ミニ・いんふぉめーしょん

目　次
【1】複数のCisco製品に脆弱性
【2】Google Chromeに複数の脆弱性
【3】Service Location Protocol実装機器がサービス運用妨害（DoS）攻撃に悪用される可能性
【4】複数のVMware製品に脆弱性
【5】複数のZyxel製品に脆弱性
【6】WordPress用プラグインAppointment and Event Booking Calendar for WordPress ‐ Ameliaにクロスサイトスクリプティングの脆弱性
【7】OpenSSLの64ビットARM向けAES-XTS実装に入力バッファ外読み込みの脆弱性
【8】NICTが「NICTER観測統計 - 2023年1 月-3月」を公開
【9】IPAが「中小企業の情報セキュリティ対策ガイドライン 第3.1版」を公開
【10】IPAが「令和4年度中小企業等に対するサイバー攻撃の実態調査」の調査実施報告書を公開
【11】JPCERT/CCが「攻撃キャンペーンDangerousPasswordに関連する攻撃動向」に関するブログを公開
【12】JPCERT/CCが「2023年1月から3月を振り返って」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】複数のCisco製品に脆弱性
情報源
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-spa-unauth-upgrade-UqhyTWW

概要
複数のCisco製品には、脆弱性があります。影響を受ける製品、バージョン、解決策については開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x

【2】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2023/05/stable-channel-update-for-desktop.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【3】Service Location Protocol実装機器がサービス運用妨害（DoS）攻撃に悪用される可能性
情報源
https://jvn.jp/vu/JVNVU92686627/

概要
Service Location Protocol（SLP）を実装した機器が、サービス運用妨害（DoS）攻撃に悪用される可能性があることが報告されています。この問題は、サーバへのネットワークアクセスを無効にするか制限することで回避することができます。詳細は関連文書を参照してください。
関連文書
https://www.cisa.gov/news-events/alerts/2023/04/25/abuse-service-location-protocol-may-lead-dos-attacks

https://www.bitsight.com/blog/new-high-severity-vulnerability-cve-2023-29552-discovered-service-location-protocol-slp

【4】複数のVMware製品に脆弱性
情報源
https://www.vmware.com/security/advisories/VMSA-2023-0008.html

概要
複数のVMware製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新するか、回避策を適用することで解決します。詳細は開発者が提供する情報を参照してください。

【5】複数のZyxel製品に脆弱性
情報源
https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-remote-command-injection-vulnerability-of-firewalls

概要
複数のZyxel製品には、OSコマンドインジェクションの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【6】WordPress用プラグインAppointment and Event Booking Calendar for WordPress ‐ Ameliaにクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN00971105/

概要
WordPress用プラグインAppointment and Event Booking Calendar for WordPress ‐ Ameliaには、クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://ja.wordpress.org/plugins/ameliabooking/#developers

【7】OpenSSLの64ビットARM向けAES-XTS実装に入力バッファ外読み込みの脆弱性
情報源
https://jvn.jp/vu/JVNVU91545757/

概要
OpenSSL Projectより、OpenSSL Security Advisory [20th April 2023]が公開されました。開発者によると、修正内容は次期リリースに含まれる予定で、以下のコミットでも修正されています。
・commit bc2f61ad（3.1ユーザ向け）
・commit 02ac9c94（3.0ユーザ向け）
関連文書
https://www.openssl.org/news/secadv/20230420.txt

https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=02ac9c9420275868472f33b01def01218742b8bb

https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=bc2f61ad70971869b242fc1cb445b98bad50074a

【8】NICTが「NICTER観測統計 - 2023年1 月-3月」を公開
情報源
https://blog.nicter.jp/2023/04/nicter_statistics_2023_1q/

概要
2023年4月26日、情報通信研究機構（NICT）は「NICTER観測統計 - 2023年1 月-3月」を公開しました。
NICTERプロジェクトのダークネット観測網における2023年第1四半期（1月-3月）の観測結果をまとめています。

【9】IPAが「中小企業の情報セキュリティ対策ガイドライン 第3.1版」を公開
情報源
https://www.ipa.go.jp/security/guide/sme/about.html

