ミニ・いんふぉめーしょん

目　次
【1】Apache HTTP Server 2.4に複数の脆弱性
【2】Google Chromeのセキュリティアップデート
【3】2023年10月Oracle Critical Patch Updateについて
【4】IPAが「オンラインストレージの脆弱性対策について」を公開
【5】JNSAとISOG-Jが「セキュリティ対応組織（SOC/CSIRT） の教科書」の第3.1版を公開
【6】Citrix ADCおよびCitrix Gatewayの脆弱性（CVE-2023-4966）に関する注意喚起
【7】Cisco IOS XEのWeb UIにおける権限昇格の脆弱性（CVE-2023-20198）に関する注意喚起
【8】JPCERT/CCが2023年7月-2023年9月分の「活動四半期レポート」などを公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】Apache HTTP Server 2.4に複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU93413100/

概要
Apache HTTP Server 2.4系には、mod_macroにおけるバッファ外読み取りの脆弱性（CVE-2023-31122）など複数の脆弱性があります。これらの問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://httpd.apache.org/security/vulnerabilities_24.html#2.4.58

【2】Google Chromeのセキュリティアップデート
情報源
https://chromereleases.googleblog.com/2023/10/stable-channel-update-for-desktop_17.html

概要
Googleより、Google Chromeに関するセキュリティの修正を含む、アップデートが公開されました。詳細は開発者が提供する情報を参照してください。

【3】2023年10月Oracle Critical Patch Updateについて
情報源
https://www.oracle.com/security-alerts/cpuoct2023.html

概要
Oracleから複数の製品およびコンポーネントに含まれる脆弱性に対応したOracle Critical Patch Update Advisoryが公開されました。詳細は、Oracleが提供する情報を参照してください。
関連文書
https://www.cisa.gov/news-events/alerts/2023/10/19/oracle-releases-october-2023-critical-patch-update-advisory

https://www.jpcert.or.jp/at/2023/at230024.html

【4】IPAが「オンラインストレージの脆弱性対策について」を公開
情報源
https://www.ipa.go.jp/security/security-alert/2023/alert20231019.html

概要
2023年10月19日、独立行政法人情報処理推進機構（IPA）は「オンラインストレージの脆弱性対策について」を公開しました。オンラインストレージの脆弱性を悪用した攻撃に関して、最近の動向や対策などを紹介しています。

【5】JNSAとISOG-Jが「セキュリティ対応組織（SOC/CSIRT） の教科書」の第3.1版を公開
情報源
https://isog-j.org/output/2023/Textbook_soc-csirt_v3.1.pdf

概要
2023年10月17日、NPO 日本ネットワークセキュリティ協会（JNSA）と日本セキュリティオペレーション事業者協議会（ISOG-J）は「セキュリティ対応組織（SOC/CSIRT） の教科書」の第3.1版を公開しました。マネジメントプロセスとサービスとの関連の補足説明や、セキュリティ対応組織サービスポートフォリオシートなどが追加されています。

【6】Citrix ADCおよびCitrix Gatewayの脆弱性（CVE-2023-4966）に関する注意喚起
情報源
https://www.jpcert.or.jp/at/2023/at230026.html

概要
2023年10月20日、JPCERT/CCはCitrix ADCおよびCitrix Gatewayの脆弱性（CVE-2023-4966）に関する注意喚起を公開しました。Citrixは脆弱性を悪用する攻撃を確認しているとのことですので、影響を受ける製品を利用している場合、速やかに対策の適用などをご検討ください。

【7】Cisco IOS XEのWeb UIにおける権限昇格の脆弱性（CVE-2023-20198）に関する注意喚起
情報源
https://www.jpcert.or.jp/at/2023/at230025.html

概要
2023年10月18日、JPCERT/CCはCisco IOS XEのWeb UIにおける権限昇格の脆弱性（CVE-2023-20198）に関する注意喚起を公開しました。JPCERT/CCでは、本脆弱性を悪用した攻撃による被害を確認しています。Ciscoが提供する最新の情報を確認の上、推奨事項の適用および侵害痕跡の調査の実施を推奨します。

【8】JPCERT/CCが2023年7月-2023年9月分の「活動四半期レポート」などを公開
情報源
https://www.jpcert.or.jp/pr/2023/PR_Report2023Q2.pdf

概要
2023年10月17日、JPCERT/CCは2023年7月-9月分の「活動四半期レポート」「インシデント報告対応レポート」を公開しました。本四半期中のJPCERT/CCの国内外の活動に加え、JPCERT/CCが報告を受け付けたインシデントの統計や事例などについてまとめています。参考資料としてご活用ください。
関連文書
https://www.jpcert.or.jp/pr/2023/IR_Report2023Q2.pdf

