ミニ・いんふぉめーしょん

目　次
【1】QNAP製VioStor NVRにOSコマンドインジェクションの脆弱性
【2】ブラザー製iPrint&Scan Desktop for Windowsにファイルアクセス時のリンク解釈が不適切な脆弱性
【3】Google Chromeにバッファオーバーフローの脆弱性
【4】Apple macOSにセッションのレンダリングの問題
【5】複数のMozilla製品に脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】QNAP製VioStor NVRにOSコマンドインジェクションの脆弱性
情報源
https://jvn.jp/vu/JVNVU96089700/

概要
QNAPが提供するVioStor NVRには、OSコマンドインジェクションの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.qnap.com/en/security-advisory/qsa-23-48

【2】ブラザー製iPrint&Scan Desktop for Windowsにファイルアクセス時のリンク解釈が不適切な脆弱性
情報源
http://jvn.jp/vu/JVNVU97943829/

概要
ブラザー工業株式会社が提供するiPrint&Scan Desktop for Windowsには、ファイルアクセス時のリンク解釈が不適切な脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【3】Google Chromeにバッファオーバーフローの脆弱性
情報源
https://chromereleases.googleblog.com/2023/12/stable-channel-update-for-desktop_20.html

概要
Google Chromeには、バッファオーバーフローの脆弱性があります。Googleは今回修正された脆弱性を悪用する攻撃をすでに確認しているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【4】Apple macOSにセッションのレンダリングの問題
情報源
https://www.cisa.gov/news-events/alerts/2023/12/20/apple-releases-security-updates-multiple-products

概要
AppleからmacOSに関するセキュリティアップデートが公開されました。詳細は開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/en-us/HT214048

【5】複数のMozilla製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/12/20/mozilla-releases-security-updates-firefox-and-thunderbird

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Thunderbirdが影響を受けます。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参考にしてください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2023-54/

https://www.mozilla.org/en-US/security/advisories/mfsa2023-55/

https://www.mozilla.org/en-US/security/advisories/mfsa2023-56/

目　次
【1】複数のFortinet製品に脆弱性
【2】WordPress用プラグインMW WP Formに任意のファイルをアップロードされる脆弱性
【3】Google Chromeに複数の脆弱性
【4】GROWIに複数の脆弱性
【5】複数のApple製品に脆弱性
【6】複数のマイクロソフト製品に脆弱性
【7】複数のアドビ製品に脆弱性
【8】複数のエレコム製無線LANルーターにOSコマンドインジェクションの脆弱性
【9】フィッシング対策協議会が「2023/11 フィッシング報告状況」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】複数のFortinet製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/12/14/fortiguard-releases-security-updates-multiple-products

概要
Fortinetは同社製品における脆弱性に関するアドバイザリを計12件（Critical 1件、High 5件、Medium 3件、Low 3件）公開しました。対象製品および影響は多岐にわたり、対策は製品により異なります。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.fortiguard.com/psirt/FG-IR-23-196

https://www.fortiguard.com/psirt/FG-IR-22-038

https://www.fortiguard.com/psirt/FG-IR-23-138

https://www.fortiguard.com/psirt

【2】WordPress用プラグインMW WP Formに任意のファイルをアップロードされる脆弱性
情報源
https://jvn.jp/vu/JVNVU97876221/

概要
株式会社Webの相談所が提供するWordPress用プラグインMW WP Formには、任意のファイルをアップロードされる脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。なお、開発者は本製品の開発を停止しており、他のプラグインへの乗り換えを呼びかけています。詳細は開発者が提供する情報を参照してください。
関連文書
https://ja.wordpress.org/plugins/mw-wp-form/

https://mw-wp-form.web-soudan.co.jp/

【3】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2023/12/stable-channel-update-for-desktop_12.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【4】GROWIに複数の脆弱性
情報源
https://jvn.jp/jp/JVN18715935/

概要
株式会社WESEEKが提供するGROWIには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://weseek.co.jp/ja/news/2023/11/21/growi-prevent-xss6/

【5】複数のApple製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/12/12/apple-releases-security-updates-multiple-products

概要
複数のApple製品には、脆弱性があります。対象は多岐にわたります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。Appleは今回修正された脆弱性を悪用する攻撃をすでに確認しているとのことです。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.jpcert.or.jp/newsflash/2023120101.html

【6】複数のマイクロソフト製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/12/12/microsoft-releases-security-updates-multiple-products