概要
2023年4月26日、独立行政法人情報処理推進機構（IPA）は「中小企業の情報セキュリティ対策ガイドライン 第3.1版」を公開しました。第3.1版では、テレワークのセキュリティ対策の項目やセキュリティインシデント発生時の対応が追加されています。
関連文書
https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/000055520.pdf

【10】IPAが「令和4年度中小企業等に対するサイバー攻撃の実態調査」の調査実施報告書を公開
情報源
https://www.ipa.go.jp/security/reports/sme/cyberkogeki2022.html

概要
2023年4月25日、独立行政法人情報処理推進機構（IPA）は「令和4年度中小企業等に対するサイバー攻撃の実態調査」の調査実施報告書を公開しました。
関連文書
https://www.ipa.go.jp/security/reports/sme/ps6vr7000001b5t7-att/Kougeki-jittai-houkoku2023.pdf

【11】JPCERT/CCが「攻撃キャンペーンDangerousPasswordに関連する攻撃動向」に関するブログを公開
情報源
https://blogs.jpcert.or.jp/ja/2023/05/dangerouspassword.html

概要
2023年5月1日、JPCERT/CCは「攻撃キャンペーンDangerousPasswordに関連する攻撃動向」に関するブログを公開しました。2019年6月から継続している攻撃キャンペーン"DangerousPassword"に関連すると考えられる暗号資産交換事業者への攻撃について、最近確認された攻撃手法を紹介しています。
【12】JPCERT/CCが「2023年1月から3月を振り返って」を公開
情報源
https://www.jpcert.or.jp/newsflash/2023042601.html

概要
2023年4月26日、JPCERT/CCは「2023年1月から3月を振り返って」を公開しました。2023年1月以降に確認された、影響範囲の広い脆弱性情報や脅威情報などをまとめています。

目　次
【1】VMware Aria Operations for Logsに複数の脆弱性
【2】Drupal coreにアクセスバイパスの脆弱性
【3】複数のCisco製品に脆弱性
【4】Google Chromeに複数の脆弱性
【5】WordPress用プラグインLIQUID SPEECH BALLOONにクロスサイトリクエストフォージェリの脆弱性
【6】EC-CUBE 2系用プラグイン「ネクストエンジン連携プラグイン」に認証不備の脆弱性
【7】2023年4月Oracle Critical Patch Updateについて
【8】Joruri Gwにクロスサイトスクリプティングの脆弱性
【9】IPAらが「ゴールデンウイークにおける情報セキュリティに関する注意喚起」を公開
【10】CRYPTRECが「CRYPTREC 暗号技術ガイドライン（耐量子計算機暗号）」および「CRYPTREC 暗号技術ガイドライン（高機能暗号）」を公開
【11】JPCERT/CCが2023年1月-2023年3月分の「活動四半期レポート」などを公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】VMware Aria Operations for Logsに複数の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/04/21/vmware-releases-security-update-aria-operations-logs

概要
VMware Aria Operations for Logsには、複数の脆弱性があります。この問題は、当該製品をVMwareが提供する修正済みのバージョンに更新するか、回避策を適用することで解決します。詳細は、VMwareが提供する情報を参照してください。
関連文書
https://www.vmware.com/security/advisories/VMSA-2023-0007.html

【2】Drupal coreにアクセスバイパスの脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/04/21/drupal-releases-security-advisory-address-vulnerability-drupal-core

概要
Drupal coreのファイルダウンロード機能には、特定の状況下でファイルパスが十分にサニタイズ処理されない問題があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、Drupalが提供する情報を参照してください。
関連文書
https://www.drupal.org/sa-core-2023-005

【3】複数のCisco製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/04/21/cisco-releases-security-advisories-multiple-products

概要
複数のCisco製品には、脆弱性があります。影響を受ける製品、バージョンは多岐にわたります。この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新することで解決します。詳細は、Ciscoが提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x

