト鍵使用
【今週のひとくちメモ】JPCERT/CCが「JSAC2023」の開催レポートを公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2023/wr230323.html
https://www.jpcert.or.jp/wr/2023/wr230323.xml
============================================================================
【1】複数のマイクロソフト製品に脆弱性
情報源
CISA Cybersecurity & Alerts Advisories
Microsoft Releases March 2023 Security Updates
https://www.cisa.gov/news-events/alerts/2023/03/14/microsoft-releases-march-2023-security-updates
概要
複数のマイクロソフト製品には、脆弱性があります。結果として、第三者が
任意のコードを実行するなどの可能性があります。
この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく
ださい。
関連文書 (日本語)
マイクロソフト株式会社
2023 年 3 月のセキュリティ更新プログラム (月例)
https://msrc.microsoft.com/blog/2023/03/202303-security-update/
JPCERT/CC 注意喚起
2023年3月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2023/at230005.html
【2】複数のMozilla製品に脆弱性
情報源
CISA Cybersecurity & Alerts Advisories
Mozilla Releases Security Updates for Firefox 111, Firefox ESR 102.9, and Thunderbird 102.9
https://www.cisa.gov/news-events/alerts/2023/03/14/mozilla-releases-security-updates-firefox-111-firefox-esr-1029-and-thunderbird-1029
概要
複数のMozilla製品には、脆弱性があります。結果として、遠隔の第三者がス
プーフィング攻撃などを行う可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Mozilla Firefox 111より前のバージョン
- Mozilla Firefox ESR 102.9より前のバージョン
- Mozilla Thunderbird 102.9より前のバージョン
この問題は、Mozillaが提供する修正済みのバージョンに更新することで解決
します。詳細は、Mozillaが提供する情報を参照してください。
関連文書 (英語)
Mozilla
Mozilla Foundation Security Advisory 2023-09
https://www.mozilla.org/en-US/security/advisories/mfsa2023-09/
Mozilla
Mozilla Foundation Security Advisory 2023-10
https://www.mozilla.org/en-US/security/advisories/mfsa2023-10/
Mozilla
Mozilla Foundation Security Advisory 2023-11
https://www.mozilla.org/en-US/security/advisories/mfsa2023-11/
【3】複数のアドビ製品に脆弱性
情報源
CISA Cybersecurity & Alerts Advisories
Adobe Releases Security Updates for Multiple Products
https://www.cisa.gov/news-events/alerts/2023/03/14/adobe-releases-security-updates-multiple-products
概要
複数のアドビ製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。
対象となる製品は次のとおりです。
- Adobe Commerce
- Adobe Experience Manager
- Adobe Illustrator
- Adobe Dimension
- Adobe Creative Cloud Desktop Application
- Adobe Substance 3D Stager
- Adobe Photoshop
- Adobe ColdFusion
この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2023031501.html
関連文書 (英語)
アドビ
Security update available for Adobe Commerce | APSB23-17
https://helpx.adobe.com/security/products/magento/apsb23-17.html
アドビ
Security updates available for Adobe Experience Manager | APSB23-18
https://helpx.adobe.com/security/products/experience-manager/apsb23-18.html
アドビ
Security Updates Available for Adobe Illustrator | APSB23-19
https://helpx.adobe.com/security/products/illustrator/apsb23-19.html
アドビ
Security updates available for Dimension | APSB23-20
https://helpx.adobe.com/security/products/dimension/apsb23-20.html
アドビ
Security update available for Adobe Creative Cloud Desktop Application | APSB23-21
https://helpx.adobe.com/security/products/creative-cloud/apsb23-21.html
アドビ
Security updates available for Substance 3D Stager | APSB23-22
https://helpx.adobe.com/security/products/substance3d_stager/apsb23-22.html
アドビ
Security update available for Adobe Photoshop | APSB23-23
https://helpx.adobe.com/security/products/photoshop/apsb23-23.html
アドビ
Security updates available for Adobe ColdFusion | APSB23-25
https://helpx.adobe.com/security/products/coldfusion/apsb23-25.html
【4】Drupalに不適切なアクセス制御の脆弱性
情報源
CISA Current Activity
Drupal Releases Security Advisory to Address Vulnerability in Drupal Core
https://www.cisa.gov/news-events/alerts/2023/03/17/drupal-releases-security-advisory-address-vulnerability-drupal-core
概要
Drupalの複数のバージョンには、不適切なアクセス制御の脆弱性があります。
攻撃者がDrupalの管理者ユーザーのブラウザ上でクロスサイトスクリプティン
グを成功させた場合、本脆弱性を悪用して機微な情報にアクセスが可能となり、
さらなる攻撃に悪用される可能性があります。
対象となるバージョンは次のとおりです。
- Drupal 10.0.5より前の10.0系のバージョン
- Drupal 9.5.5より前の9.5系のバージョン
- Drupal 9.4.12より前の9系のバージョン
- Drupal 8系すべてのバージョン
- Drupal 7.95より前の7系のバージョン
なお、8系および9.4より前の9系のバージョンはEOLを迎えていることがアナ
ウンスされております。
この問題は、開発者が提供する修正済みのバージョンに更新することで解決し
ます。詳細は、開発者が提供する情報を参照してください。
関連文書 (英語)
Drupal
Drupal core - Moderately critical - Access bypass - SA-CORE-2023-004
https://www.drupal.org/sa-core-2023-004
【5】TP-LINK製T2600G-28SQにおける脆弱なSSHホスト鍵使用
情報源
Japan Vulnerability Notes JVN#62420378
TP-Link 製 T2600G-28SQ における脆弱な SSH ホスト鍵使用
https://jvn.jp/jp/JVN62420378/
概要
TP-Linkが提供するT2600G-28SQには、脆弱なSSHホスト鍵が使用されています。
結果として、悪意のある第三者が偽のデバイスを用意し、管理者に接続させる
ことで、当該製品に接続する際の認証情報を取得する可能性があります。
対象となるバージョンは次のとおりです。
- T2600G-28SQ「T2600G-28SQ(UN)_V1_1.0.6 Build 20230227」より前のファームウェア
この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
ティーピーリンクジャパン株式会社
T2600G-28SQ のコンテンツ | TP-Link 日本
https://www.tp-link.com/jp/support/download/t2600g-28sq/#Firmware
――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――
○JPCERT/CCが「JSAC2023」の開催レポートを公開
JPCERT/CCは、2023年1月25日、26日にJSAC2023を開催しました。本カンファレ
ンスは、技術情報を共有し、日本国内のセキュリティアナリストの底上げを目
的に開催しており、6回目となりました。今回のJSAC2023では、2日間で12件の
講演、2件のワークショップ、7件のLightning talkを行いました。講演資料の
一部はJSACのWebサイトに公開、掲載しております。開催レポートでは、本カ
ンファレンスの様子をお伝えしています。
参考文献 (日本語)
JPCERT/CC Eyes
JSAC2023 開催レポート~DAY 1~
https://blogs.jpcert.or.jp/ja/2023/03/jsac2023day1.html
JPCERT/CC Eyes
JSAC2023 開催レポート~DAY 2~
https://blogs.jpcert.or.jp/ja/2023/03/jsac2023day2.html
JPCERT/CC Eyes
JSAC2023 開催レポート~DAY 2 Workshop~
https://blogs.jpcert.or.jp/ja/2023/03/jsac2023day2-workshop.html
JSAC2023
JSAC2023 - Time Table -
https://jsac.jpcert.or.jp/timetable.html
――――――――――――――――――――――――――――――――――――――