■10/29(日)~11/04(土) のセキュリティ関連情報
目 次
【1】e-TaxソフトにXML外部実体参照(XXE)に関する脆弱性
【2】複数のCisco製品に脆弱性
【3】Google Chromeに複数の脆弱性
【4】富士フイルムビジネスイノベーション製およびXerox Corporation製複合機(MFP)に脆弱性
【5】Atlassian製Confluence Data CenterおよびConfluence Serverに不適切な認可の脆弱性
【6】サイボウズ リモートサービスにリソース枯渇の脆弱性
【7】MCL Technologies製MCL-Netにディレクトリトラバーサルの脆弱性
【8】Inkdropにコードインジェクションの脆弱性
【9】複数のVMware製品に脆弱性
【10】JPCERT/CCが「TSUBAMEレポート Overflow(2023年7-9月)」を公開
【11】JPCERT/CC ベストレポーター賞 2023
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
【1】e-TaxソフトにXML外部実体参照(XXE)に関する脆弱性
情報源
https://jvn.jp/jp/JVN14762986/
概要
国税庁が提供するe-Taxソフトには、同製品が内包するXMLパーサの実装方法に起因したXML外部実体参照(XXE)に関する脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.e-tax.nta.go.jp/topics/topics_20231102.htm
【2】複数のCisco製品に脆弱性
情報源
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-cmd-inj-29MP49hN
概要
Ciscoは同社製品における脆弱性に関するアドバイザリを計24件(Critical 1件、High 9件、Medium 14件)公開しました。対象は多岐にわたります。影響を受ける製品、バージョンなどの詳細は、開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x
【3】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2023/10/stable-channel-update-for-desktop_31.html
概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
【4】富士フイルムビジネスイノベーション製およびXerox Corporation製複合機(MFP)に脆弱性
情報源
https://jvn.jp/vu/JVNVU96482726/
概要
富士フイルムビジネスイノベーション製およびXerox Corporation製の複数の複合機(MFP)では、アドレス帳に格納された情報をエクスポートする際、十分な強度の暗号化を行っていません。この問題は、ファームウェアをアップデートすることで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.fujifilm.com/fb/company/news/notice/2023/1031_addressbook_announce.html
https://securitydocs.business.xerox.com/wp-content/uploads/2023/11/XRX23-015_Security-Bulletin-for-Primelink-Versalink-and-WorkCentre-CVE-023-46327.pdf
【5】Atlassian製Confluence Data CenterおよびConfluence Serverに不適切な認可の脆弱性
情報源
https://confluence.atlassian.com/security/cve-2023-22518-improper-authorization-vulnerability-in-confluence-data-center-and-server-1311473907.html
概要
Atlassian社が提供するConfluence Data CenterおよびConfluence Serverには、不適切な認可の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
【6】サイボウズ リモートサービスにリソース枯渇の脆弱性
情報源
https://jvn.jp/jp/JVN94132951/
概要
サイボウズ株式会社が提供するサイボウズ リモートサービスには、リソース枯渇の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://cs.cybozu.co.jp/2023/010657.html
https://kb.cybozu.support/article/38564/
【7】MCL Technologies製MCL-Netにディレクトリトラバーサルの脆弱性
情報源
https://jvn.jp/vu/JVNVU99565391/
概要
MCL Technologiesが提供するMCL-Netには、ディレクトリトラバーサルの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.mcl-mobilityplatform.com/downloads.php
https://download.mcl4e.com/mcl4/help/releasenotes/Release%20Notes%20MCL%20Net%204.6.pdf
https://holdings.panasonic/global/corporate/product-security/psirt/advisories.html
【8】Inkdropにコードインジェクションの脆弱性
情報源
https://jvn.jp/jp/JVN48057522/
概要
Inkdropには、コードインジェクションの脆弱性があります。該当製品にはオートアップデート機能があり、これにより自動的に修正版にアップデートされます。詳細は開発者が提供する情報を参照してください。
関連文書
https://forum.inkdrop.app/t/inkdrop-desktop-v5-6-0/4211
【9】複数のVMware製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/10/30/vmware-releases-advisory-vmware-tools-vulnerabilities
概要
VMware ToolsおよびWorkspace ONE UEMには、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.vmware.com/security/advisories/VMSA-2023-0024.html
https://www.vmware.com/security/advisories/VMSA-2023-0025.html
【10】JPCERT/CCが「TSUBAMEレポート Overflow(2023年7-9月)」を公開
情報源
https://blogs.jpcert.or.jp/ja/2023/10/tsubame_overflow_2023-07-09.html
概要
2023年10月31日、JPCERT/CCは「TSUBAMEレポート Overflow(2023年7-9月)」に関するブログを公開しました。2023年7-9月の観測結果として、海外に設置しているセンサーの観測動向の比較や、その他の活動などについて紹介しています。
関連文書
https://www.jpcert.or.jp/tsubame/report/report202307-09.html
【11】JPCERT/CC ベストレポーター賞 2023
情報源
https://www.jpcert.or.jp/award/best-reporter-award/2023.html
概要
JPCERT/CCは10月30日、ベストレポーター賞2023の受賞者を発表しました。ベストレポーター賞は、インシデント報告と脆弱性報告のそれぞれの部門において、情報提供によりJPCERT/CCの活動に顕著な貢献をいただいた方に年1回、記念品の贈呈とともに感謝の意を表するものです。
JPCERT/CCは、多くの報告者の方々に日々ご協力いただいております。JPCERT/CCに報告をくださったすべての方々に、この場を借りて感謝申し上げます。引き続きJPCERT/CCの活動にご協力いただければと存じます。