【4】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_18.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、Google Chromeを開発者が提供する修正済みのバージョンに更新することで解決します。Googleは今回修正された脆弱性の一つのエクスプロイトを確認しているとのことです。詳細は開発者が提供する情報を参照してください。
【5】WordPress用プラグインLIQUID SPEECH BALLOONにクロスサイトリクエストフォージェリの脆弱性
情報源
https://jvn.jp/jp/JVN99657911/

概要
WordPress用プラグインLIQUID SPEECH BALLOONには、クロスサイトリクエストフォージェリの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://wordpress.org/plugins/liquid-speech-balloon/#developers

【6】EC-CUBE 2系用プラグイン「ネクストエンジン連携プラグイン」に認証不備の脆弱性
情報源
https://jvn.jp/jp/JVN50862842/

概要
NE株式会社が提供するEC-CUBE 2系用プラグイン「ネクストエンジン連携プラグイン」には、認証不備の脆弱性があります。当該プラグインのサポートはすでに終了しているため、恒久的な対策として、製品の使用を停止してください。詳細は開発者が提供する情報を参照してください。

【7】2023年4月Oracle Critical Patch Updateについて
情報源
https://www.oracle.com/security-alerts/cpuapr2023.html

概要
Oracleから複数の製品およびコンポーネントに含まれる脆弱性に対応したOracle Critical Patch Update Advisoryが公開されました。詳細は、Oracleが提供する情報を参照してください。
関連文書
https://www.jpcert.or.jp/at/2023/at230008.html

【8】Joruri Gwにクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN87559956/

概要
サイトブリッジ株式会社が提供するJoruri Gwには、クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://joruri-pwm.jp/org/docs/2022093000017/

【9】IPAらが「ゴールデンウイークにおける情報セキュリティに関する注意喚起」を公開
情報源
https://www.ipa.go.jp/security/anshin/heads-up/alert20230420.html

概要
2023年4月20日、独立行政法人情報処理推進機構（IPA）は「ゴールデンウイークにおける情報セキュリティに関する注意喚起」を公開しました。IPAが公開している長期休暇における情報セキュリティ対策を案内しています。24日には、内閣官房内閣サイバーセキュリティセンター（NISC）、経済産業省、総務省、警察庁が合同で、春の大型連休に向けて実施いただきたい対策についての注意喚起を公開しています。
関連文書
https://www.nisc.go.jp/news/notice/20230424.html

【10】CRYPTRECが「CRYPTREC 暗号技術ガイドライン（耐量子計算機暗号）」および「CRYPTREC 暗号技術ガイドライン（高機能暗号）」を公開
情報源
https://www.cryptrec.go.jp/topics/cryptrec_20230417_guidelines.html

概要
2023年4月17日、CRYPTRECは「CRYPTREC 暗号技術ガイドライン（耐量子計算機暗号）」および「CRYPTREC 暗号技術ガイドライン（高機能暗号）」を公開しました。国立研究開発法人情報通信研究機構（NICT）と独立行政法人情報処理推進機構（IPA）が共同で運営する「暗号技術評価委員会」の2022年度の活動成果として作成されたものです。

【11】JPCERT/CCが2023年1月-2023年3月分の「活動四半期レポート」などを公開
情報源
https://www.jpcert.or.jp/pr/2023/PR_Report2022Q4.pdf

概要
2023年4月18日、JPCERT/CCは2023年1月-3月分の「活動四半期レポート」「インシデント報告対応レポート」を公開しました。本四半期中のJPCERT/CCの国内外の活動に加え、JPCERT/CCが報告を受け付けたインシデントの統計や事例などについてまとめています。同月20日には、「ソフトウェア等の脆弱性関連情報に関する届出状況」も公開し、同四半期中の脆弱性関連情報に関する届出状況についてまとめています。参考資料としてご活用ください。
関連文書
https://www.jpcert.or.jp/pr/2023/IR_Report2022Q4.pdf