目　次
【1】三菱電機製MELSEC-Fシリーズ基本ユニットに不適切な認証の脆弱性
【2】複数のJuniper製品に脆弱性
【3】複数のFortinet製品に脆弱性
【4】Apache Tomcatに複数の脆弱性
【5】Google Chromeに複数の脆弱性
【6】複数のCitrix製品に脆弱性
【7】複数のマイクロソフト製品に脆弱性
【8】ProselfのXML外部実体参照（XXE）に関する脆弱性を悪用する攻撃の注意喚起
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】三菱電機製MELSEC-Fシリーズ基本ユニットに不適切な認証の脆弱性
情報源
https://jvn.jp/vu/JVNVU90509290/

概要
三菱電機製MELSEC-Fシリーズ基本ユニットには不適切な認証の脆弱性があります。開発者によると、Ethernet通信用特殊アダプターFX3U-ENET-ADPまたはEthernetインタフェースブロックFX3U-ENET(-L)を使用する場合に、本脆弱性の影響を受けるとのことです。開発者が提供する軽減策の適用方法など、詳細は開発者が提供する情報を参照してください。
関連文書
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2023-012.pdf

https://www.cisa.gov/news-events/ics-advisories/icsa-23-285-13

【2】複数のJuniper製品に脆弱性
情報源
https://supportportal.juniper.net/s/article/2023-10-Security-Bulletin-Junos-OS-An-unauthenticated-attacker-with-local-access-to-the-device-can-create-a-backdoor-with-root-privileges-CVE-2023-44194

概要
Juniperは同社製品における脆弱性に関するアドバイザリを計31件（High 9件、Medium 22件）公開しました。対象製品および影響は多岐にわたり、対策は製品により異なります。詳細は開発者が提供する情報を参照してください。
関連文書
https://supportportal.juniper.net/s/article/2023-10-Security-Bulletin-Junos-OS-MX-Series-In-a-PTP-scenario-a-prolonged-routing-protocol-churn-can-trigger-an-FPC-reboot-CVE-2023-44199

https://supportportal.juniper.net/s/article/2023-10-Security-Bulletin-Junos-OS-and-Junos-OS-Evolved-An-rpd-crash-may-occur-when-BGP-is-processing-newly-learned-routes-CVE-2023-44197

https://supportportal.juniper.net/s/article/2023-10-Security-Bulletin-Junos-OS-QFX5000-Series-DMA-memory-leak-is-observed-when-specific-DHCP-packets-are-transmitted-over-pseudo-VTEP-CVE-2023-44192

https://supportportal.juniper.net/s/article/2023-10-Security-Bulletin-Junos-OS-QFX5000-Series-and-EX4000-Series-Denial-of-Service-DoS-on-a-large-scale-VLAN-due-to-PFE-hogging-CVE-2023-44191

https://supportportal.juniper.net/s/article/2023-10-Security-Bulletin-Junos-OS-and-Junos-OS-Evolved-RPD-crash-when-attempting-to-send-a-very-long-AS-PATH-to-a-non-4-byte-AS-capable-BGP-neighbor-CVE-2023-44186

https://supportportal.juniper.net/s/article/2023-10-Security-Bulletin-Junos-OS-and-Junos-OS-Evolved-In-a-BGP-scenario-RPD-crashes-upon-receiving-and-processing-a-specific-malformed-ISO-VPN--BGP-UPDATE-packet-CVE-2023-44185

https://supportportal.juniper.net/s/article/2023-10-Security-Bulletin-Junos-OS-and-Junos-OS-Evolved-An-Unchecked-Return-Value-in-multiple-users-interfaces-affects-confidentiality-and-integrity-of-device-operations-CVE-2023-44182

https://supportportal.juniper.net/s/article/2023-10-Security-Bulletin-Junos-OS-QFX5k-l2-loop-in-the-overlay-impacts-the-stability-in-a-EVPN-VXLAN-environment-CVE-2023-44181

【3】複数のFortinet製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/10/11/fortinet-releases-security-updates-multiple-products

