■04/16(日)~04/22(土) のセキュリティ関連情報
目 次
【1】VMware Aria Operations for Logsに複数の脆弱性
【2】Drupal coreにアクセスバイパスの脆弱性
【3】複数のCisco製品に脆弱性
【4】Google Chromeに複数の脆弱性
【5】WordPress用プラグインLIQUID SPEECH BALLOONにクロスサイトリクエストフォージェリの脆弱性
【6】EC-CUBE 2系用プラグイン「ネクストエンジン連携プラグイン」に認証不備の脆弱性
【7】2023年4月Oracle Critical Patch Updateについて
【8】Joruri Gwにクロスサイトスクリプティングの脆弱性
【9】IPAらが「ゴールデンウイークにおける情報セキュリティに関する注意喚起」を公開
【10】CRYPTRECが「CRYPTREC 暗号技術ガイドライン(耐量子計算機暗号)」および「CRYPTREC 暗号技術ガイドライン(高機能暗号)」を公開
【11】JPCERT/CCが2023年1月-2023年3月分の「活動四半期レポート」などを公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
【1】VMware Aria Operations for Logsに複数の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/04/21/vmware-releases-security-update-aria-operations-logs
概要
VMware Aria Operations for Logsには、複数の脆弱性があります。この問題は、当該製品をVMwareが提供する修正済みのバージョンに更新するか、回避策を適用することで解決します。詳細は、VMwareが提供する情報を参照してください。
関連文書
https://www.vmware.com/security/advisories/VMSA-2023-0007.html
【2】Drupal coreにアクセスバイパスの脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/04/21/drupal-releases-security-advisory-address-vulnerability-drupal-core
概要
Drupal coreのファイルダウンロード機能には、特定の状況下でファイルパスが十分にサニタイズ処理されない問題があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、Drupalが提供する情報を参照してください。
関連文書
https://www.drupal.org/sa-core-2023-005
【3】複数のCisco製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/04/21/cisco-releases-security-advisories-multiple-products
概要
複数のCisco製品には、脆弱性があります。影響を受ける製品、バージョンは多岐にわたります。この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新することで解決します。詳細は、Ciscoが提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x
【4】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_18.html
概要
Google Chromeには、複数の脆弱性があります。この問題は、Google Chromeを開発者が提供する修正済みのバージョンに更新することで解決します。Googleは今回修正された脆弱性の一つのエクスプロイトを確認しているとのことです。詳細は開発者が提供する情報を参照してください。
【5】WordPress用プラグインLIQUID SPEECH BALLOONにクロスサイトリクエストフォージェリの脆弱性
情報源
https://jvn.jp/jp/JVN99657911/
概要
WordPress用プラグインLIQUID SPEECH BALLOONには、クロスサイトリクエストフォージェリの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://wordpress.org/plugins/liquid-speech-balloon/#developers
【6】EC-CUBE 2系用プラグイン「ネクストエンジン連携プラグイン」に認証不備の脆弱性
情報源
https://jvn.jp/jp/JVN50862842/
概要
NE株式会社が提供するEC-CUBE 2系用プラグイン「ネクストエンジン連携プラグイン」には、認証不備の脆弱性があります。当該プラグインのサポートはすでに終了しているため、恒久的な対策として、製品の使用を停止してください。詳細は開発者が提供する情報を参照してください。
【7】2023年4月Oracle Critical Patch Updateについて
情報源
https://www.oracle.com/security-alerts/cpuapr2023.html
概要
Oracleから複数の製品およびコンポーネントに含まれる脆弱性に対応したOracle Critical Patch Update Advisoryが公開されました。詳細は、Oracleが提供する情報を参照してください。
関連文書
https://www.jpcert.or.jp/at/2023/at230008.html
【8】Joruri Gwにクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN87559956/
概要
サイトブリッジ株式会社が提供するJoruri Gwには、クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://joruri-pwm.jp/org/docs/2022093000017/
【9】IPAらが「ゴールデンウイークにおける情報セキュリティに関する注意喚起」を公開
情報源
https://www.ipa.go.jp/security/anshin/heads-up/alert20230420.html
概要
2023年4月20日、独立行政法人情報処理推進機構(IPA)は「ゴールデンウイークにおける情報セキュリティに関する注意喚起」を公開しました。IPAが公開している長期休暇における情報セキュリティ対策を案内しています。24日には、内閣官房内閣サイバーセキュリティセンター(NISC)、経済産業省、総務省、警察庁が合同で、春の大型連休に向けて実施いただきたい対策についての注意喚起を公開しています。
関連文書
https://www.nisc.go.jp/news/notice/20230424.html
【10】CRYPTRECが「CRYPTREC 暗号技術ガイドライン(耐量子計算機暗号)」および「CRYPTREC 暗号技術ガイドライン(高機能暗号)」を公開
情報源
https://www.cryptrec.go.jp/topics/cryptrec_20230417_guidelines.html
概要
2023年4月17日、CRYPTRECは「CRYPTREC 暗号技術ガイドライン(耐量子計算機暗号)」および「CRYPTREC 暗号技術ガイドライン(高機能暗号)」を公開しました。国立研究開発法人情報通信研究機構(NICT)と独立行政法人情報処理推進機構(IPA)が共同で運営する「暗号技術評価委員会」の2022年度の活動成果として作成されたものです。
【11】JPCERT/CCが2023年1月-2023年3月分の「活動四半期レポート」などを公開
情報源
https://www.jpcert.or.jp/pr/2023/PR_Report2022Q4.pdf
概要
2023年4月18日、JPCERT/CCは2023年1月-3月分の「活動四半期レポート」「インシデント報告対応レポート」を公開しました。本四半期中のJPCERT/CCの国内外の活動に加え、JPCERT/CCが報告を受け付けたインシデントの統計や事例などについてまとめています。同月20日には、「ソフトウェア等の脆弱性関連情報に関する届出状況」も公開し、同四半期中の脆弱性関連情報に関する届出状況についてまとめています。参考資料としてご活用ください。
関連文書
https://www.jpcert.or.jp/pr/2023/IR_Report2022Q4.pdf
https://www.jpcert.or.jp/pr/2023/vulnREPORT_2023q1.pdf