https://www.jpcert.or.jp/pr/2023/vulnREPORT_2023q1.pdf

目　次
【1】JB問い合わせフォームに認可されていない行為者への個人情報の漏えいの脆弱性
【2】ウイルスバスター クラウドにDLL読み込みに関する脆弱性
【3】複数のJuniper Networks製品に脆弱性
【4】Google Chromeに複数の脆弱性
【5】複数のApple製品に脆弱性
【6】複数のマイクロソフト製品に脆弱性
【7】複数のアドビ製品に脆弱性
【8】複数のMozilla製品に脆弱性
【9】複数のFortinet製品に脆弱性
【10】複数のプリンタ機器連携用Androidアプリにアクセス制限不備の脆弱性
【11】IPAが「ビジネスメール詐欺の事例集」を追加
【12】IPAが「遠隔操作ソフト（アプリ）を悪用される手口」に関する安心相談窓口だよりを公開
【13】JPCERT/CCが「暗号資産交換業者を標的とするParallax RAT感染を狙った活動」に関するブログを公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】JB問い合わせフォームに認可されていない行為者への個人情報の漏えいの脆弱性
情報源
https://jvn.jp/jp/JVN36340790/

概要
ジューベー株式会社が提供するJB問い合わせフォームには、認可されていない行為者への個人情報の漏えいの脆弱性があります。この問題は、当該製品を開発者が提供する最新のバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://jubei.co.jp/formmail/info20230414.html

【2】ウイルスバスター クラウドにDLL読み込みに関する脆弱性
情報源
https://jvn.jp/jp/JVN76257155/

概要
トレンドマイクロ株式会社が提供するウイルスバスター クラウドには、DLL読み込みに関する脆弱性があります。この問題は、当該製品を開発者が提供する最新のバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-11386

【3】複数のJuniper Networks製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/04/13/juniper-networks-releases-security-updates

概要
Juniper Networksは同社製品における脆弱性に関するアドバイザリを計26件（Critical 2件、High 10件、Medium 14件）公開しました。対象製品は多岐にわたります。開発者が提供する情報を参考にアップデートなどの対応を実施してください。
関連文書
https://supportportal.juniper.net/s/global-search/%40uri?language=en_US#sort=%40sfcec_community_publish_date_formula__c%20descending&numberOfResults=50&f:ctype=[Security%20Advisories]

【4】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_12.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、Google Chromeを開発者が提供する修正済みのバージョンに更新することで解決します。Googleは今回修正された脆弱性の一つを悪用する攻撃を確認しているとのことです。詳細は開発者が提供する情報を参照してください。
関連文書
https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_14.html

【5】複数のApple製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/04/11/apple-releases-security-updates-multiple-products

概要
複数のApple製品には、脆弱性があります。iOSやiPadOSの16系や15系、macOSの13系、12系、11系、Safariが影響を受けます。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。Appleは今回修正された脆弱性を悪用する攻撃をすでに確認しているとのことです。詳細は開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/HT201222

https://www.jpcert.or.jp/newsflash/2023041001.html

【6】複数のマイクロソフト製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/04/11/microsoft-releases-april-2023-security-updates

概要
複数のマイクロソフト製品には、脆弱性があります。対象は多岐にわたります。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.jpcert.or.jp/at/2023/at230007.html

https://msrc.microsoft.com/blog/2023/04/202304-security-update/

【7】複数のアドビ製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/04/11/adobe-releases-security-updates-multiple-products

概要
複数のアドビ製品には、脆弱性があります。Adobe AcrobatおよびReader、Adobe Digital Editions、Adobe InCopy、Adobe Substance 3D Stager、Adobe Dimension、Adobe Substance 3D Designerが影響を受けます。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.jpcert.or.jp/at/2023/at230006.html

https://www.jpcert.or.jp/newsflash/2023041201.html

【8】複数のMozilla製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/04/11/mozilla-releases-security-advisories-multiple-products

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox for Android、Focus for Android、Firefox ESR、Thunderbirdが影響を受けます。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参考にしてください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2023-13/

https://www.mozilla.org/en-US/security/advisories/mfsa2023-14/

https://www.mozilla.org/en-US/security/advisories/mfsa2023-15/

【9】複数のFortinet製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/04/11/fortinet-releases-april-2023-vulnerability-advisories

概要
複数のFortinet製品には、脆弱性があります。対象は多岐にわたります。この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.fortiguard.com/psirt-monthly-advisory/april-2023-vulnerability-advisories