概要
Fortinetは同社製品における脆弱性に関するアドバイザリを計30件（Critical 3件、High 11件、Medium 11件、Low 5件）公開しました。対象製品および影響は多岐にわたり、対策は製品により異なります。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.fortiguard.com/psirt/FG-IR-23-189

https://www.fortiguard.com/psirt/FG-IR-23-062

https://www.fortiguard.com/psirt/FG-IR-23-167

https://www.fortiguard.com/psirt/FG-IR-22-352

https://www.fortiguard.com/psirt/FG-IR-23-318

https://fortiguard.fortinet.com/psirt/FG-IR-23-085

【4】Apache Tomcatに複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU93620838/

概要
Apache Tomcatには、HTTP/2プロトコルに関するサービス運用妨害（DoS）の脆弱性（CVE-2023-44487）など、複数の脆弱性があります。これらの問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.75

https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.0-M12

https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.14

https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.94

【5】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2023/10/stable-channel-update-for-desktop_10.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【6】複数のCitrix製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/10/10/citrix-releases-security-updates-multiple-products

概要
CitrixはCitrix NetScaler ADC（Citrix ADC）、NetScaler Gateway（Citrix Gateway）およびCitrix Hypervisorにおける複数の脆弱性に関する情報を公開しました。影響を受ける製品を利用している場合、Citrixが提供する最新の情報や関連情報をご確認の上、速やかに対策の適用などをご検討ください。
関連文書
https://support.citrix.com/article/CTX579459/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20234966-and-cve20234967

https://support.citrix.com/article/CTX575089/citrix-hypervisor-multiple-security-updates

【7】複数のマイクロソフト製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/10/10/microsoft-releases-october-2023-security-updates

概要
複数のマイクロソフト製品に関する脆弱性が公開されています。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。対象となる製品およびバージョンは多岐にわたります。マイクロソフトは今回修正された脆弱性を悪用する攻撃をすでに確認しているとのことです。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.jpcert.or.jp/at/2023/at230023.html

https://msrc.microsoft.com/blog/2023/10/202310-security-update/

【8】ProselfのXML外部実体参照（XXE）に関する脆弱性を悪用する攻撃の注意喚起
情報源
https://www.jpcert.or.jp/at/2023/at230022.html

概要
2023年10月10日、JPCERT/CCはオンラインストレージ構築パッケージ製品「Proself」のXML外部実体参照（XXE）に関する脆弱性を悪用する攻撃の注意喚起を公開しました。JPCERT/CCがこれまでに確認している、同脆弱性を悪用する攻撃に関するインディケータ情報も記載しております。ご参照のうえ、侵害有無の調査実施を検討ください。

目　次
【1】e-Gov電子申請アプリケーションにアクセス制限不備の脆弱性
【2】Atlassian製Confluence Data CenterおよびConfluence Serverにアクセス制御不備の脆弱性
【3】複数のCisco製品に脆弱性
【4】Citadel WebCitのインスタントメッセージング機能にクロスサイトスクリプティングの脆弱性
【5】フルノシステムズ製無線LANアクセスポイント（STモード利用時）に複数の脆弱性
【6】医薬品医療機器等法対応医薬品等電子申請ソフトにXML外部実体参照（XXE）の脆弱性
【7】Apple iOSおよびiPadOSに脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】e-Gov電子申請アプリケーションにアクセス制限不備の脆弱性
情報源
https://jvn.jp/jp/JVN15808274/

概要
デジタル庁が提供するe-Gov電子申請アプリケーションには、Custom URL Schemeの処理にアクセス制限不備の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://shinsei.e-gov.go.jp/contents/news/2023-03-12t1022040900_1318.html

【2】Atlassian製Confluence Data CenterおよびConfluence Serverにアクセス制御不備の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/10/05/atlassian-releases-security-advisory-confluence-data-center-and-server

概要
Atlassian社が提供するConfluence Data CenterおよびConfluence Serverには、アクセス制御不備の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。開発者は今回修正された脆弱性を悪用する攻撃をすでに確認しているとのことです。詳細は開発者が提供する情報を参照してください。
関連文書
https://confluence.atlassian.com/security/cve-2023-22515-privilege-escalation-vulnerability-in-confluence-data-center-and-server-1295682276.html

【3】複数のCisco製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/10/05/cisco-releases-security-advisories-multiple-products

概要
Ciscoは同社製品における脆弱性に関するアドバイザリを計3件（Critical 1件、High 1件、Medium 1件）公開しました。対象は多岐にわたります。影響を受ける製品、バージョンなどの詳細は、開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x

【4】Citadel WebCitのインスタントメッセージング機能にクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN08237727/

概要
Citadel WebCitには、クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.citadel.org/download.html

https://code.citadel.org/citadel/citadel

https://code.citadel.org/citadel/citadel/-/commit/f0dac5ff074ad686fa71ea663c8ead107bd3041e

