■12/03(日)~12/09(土) のセキュリティ関連情報
目 次
【1】Apache Struts 2に外部からアクセス可能なファイルの脆弱性
【2】Edgecross 基本ソフトウェア Windows版に複数の脆弱性
【3】複数のAtlassian製品に脆弱性
【4】UEFI実装に組み込まれた画像処理ライブラリに複数の脆弱性
【5】複数のCODESYS Control製品にOSコマンドインジェクションの脆弱性
【6】FXC製無線LANルーター「AE1021PE」および「AE1021」にOSコマンドインジェクションの脆弱性
【7】Google Chromeに複数の脆弱性
【8】楽々Document Plusにディレクトリトラバーサルの脆弱性
【9】JPCERT/CCが「サイバー攻撃被害に係る情報の意図しない開示がもたらす情報共有活動への影響について」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
【1】Apache Struts 2に外部からアクセス可能なファイルの脆弱性
情報源
https://jvn.jp/vu/JVNVU96961218/
概要
The Apache Software Foundationが提供するApache Struts 2には、外部からアクセス可能なファイルの脆弱性が存在し、結果として任意のコードが実行される可能性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://cwiki.apache.org/confluence/display/WW/S2-066
https://lists.apache.org/thread/yh09b3fkf6vz5d6jdgrlvmg60lfwtqhj
https://struts.apache.org/announce-2023#a20231207-1
https://struts.apache.org/announce-2023#a20231207-2
【2】Edgecross 基本ソフトウェア Windows版に複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU98954443/
概要
一般社団法人Edgecrossコンソーシアムが提供するEdgecross 基本ソフトウェア Windows版には、複数の脆弱性が存在します。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.openssl.org/news/secadv/20230207.txt
https://www.edgecross.org/ja/data-download/pdf/ECD-TE10-0006-01-JA.pdf
https://github.com/madler/zlib/issues/605
【3】複数のAtlassian製品に脆弱性
情報源
https://confluence.atlassian.com/security/cve-2023-22522-rce-vulnerability-in-confluence-data-center-and-confluence-server-1319570362.html
概要
Atlassianは、Confluence Data CenterおよびConfluence Serverを含む複数の製品について脆弱性情報を公開しています。影響する製品および詳細は、開発者が提供する情報を参照してください。
関連文書
https://confluence.atlassian.com/security/december-2023-security-advisories-overview-1318892103.html
【4】UEFI実装に組み込まれた画像処理ライブラリに複数の脆弱性
情報源
https://kb.cert.org/vuls/id/811862
概要
UEFI実装に用いられる複数の画像処理ライブラリに、種々の脆弱性が発見されています。幾つかの製品ベンダーは、この問題への緩和策や修正に関する情報を提供しています。CERT/CCは、この問題に関して製品ベンダーの対応状況を横断的に示していますので、ご確認のうえ対処をご検討ください。
関連文書
https://jvn.jp/vu/JVNVU90984676/
https://binarly.io/posts/finding_logofail_the_dangers_of_image_parsing_during_system_boot
【5】複数のCODESYS Control製品にOSコマンドインジェクションの脆弱性
情報源
https://jvn.jp/vu/JVNVU97256167/
概要
CODESYS GmbHが提供する複数のCODESYS Control製品には、OSコマンドインジェクションの脆弱性が存在します。当該製品の一部は修正済みのバージョンに更新することで、この問題は解決します。また、その他の製品についてもアップデートバージョンが2024年1月に提供予定とのことです。詳細は開発者が提供する情報を参照してください。
関連文書
https://cert.vde.com/en/advisories/VDE-2023-066/
https://customers.codesys.com/index.php?eID=dumpFile&t=f&f=18027&token=43109051cf95d3445bc616e4efb8414336ebcc47
【6】FXC製無線LANルーター「AE1021PE」および「AE1021」にOSコマンドインジェクションの脆弱性
情報源
https://jvn.jp/vu/JVNVU92152057/
概要
FXC株式会社が提供する情報コンセント対応型無線LANルーター「AE1021PE」および「AE1021」には、OSコマンドインジェクションの脆弱性が存在します。当該製品の問題は、ファームウェアをアップデートし、適切な設定を行うことで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.fxc.jp/news/20231206
【7】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2023/12/stable-channel-update-for-desktop.html
概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
【8】楽々Document Plusにディレクトリトラバーサルの脆弱性
情報源
https://jvn.jp/jp/JVN46895889/
概要
住友電工情報システム株式会社が提供する楽々Document Plusには、ディレクトリトラバーサルの脆弱性が存在します。開発者によると、この問題へ対応した修正バージョンは2024年1月に提供予定であり、本アドバイザリ公表時点では、修正パッチを提供しています。詳細は、開発者が提供する情報を参照してください(関連文書に掲載するサイトはログインが必要です)。
関連文書
https://rakrak.jp/RakDocSupport/rkspServlet
【9】JPCERT/CCが「サイバー攻撃被害に係る情報の意図しない開示がもたらす情報共有活動への影響について」を公開
情報源
https://blogs.jpcert.or.jp/ja/2023/12/leaks-and-breaking-trust.html
概要
2023年12月5日、JPCERT/CCはブログ「サイバー攻撃被害に係る情報の意図しない開示がもたらす情報共有活動への影響について」を公開しました。サイバー攻撃の被害組織や、被害組織以外で被害情報を扱う関係者が留意すべき点についてお示しした内容となっております。関連のご相談も、記事に記載の弊センター窓口までお気軽にご連絡ください。