【10】複数のプリンタ機器連携用Androidアプリにアクセス制限不備の脆弱性
情報源
https://jvn.jp/vu/JVNVU98434809/

概要
複数のプリンタ機器連携用Androidアプリには、Intentの取り扱いに関してアクセス制限不備の脆弱性があります。京セラドキュメントソリューションズ株式会社が提供する「KYOCERA Mobile Print」などが影響を受けます。この問題は、当該アプリを最新版へアップデートすることで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.kyoceradocumentsolutions.co.jp/support/information/info_20230411.html

【11】IPAが「ビジネスメール詐欺の事例集」を追加
情報源
https://www.ipa.go.jp/security/bec/hjuojm0000003c8r-att/case6.pdf

概要
2023年4月13日、独立行政法人情報処理推進機構（IPA）は、ビジネスメール詐欺の詳細事例として、国内企業社長になりすまし、グループ企業役員に金銭の支払を要求した事例を公開しました。本事例は、2022年8月に、国内の企業の社長になりすました攻撃者から、東南アジアのグループ企業の役員に対して、M&A（企業の合併買収）について協力してほしいと称するメールが送られたものです。攻撃者とのメールのやり取りや詐欺発覚後の対応と再発防止策について記載されています。
関連文書
https://www.ipa.go.jp/security/bec/bec_cases.html

【12】IPAが「遠隔操作ソフト（アプリ）を悪用される手口」に関する安心相談窓口だよりを公開
情報源
https://www.ipa.go.jp/security/anshin/attention/2023/mgdayori20230411.html

概要
2023年4月11日、独立行政法人情報処理推進機構（IPA）は安心相談窓口だよりにて「遠隔操作ソフト（アプリ）を悪用される手口に気をつけて！」を公開しました。遠隔操作を受ける場合のリスクと悪用された事例や、注意点について解説しています。
【13】JPCERT/CCが「暗号資産交換業者を標的とするParallax RAT感染を狙った活動」に関するブログを公開
情報源
https://blogs.jpcert.or.jp/ja/2023/04/parallax-rat.html

概要
2023年4月13日、JPCERT/CCは「暗号資産交換業者を標的とするParallax RAT感染を狙った活動」に関するブログを公開しました。本ブログでは、2023年2月ごろに確認された暗号資産交換業者に対してマルウェアParallax RATを感染させようとする攻撃の詳細を解説しています。

目　次
【1】複数のCisco製品に脆弱性
【2】国土数値情報データ変換ツールにXML外部実体参照（XXE）に関する脆弱性
【3】ジャストシステム製品に複数の脆弱性
【4】警察庁サイバー警察局が「サイバー事案の被害の潜在化防止に向けた検討会 報告書 2023」を公表
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】複数のCisco製品に脆弱性
情報源
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-stealthsmc-rce-sfNBPjcS

概要
Ciscoは同社製品における脆弱性に関するアドバイザリを計13件（High 3件、Medium 9件、Informational 1件）公開しました。開発者が提供する情報を参考にアップデートなどの対応を実施してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x

【2】国土数値情報データ変換ツールにXML外部実体参照（XXE）に関する脆弱性
情報源
https://jvn.jp/jp/JVN75742861/

概要
国土交通省が提供する国土数値情報データ変換ツールには、XML外部実体参照（XXE）に関する脆弱性があります。開発者によると当該製品は公開終了しています。恒久的な対策として、製品の使用を停止してください。
関連文書
https://nlftp.mlit.go.jp/i_news.html#news4

【3】ジャストシステム製品に複数の脆弱性
情報源
https://jvn.jp/jp/JVN79149117/

概要
ジャストシステム製品には、複数の脆弱性があります。一太郎シリーズ、花子シリーズ、楽々はがきシリーズなど、影響を受ける製品は広範囲に及びます。開発者が提供する情報をもとに最新版へアップデートしてください。
関連文書
https://www.justsystems.com/jp/corporate/info/js23001.html

