« ■06/04(日)~06/10(土) のセキュリティ関連情報 | メイン | ■06/18(日)~06/24(土) のセキュリティ関連情報 »

2023年6月21日 (水)

■06/11(日)~06/17(土) のセキュリティ関連情報

目 次
【1】MOVEit TransferにSQLインジェクションの脆弱性
【2】Panasonic製AiSEG2に複数の脆弱性
【3】Apache Struts 2に複数の脆弱性
【4】Ridoc Ez Installer NXで作成したドライバーインストールパッケージを改ざん可能な脆弱性
【5】Google Chromeに複数の脆弱性
【6】複数のFortinet製品に脆弱性
【7】複数のマイクロソフト製品に脆弱性
【8】複数のアドビ製品に脆弱性
【9】複数のトレンドマイクロ製企業向け製品に脆弱性
【10】Chatworkデスクトップ版アプリ(Mac)にコードインジェクションの脆弱性
【11】キングソフト製WPS OfficeにOSコマンドインジェクションの脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】MOVEit TransferにSQLインジェクションの脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/06/15/progress-software-releases-security-advisory-moveit-transfer-vulnerability

概要
Progress Softwareが提供するMOVEit Transferには、SQLインジェクションの脆弱性があります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-15June2023

【2】Panasonic製AiSEG2に複数の脆弱性
情報源
https://jvn.jp/jp/JVN19748237/

概要
Panasonic製AiSEG2には、複数の脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www2.panasonic.biz/jp/densetsu/aiseg/firmup_info.html

【3】Apache Struts 2に複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU90651905/

概要
Apache Struts 2には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://cwiki.apache.org/confluence/display/WW/S2-063

https://cwiki.apache.org/confluence/display/WW/S2-064

https://struts.apache.org/announce-2023#a20230613-1

https://struts.apache.org/announce-2023#a20230613-2

【4】Ridoc Ez Installer NXで作成したドライバーインストールパッケージを改ざん可能な脆弱性
情報源
https://jvn.jp/vu/JVNVU92207133/

概要
株式会社リコーが提供するRidoc Ez Installer NXで作成したドライバーインストールパッケージには、インストール時に実行するプログラムを改ざん可能な脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新し、ドライバーインストールパッケージを再作成することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://jp.ricoh.com/security/products/vulnerabilities/vul?id=ricoh-2023-000001

【5】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2023/06/stable-channel-update-for-desktop_13.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【6】複数のFortinet製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/06/13/fortinet-releases-june-2023-vulnerability-advisories

概要
Fortinetは同社製品における脆弱性に関するアドバイザリを計22件(Critical 1件、High 7件、Medium 12件、Low 2件)公開しました。対象製品は多岐にわたり、影響や対策方法は製品によって異なります。SeverityがCriticalのアドバイザリ(FG-IR-23-097)では、FortiOSおよびFortiProxyのSSL-VPNにおけるヒープバッファーオーバーフローの脆弱性(CVE-2023-27997)が修正されています。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.cisa.gov/news-events/alerts/2023/06/12/fortinet-releases-security-updates-fortios-and-fortiproxy

https://www.fortiguard.com/psirt/FG-IR-23-097

https://www.fortiguard.com/psirt-monthly-advisory/june-2023-vulnerability-advisories

【7】複数のマイクロソフト製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/06/13/microsoft-releases-june-2023-security-updates

概要
複数のマイクロソフト製品には、脆弱性があります。対象は多岐にわたります。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.jpcert.or.jp/at/2023/at230010.html

https://msrc.microsoft.com/blog/2023/06/202306-security-update/

【8】複数のアドビ製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/06/13/adobe-releases-security-updates-multiple-products

概要
複数のアドビ製品には、脆弱性があります。Adobe Experience Manager、Adobe Commerce、Adobe Animate、Adobe Substance 3D Designerが影響を受けます。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.jpcert.or.jp/newsflash/2023061401.html

【9】複数のトレンドマイクロ製企業向け製品に脆弱性
情報源
https://jvn.jp/vu/JVNVU91852506/

概要
トレンドマイクロ株式会社が提供する複数の企業向け製品には、脆弱性があります。対象となる製品は、Trend Micro Mobile Security 9.8 SP5、Apex One、Apex One SaaS、Apex Centralで、影響や対策方法は製品によって異なります。詳細は開発者が提供する情報を参照してください。
関連文書
https://success.trendmicro.com/jp/solution/000293114

https://success.trendmicro.com/jp/solution/000293115

https://success.trendmicro.com/jp/solution/000293117

https://success.trendmicro.com/jp/solution/000293390

【10】Chatworkデスクトップ版アプリ(Mac)にコードインジェクションの脆弱性
情報源
https://jvn.jp/jp/JVN96828492/

概要
Chatwork株式会社が提供するChatworkデスクトップ版アプリ(Mac)には、コードインジェクションの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【11】キングソフト製WPS OfficeにOSコマンドインジェクションの脆弱性
情報源
https://jvn.jp/jp/JVN36060509/

概要
キングソフト株式会社が提供していた旧製品WPS Officeには、OSコマンドインジェクションの脆弱性があります。当該製品はすでにサポートを終了しており修正アップデートは提供されないため、後継製品であるWPS Office2への移行が推奨されています。詳細は開発者が提供する情報を参照してください。
関連文書
https://support.kingsoft.jp/about/20230605.html