概要
複数のマイクロソフト製品に関する脆弱性が公開されています。対象となる製品およびバージョンは多岐にわたります。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.jpcert.or.jp/at/2023/at230030.html

【7】複数のアドビ製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/12/12/adobe-releases-security-updates-multiple-products

概要
複数のアドビ製品に関する脆弱性が公開されています。対象となる製品およびバージョンは多岐にわたります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.jpcert.or.jp/newsflash/2023121301.html

【8】複数のエレコム製無線LANルーターにOSコマンドインジェクションの脆弱性
情報源
https://jvn.jp/vu/JVNVU97499577/

概要
エレコム株式会社が提供する複数の無線LANルーターには、OSコマンドインジェクションの脆弱性があります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参考にしてください。
関連文書
https://www.elecom.co.jp/news/security/20231212-01/

【9】フィッシング対策協議会が「2023/11 フィッシング報告状況」を公開
情報源
https://www.antiphishing.jp/news/info/202311.html

概要
2023年12月12日、フィッシング対策協議会は「2023/11 フィッシング報告状況」を公開しました。フィッシング報告件数、フィッシングサイトのURL件数、フィッシングに悪用されたブランド件数の報告状況などの情報が纏められています。

目　次
【1】Apache Struts 2に外部からアクセス可能なファイルの脆弱性
【2】Edgecross 基本ソフトウェア Windows版に複数の脆弱性
【3】複数のAtlassian製品に脆弱性
【4】UEFI実装に組み込まれた画像処理ライブラリに複数の脆弱性
【5】複数のCODESYS Control製品にOSコマンドインジェクションの脆弱性
【6】FXC製無線LANルーター「AE1021PE」および「AE1021」にOSコマンドインジェクションの脆弱性
【7】Google Chromeに複数の脆弱性
【8】楽々Document Plusにディレクトリトラバーサルの脆弱性
【9】JPCERT/CCが「サイバー攻撃被害に係る情報の意図しない開示がもたらす情報共有活動への影響について」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】Apache Struts 2に外部からアクセス可能なファイルの脆弱性
情報源
https://jvn.jp/vu/JVNVU96961218/

概要
The Apache Software Foundationが提供するApache Struts 2には、外部からアクセス可能なファイルの脆弱性が存在し、結果として任意のコードが実行される可能性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://cwiki.apache.org/confluence/display/WW/S2-066

https://lists.apache.org/thread/yh09b3fkf6vz5d6jdgrlvmg60lfwtqhj

https://struts.apache.org/announce-2023#a20231207-1

https://struts.apache.org/announce-2023#a20231207-2

【2】Edgecross 基本ソフトウェア Windows版に複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU98954443/

概要
一般社団法人Edgecrossコンソーシアムが提供するEdgecross 基本ソフトウェア Windows版には、複数の脆弱性が存在します。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.openssl.org/news/secadv/20230207.txt

https://www.edgecross.org/ja/data-download/pdf/ECD-TE10-0006-01-JA.pdf

https://github.com/madler/zlib/issues/605

【3】複数のAtlassian製品に脆弱性
情報源
https://confluence.atlassian.com/security/cve-2023-22522-rce-vulnerability-in-confluence-data-center-and-confluence-server-1319570362.html

概要
Atlassianは、Confluence Data CenterおよびConfluence Serverを含む複数の製品について脆弱性情報を公開しています。影響する製品および詳細は、開発者が提供する情報を参照してください。
関連文書
https://confluence.atlassian.com/security/december-2023-security-advisories-overview-1318892103.html

【4】UEFI実装に組み込まれた画像処理ライブラリに複数の脆弱性
情報源
https://kb.cert.org/vuls/id/811862

概要
UEFI実装に用いられる複数の画像処理ライブラリに、種々の脆弱性が発見されています。幾つかの製品ベンダーは、この問題への緩和策や修正に関する情報を提供しています。CERT/CCは、この問題に関して製品ベンダーの対応状況を横断的に示していますので、ご確認のうえ対処をご検討ください。
関連文書
https://jvn.jp/vu/JVNVU90984676/

https://binarly.io/posts/finding_logofail_the_dangers_of_image_parsing_during_system_boot