【4】警察庁サイバー警察局が「サイバー事案の被害の潜在化防止に向けた検討会 報告書 2023」を公表
情報源
https://www.npa.go.jp/bureau/cyber/pdf/20230406_2.pdf

概要
2023年4月6日、警察庁サイバー警察局は「サイバー事案の被害の潜在化防止に向けた検討会 報告書 2023」を公表しました。サイバー事案に関する被害の潜在化の防止を目的として、関係機関等と連携した情報共有や被害者が自発的に通報・相談しやすい環境の整備等に関して、効果的な方策を多様な観点から議論するため、「サイバー事案の被害の潜在化防止に向けた検討会」が議論を重ね、その結果を取りまとめたものです。
関連文書
https://www.npa.go.jp/news/release/2023/20230405001.html

目　次
【1】コンテック製CONPROSYS HMI System(CHS)にSQLインジェクションの脆弱性
【2】ジェイテクトエレクトロニクス製Screen Creator Advance 2にメモリバッファエラーの脆弱性
【3】セイコーソリューションズ製SkyBridge MB-A100/A110/A200/A130およびSkySpider MB-R210に複数の脆弱性
【4】HAProxyにHTTPリクエストスマグリングの脆弱性
【5】Sambaに複数の脆弱性
【6】OpenSSLに複数の脆弱性（Security Advisory [28th March 2023]）
【7】Mozilla Thunderbirdにサービス運用妨害（DoS）の脆弱性
【8】複数のApple製品に脆弱性
【9】baserCMSに任意のファイルをアップロードされる脆弱性
【10】警視庁が「家庭用ルーターの不正利用に関する注意喚起」を公開
【11】「電子政府における調達のために参照すべき暗号のリスト（CRYPTREC 暗号リスト）」改訂
【12】経済産業省が「サイバーセキュリティ経営ガイドライン」を改訂
【13】JPCERT/CCが「制御システムセキュリティカンファレンス 2023 開催レポート」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】コンテック製CONPROSYS HMI System(CHS)にSQLインジェクションの脆弱性
情報源
https://jvn.jp/vu/JVNVU92145493/

概要
株式会社コンテックが提供するCONPROSYS HMI System(CHS)には、SQLインジェクションの脆弱性があります。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.contec.com/jp/api/downloadlogger?download=/-/media/Contec/jp/support/security-info/contec_security_chs_230331_jp.pdf

【2】ジェイテクトエレクトロニクス製Screen Creator Advance 2にメモリバッファエラーの脆弱性
情報源
https://jvn.jp/vu/JVNVU99710864/

概要
株式会社ジェイテクトエレクトロニクスが提供するScreen Creator Advance 2には、メモリバッファエラーの脆弱性があります。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.electronics.jtekt.co.jp/jp/topics/2023033113960/

【3】セイコーソリューションズ製SkyBridge MB-A100/A110/A200/A130およびSkySpider MB-R210に複数の脆弱性
情報源
https://jvn.jp/jp/JVN40604023/

概要
セイコーソリューションズ株式会社が提供するSkyBridge MB-A100/A110/A200/A130およびSkySpider MB-R210には、複数の脆弱性があります。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.seiko-sol.co.jp/archives/73969/

【4】HAProxyにHTTPリクエストスマグリングの脆弱性
情報源
https://jvn.jp/jp/JVN38170084/

概要
HAProxyには、HTTPリクエストスマグリングの脆弱性があります。詳細は開発者が提供する情報を参照してください。
【5】Sambaに複数の脆弱性
情報源
https://www.samba.org/samba/latest_news.html#4.18.1

概要
Sambaには、複数の脆弱性があります。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.samba.org/samba/security/CVE-2023-0225.html

https://www.samba.org/samba/security/CVE-2023-0922.html

https://www.samba.org/samba/security/CVE-2023-0614.html

【6】OpenSSLに複数の脆弱性（Security Advisory [28th March 2023]）
情報源
https://jvn.jp/vu/JVNVU99604728/

概要
OpenSSLでは、深刻度が低（Severity: Low）の脆弱性が2件修正されています。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.openssl.org/news/secadv/20230328.txt

【7】Mozilla Thunderbirdにサービス運用妨害（DoS）の脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2023-12/