【5】フルノシステムズ製無線LANアクセスポイント（STモード利用時）に複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU94497038/

概要
株式会社フルノシステムズが提供する無線LANアクセスポイント製品（STモード利用時）には、複数の脆弱性があります。この問題は、当該製品を修正済みのファームウェアにアップデートすることで解決します。なお、開発者によると、本件の影響を受ける製品群の一部は、すでにサポートが終了しているとのことであり、サポートを終了した製品については、製品の使用停止が推奨されています。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.furunosystems.co.jp/news/info/vulner20231002.html

【6】医薬品医療機器等法対応医薬品等電子申請ソフトにXML外部実体参照（XXE）の脆弱性
情報源
https://jvn.jp/jp/JVN39596244/

概要
厚生労働省が提供する医薬品医療機器等法対応医薬品等電子申請ソフトには、XML外部実体参照（XXE）の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://web.fd-shinsei.mhlw.go.jp/download/software/index.html

【7】Apple iOSおよびiPadOSに脆弱性
情報源
https://www.jpcert.or.jp/newsflash/2023100501.html

概要
Appleが提供するiOSおよびiPadOSには、複数の脆弱性があります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。Appleは今回修正された脆弱性の内、Kernelの権限昇格の脆弱性（CVE-2023-42824）を悪用する攻撃をすでに確認しているとのことです。詳細は開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/HT213961

目　次
【1】複数のCisco製品に脆弱性
【2】複数のApple製品に脆弱性
【3】複数のMozilla製品に脆弱性
【4】Panasonic製KW Watcherに複数の脆弱性
【5】Trend Micro Mobile Securityにクロスサイトスクリプティングの脆弱性
【6】NISCが「サイバーセキュリティ関係法令Q&AハンドブックVer2.0」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】複数のCisco製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/09/28/cisco-releases-security-advisories-multiple-products

概要
Ciscoは同社製品における脆弱性に関するアドバイザリを計15件（Critical 1件、High 7件、Medium 6件、Informational 1件）公開しました。対象は多岐にわたります。影響を受ける製品、バージョンなどの詳細は、開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x

【2】複数のApple製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/09/28/apple-releases-security-updates-multiple-products

概要
AppleからmacOS Sonoma 14およびSafari 17に関するセキュリティアップデートが公開されました。Appleは今回修正された脆弱性の一部を悪用する攻撃をすでに確認しているとのことです。詳細は開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/HT201222

https://www.jpcert.or.jp/newsflash/2023092201.html

【3】複数のMozilla製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/09/27/mozilla-releases-security-advisories-thunderbird-and-firefox

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Firefox for Android、Firefox Focus for Android、Thunderbirdが影響を受けます。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。Mozillaは今回修正された脆弱性の一部を悪用する攻撃をすでに確認しているとのことです。詳細は開発者が提供する情報を参考にしてください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2023-41/

https://www.mozilla.org/en-US/security/advisories/mfsa2023-42/

https://www.mozilla.org/en-US/security/advisories/mfsa2023-43/

https://www.mozilla.org/en-US/security/advisories/mfsa2023-44/

【4】Panasonic製KW Watcherに複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU95549489/

概要
Panasonicが提供するKW Watcherには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www3.panasonic.biz/ac/j/fasys/software_info/eco/tol_kwwatcher.jsp

https://www3.panasonic.biz/ac/j/fasys/software_info/eco/kwwatcher_versioninfo.jsp

【5】Trend Micro Mobile Securityにクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/vu/JVNVU95732401/

概要
トレンドマイクロ株式会社から、Trend Micro Mobile Security向けのアップデートが公開されました。この問題は、当該製品にパッチを適用することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://success.trendmicro.com/jp/solution/000294710

【6】NISCが「サイバーセキュリティ関係法令Q&AハンドブックVer2.0」を公開
情報源
https://security-portal.nisc.go.jp/guidance/law_handbook.html

概要
2023年9月25日、内閣官房内閣サイバーセキュリティセンター（NISC）は、サイバーセキュリティ対策において参照すべき関係法令をQ&A形式で解説する「サイバーセキュリティ関係法令Q&Aハンドブック」のVer2.0を公開しました。サイバーセキュリティを取り巻く環境変化、関係法令・ガイドラインなどの成立・改正を踏まえ、項目立て・内容の充実、更新を行い改訂されたものです。
関連文書
https://security-portal.nisc.go.jp/guidance/pdf/law_handbook/law_handbook_2.pdf