【5】複数のCODESYS Control製品にOSコマンドインジェクションの脆弱性
情報源
https://jvn.jp/vu/JVNVU97256167/

概要
CODESYS GmbHが提供する複数のCODESYS Control製品には、OSコマンドインジェクションの脆弱性が存在します。当該製品の一部は修正済みのバージョンに更新することで、この問題は解決します。また、その他の製品についてもアップデートバージョンが2024年1月に提供予定とのことです。詳細は開発者が提供する情報を参照してください。
関連文書
https://cert.vde.com/en/advisories/VDE-2023-066/

https://customers.codesys.com/index.php?eID=dumpFile&t=f&f=18027&token=43109051cf95d3445bc616e4efb8414336ebcc47

【6】FXC製無線LANルーター「AE1021PE」および「AE1021」にOSコマンドインジェクションの脆弱性
情報源
https://jvn.jp/vu/JVNVU92152057/

概要
FXC株式会社が提供する情報コンセント対応型無線LANルーター「AE1021PE」および「AE1021」には、OSコマンドインジェクションの脆弱性が存在します。当該製品の問題は、ファームウェアをアップデートし、適切な設定を行うことで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.fxc.jp/news/20231206

【7】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2023/12/stable-channel-update-for-desktop.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【8】楽々Document Plusにディレクトリトラバーサルの脆弱性
情報源
https://jvn.jp/jp/JVN46895889/

概要
住友電工情報システム株式会社が提供する楽々Document Plusには、ディレクトリトラバーサルの脆弱性が存在します。開発者によると、この問題へ対応した修正バージョンは2024年1月に提供予定であり、本アドバイザリ公表時点では、修正パッチを提供しています。詳細は、開発者が提供する情報を参照してください（関連文書に掲載するサイトはログインが必要です）。
関連文書
https://rakrak.jp/RakDocSupport/rkspServlet

【9】JPCERT/CCが「サイバー攻撃被害に係る情報の意図しない開示がもたらす情報共有活動への影響について」を公開
情報源
https://blogs.jpcert.or.jp/ja/2023/12/leaks-and-breaking-trust.html

概要
2023年12月5日、JPCERT/CCはブログ「サイバー攻撃被害に係る情報の意図しない開示がもたらす情報共有活動への影響について」を公開しました。サイバー攻撃の被害組織や、被害組織以外で被害情報を扱う関係者が留意すべき点についてお示しした内容となっております。関連のご相談も、記事に記載の弊センター窓口までお気軽にご連絡ください。

目　次
【1】Ruckus Access Pointにクロスサイトスクリプティングの脆弱性
【2】Apache Tomcatにリクエストスマグリングの脆弱性
【3】Google Chromeに複数の脆弱性
【4】複数のApple製品に脆弱性
【5】JPCERT/CCが「ICS脆弱性分析レポート - 2023年度上期 -」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】Ruckus Access Pointにクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN45891816/

概要
Ruckus Access Pointには、クロスサイトスクリプティングの脆弱性があります。対象となる製品やバージョンは多岐にわたります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://support.ruckuswireless.com/security_bulletins/323

【2】Apache Tomcatにリクエストスマグリングの脆弱性
情報源
https://jvn.jp/vu/JVNVU96182160/

概要
Apache Tomcatには、リクエストスマグリングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.0-M11

https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.16

https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.83

https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.96

【3】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2023/11/stable-channel-update-for-desktop_28.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。Googleは今回修正された脆弱性の一部を悪用する攻撃をすでに確認しているとのことです。詳細は開発者が提供する情報を参照してください。

【4】複数のApple製品に脆弱性
情報源
https://www.jpcert.or.jp/newsflash/2023120101.html

概要
AppleからiOSおよびiPadOS、macOS、Safariに関するセキュリティアップデートが公開されました。Appleは今回修正された脆弱性を悪用する攻撃をすでに確認しているとのことです。詳細は開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/HT214031

https://support.apple.com/ja-jp/HT214032

https://support.apple.com/ja-jp/HT214033

【5】JPCERT/CCが「ICS脆弱性分析レポート - 2023年度上期 -」を公開
情報源
https://www.jpcert.or.jp/ics/ICS_VulsAnalysisReport2023H1.pdf

概要
2023年11月30日、JPCERT/CCは「ICS脆弱性分析レポート - 2023年度上期 -」を公開しました。本文書は、2023年度上期に公表されたICS関連製品の脆弱性情報の中から特徴的なものをピックアップし、その内容やICS全体への影響などを解説しています。ICSユーザー組織のセキュリティ担当者がICS関連製品の脆弱性情報を認識、理解する上での参考情報としてご活用ください。