概要
Mozilla Thunderbirdには、サービス運用妨害（DoS）の脆弱性があります。詳細は開発者が提供する情報を参考にしてください。

【8】複数のApple製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/03/28/apple-releases-security-updates-multiple-products

概要
複数のApple製品には、脆弱性があります。今回修正された脆弱性の内、iOS 15.7.4およびiPadOS 15.7.4で修正されたWebKitにおける型の取り違えの脆弱性（CVE-2023-23529）は、2023年2月にiOS 16系などでも修正された脆弱性で、本脆弱性を悪用する攻撃に関する報告をすでに確認しているとしてAppleは注意を呼びかけています。早期のアップデート適用を推奨します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.jpcert.or.jp/newsflash/2023032801.html

https://support.apple.com/ja-jp/HT201222

【9】baserCMSに任意のファイルをアップロードされる脆弱性
情報源
https://jvn.jp/jp/JVN61105618/

概要
baserCMSユーザー会が提供するbaserCMSには、任意のファイルをアップロードされる脆弱性があります。詳細は開発者が提供する情報を参照してください。
関連文書
https://basercms.net/security/JVN_61105618

【10】警視庁が「家庭用ルーターの不正利用に関する注意喚起」を公開
情報源
https://www.keishicho.metro.tokyo.lg.jp/kurashi/cyber/notes/router.html

概要
2023年3月28日、警視庁サイバー攻撃対策センターは家庭用ルーターの不正利用に関する注意喚起を公開しました。従来の対策である初期IDやパスワードの変更、ファームウェアの最新化、サポート終了製品の買い替えに加え、見覚えのない設定変更がないか定期的に確認する対策が必要であるとし、複数の関係メーカーと協力の上、注意を呼びかけました。

【11】「電子政府における調達のために参照すべき暗号のリスト（CRYPTREC 暗号リスト）」改訂
情報源
https://www.digital.go.jp/news/9ad4ff87-b673-4f3d-a2f5-8750525f9502/

概要
2023年3月30日、デジタル庁、総務省および経済産業省は「電子政府における調達のために参照すべき暗号のリスト（CRYPTREC暗号リスト）」の改定版の策定を公表しました。CRYPTRECは電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法・運用法を調査・検討するプロジェクトです。CRYPTREC暗号リストは電子政府推奨暗号リスト、推奨候補暗号リストおよび運用監視暗号リストで構成され、2013年策定版から暗号アルゴリズム利用実績調査などの結果を踏まえて改定が行われています。
関連文書
https://www.cryptrec.go.jp/

https://www.cryptrec.go.jp/list.html

https://www.cryptrec.go.jp/list/cryptrec-ls-0001-2022.pdf

https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00162.html

【12】経済産業省が「サイバーセキュリティ経営ガイドライン」を改訂
情報源
https://www.meti.go.jp/press/2022/03/20230324002/20230324002.html

概要
2023年3月24日、経済産業省は「サイバーセキュリティ経営ガイドライン」の改訂を公表しました。経営者が認識すべき3原則について、取引関係にとどまらず、国内外のサプライチェーンでつながる関係者へのセキュリティ対策への目配り、総合的なセキュリティ対策の重要性や社外のみならず、社内関係者とも積極的にコミュニケーションをとることの必要性などの追加・修正などが行われています。
【13】JPCERT/CCが「制御システムセキュリティカンファレンス 2023 開催レポート」を公開
情報源
https://blogs.jpcert.or.jp/ja/2023/03/ics-conference2023.html

概要
2023年3月30日、JPCERT/CCは制御システムセキュリティカンファレンス 2023 開催レポートを公開しました。2023年2月9日に開催した本カンファレンスの開会・閉会のご挨拶および7つの講演の様子を紹介いたします。
関連文書
https://www.jpcert.or.jp/event/ics-conference2023.html

