■03/26(日)~04/01(土) のセキュリティ関連情報
目 次
【1】コンテック製CONPROSYS HMI System(CHS)にSQLインジェクションの脆弱性
【2】ジェイテクトエレクトロニクス製Screen Creator Advance 2にメモリバッファエラーの脆弱性
【3】セイコーソリューションズ製SkyBridge MB-A100/A110/A200/A130およびSkySpider MB-R210に複数の脆弱性
【4】HAProxyにHTTPリクエストスマグリングの脆弱性
【5】Sambaに複数の脆弱性
【6】OpenSSLに複数の脆弱性(Security Advisory [28th March 2023])
【7】Mozilla Thunderbirdにサービス運用妨害(DoS)の脆弱性
【8】複数のApple製品に脆弱性
【9】baserCMSに任意のファイルをアップロードされる脆弱性
【10】警視庁が「家庭用ルーターの不正利用に関する注意喚起」を公開
【11】「電子政府における調達のために参照すべき暗号のリスト(CRYPTREC 暗号リスト)」改訂
【12】経済産業省が「サイバーセキュリティ経営ガイドライン」を改訂
【13】JPCERT/CCが「制御システムセキュリティカンファレンス 2023 開催レポート」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
【1】コンテック製CONPROSYS HMI System(CHS)にSQLインジェクションの脆弱性
情報源
https://jvn.jp/vu/JVNVU92145493/
概要
株式会社コンテックが提供するCONPROSYS HMI System(CHS)には、SQLインジェクションの脆弱性があります。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.contec.com/jp/api/downloadlogger?download=/-/media/Contec/jp/support/security-info/contec_security_chs_230331_jp.pdf
【2】ジェイテクトエレクトロニクス製Screen Creator Advance 2にメモリバッファエラーの脆弱性
情報源
https://jvn.jp/vu/JVNVU99710864/
概要
株式会社ジェイテクトエレクトロニクスが提供するScreen Creator Advance 2には、メモリバッファエラーの脆弱性があります。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.electronics.jtekt.co.jp/jp/topics/2023033113960/
【3】セイコーソリューションズ製SkyBridge MB-A100/A110/A200/A130およびSkySpider MB-R210に複数の脆弱性
情報源
https://jvn.jp/jp/JVN40604023/
概要
セイコーソリューションズ株式会社が提供するSkyBridge MB-A100/A110/A200/A130およびSkySpider MB-R210には、複数の脆弱性があります。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.seiko-sol.co.jp/archives/73969/
【4】HAProxyにHTTPリクエストスマグリングの脆弱性
情報源
https://jvn.jp/jp/JVN38170084/
概要
HAProxyには、HTTPリクエストスマグリングの脆弱性があります。詳細は開発者が提供する情報を参照してください。
【5】Sambaに複数の脆弱性
情報源
https://www.samba.org/samba/latest_news.html#4.18.1
概要
Sambaには、複数の脆弱性があります。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.samba.org/samba/security/CVE-2023-0225.html
https://www.samba.org/samba/security/CVE-2023-0922.html
https://www.samba.org/samba/security/CVE-2023-0614.html
【6】OpenSSLに複数の脆弱性(Security Advisory [28th March 2023])
情報源
https://jvn.jp/vu/JVNVU99604728/
概要
OpenSSLでは、深刻度が低(Severity: Low)の脆弱性が2件修正されています。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.openssl.org/news/secadv/20230328.txt
【7】Mozilla Thunderbirdにサービス運用妨害(DoS)の脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2023-12/
概要
Mozilla Thunderbirdには、サービス運用妨害(DoS)の脆弱性があります。詳細は開発者が提供する情報を参考にしてください。
【8】複数のApple製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/03/28/apple-releases-security-updates-multiple-products
概要
複数のApple製品には、脆弱性があります。今回修正された脆弱性の内、iOS 15.7.4およびiPadOS 15.7.4で修正されたWebKitにおける型の取り違えの脆弱性(CVE-2023-23529)は、2023年2月にiOS 16系などでも修正された脆弱性で、本脆弱性を悪用する攻撃に関する報告をすでに確認しているとしてAppleは注意を呼びかけています。早期のアップデート適用を推奨します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.jpcert.or.jp/newsflash/2023032801.html
https://support.apple.com/ja-jp/HT201222
【9】baserCMSに任意のファイルをアップロードされる脆弱性
情報源
https://jvn.jp/jp/JVN61105618/
概要
baserCMSユーザー会が提供するbaserCMSには、任意のファイルをアップロードされる脆弱性があります。詳細は開発者が提供する情報を参照してください。
関連文書
https://basercms.net/security/JVN_61105618
【10】警視庁が「家庭用ルーターの不正利用に関する注意喚起」を公開
情報源
https://www.keishicho.metro.tokyo.lg.jp/kurashi/cyber/notes/router.html
概要
2023年3月28日、警視庁サイバー攻撃対策センターは家庭用ルーターの不正利用に関する注意喚起を公開しました。従来の対策である初期IDやパスワードの変更、ファームウェアの最新化、サポート終了製品の買い替えに加え、見覚えのない設定変更がないか定期的に確認する対策が必要であるとし、複数の関係メーカーと協力の上、注意を呼びかけました。
【11】「電子政府における調達のために参照すべき暗号のリスト(CRYPTREC 暗号リスト)」改訂
情報源
https://www.digital.go.jp/news/9ad4ff87-b673-4f3d-a2f5-8750525f9502/
概要
2023年3月30日、デジタル庁、総務省および経済産業省は「電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)」の改定版の策定を公表しました。CRYPTRECは電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法・運用法を調査・検討するプロジェクトです。CRYPTREC暗号リストは電子政府推奨暗号リスト、推奨候補暗号リストおよび運用監視暗号リストで構成され、2013年策定版から暗号アルゴリズム利用実績調査などの結果を踏まえて改定が行われています。
関連文書
https://www.cryptrec.go.jp/
https://www.cryptrec.go.jp/list.html
https://www.cryptrec.go.jp/list/cryptrec-ls-0001-2022.pdf
https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00162.html
【12】経済産業省が「サイバーセキュリティ経営ガイドライン」を改訂
情報源
https://www.meti.go.jp/press/2022/03/20230324002/20230324002.html
概要
2023年3月24日、経済産業省は「サイバーセキュリティ経営ガイドライン」の改訂を公表しました。経営者が認識すべき3原則について、取引関係にとどまらず、国内外のサプライチェーンでつながる関係者へのセキュリティ対策への目配り、総合的なセキュリティ対策の重要性や社外のみならず、社内関係者とも積極的にコミュニケーションをとることの必要性などの追加・修正などが行われています。
【13】JPCERT/CCが「制御システムセキュリティカンファレンス 2023 開催レポート」を公開
情報源
https://blogs.jpcert.or.jp/ja/2023/03/ics-conference2023.html
概要
2023年3月30日、JPCERT/CCは制御システムセキュリティカンファレンス 2023 開催レポートを公開しました。2023年2月9日に開催した本カンファレンスの開会・閉会のご挨拶および7つの講演の様子を紹介いたします。
関連文書
https://www.jpcert.or.jp/event/ics-conference2023.html