目 次
【1】複数のCisco製品に脆弱性
【2】Google Chromeに複数の脆弱性
【3】エレコム製法人向けアクセスポイント管理ツールWAB-MATによって登録されるWindowsサービスの実行ファイルパスが引用符で囲まれていない脆弱性
【4】Apache Tomcatに保護されていない認証情報の送信の脆弱性
【5】OpenSSLのX.509ポリシー制限の検証に過剰なリソース消費の問題
【今週のひとくちメモ】JPCERT/CC Weekly Reportリニューアルのお知らせ

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2023/wr230329.html
https://www.jpcert.or.jp/wr/2023/wr230329.xml

============================================================================

【1】複数のCisco製品に脆弱性

情報源
CISA Cybersecurity Alerts & Advisories
Cisco Releases Security Advisories for Multiple Products
https://www.cisa.gov/news-events/alerts/2023/03/23/cisco-releases-security-advisories-multiple-products

概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害（DoS）攻撃を行うなどの可能性があります。

影響を受ける製品、バージョンは多岐にわたります。当該期間中は、計18件の
アドバイザリ（High9件、Medium9件）が新たに公開されています。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://sec.cloudapps.cisco.com/security/center/publicationListing.x

Cisco
Cisco IOS XE Software Virtual Fragmentation Reassembly Denial of Service Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ipv4-vfr-dos-CXxtFacb

Cisco
Cisco IOS XE Software IOx Application Hosting Environment Privilege Escalation Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iox-priv-escalate-Xg8zkyPk

Cisco
Cisco IOS XE SD-WAN Software Command Injection Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ios-xe-sdwan-VQAhEjYw

Cisco
Cisco IOS XE Software Fragmented Tunnel Protocol Packet Denial of Service Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ios-gre-crash-p6nE5Sq5

Cisco
Cisco IOS and IOS XE Software IPv6 DHCP (DHCPv6) Relay and Server Denial of Service Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ios-dhcpv6-dos-44cMvdDK

Cisco
Cisco IOS XE Software for Wireless LAN Controllers HTTP Client Profiling Denial of Service Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ewlc-dos-wFujBHKw

Cisco
Cisco DNA Center Privilege Escalation Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-dnac-privesc-QFXe74RS

Cisco
Cisco IOS XE Software for Cisco Catalyst 9300 Series Switches Secure Boot Bypass Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-c9300-spi-ace-yejYgnNQ

Cisco
Cisco Access Point Software Association Request Denial of Service Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ap-assoc-dos-D2SunWK2

【2】Google Chromeに複数の脆弱性

情報源
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2023/03/stable-channel-update-for-desktop_21.html

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 111.0.5563.110（Linux版およびMac版）より前のバージョン
- Google Chrome 111.0.5563.110/.111（Windows版）より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

【3】エレコム製法人向けアクセスポイント管理ツールWAB-MATによって登録されるWindowsサービスの実行ファイルパスが引用符で囲まれていない脆弱性

情報源
Japan Vulnerability Notes JVN#35246979
エレコム製法人向けアクセスポイント管理ツール WAB-MAT によって登録される Windows サービスの実行ファイルパスが引用符で囲まれていない脆弱性
https://jvn.jp/jp/JVN35246979/

概要
エレコム株式会社が提供する法人向けアクセスポイント管理ツールWAB-MATに
よって登録されるWindowsサービスは、登録される実行ファイルのパスが引用
符で囲まれていません。結果として、特定のパスに置かれた実行ファイルが当
該Windowsサービスの権限で実行される可能性があります。

対象となるバージョンは次のとおりです。

- 法人向けアクセスポイント管理ツールWAB-MAT Ver.5.0.0.8およびそれ以前のバージョン

この問題は、エレコム株式会社が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、エレコム株式会社が提供する情報を参照してくださ
い。

関連文書 (日本語)
エレコム株式会社
法人向けアクセスポイント管理ツール「WAB-MAT」セキュリティ向上のためのアップデートのお願い
https://www.elecom.co.jp/news/security/20230324-01/

【4】Apache Tomcatに保護されていない認証情報の送信の脆弱性

情報源
Japan Vulnerability Notes JVNVU#90635957
Apache Tomcatにおける保護されていない認証情報の送信の脆弱性
https://jvn.jp/vu/JVNVU90635957/

概要
Apache Tomcatには、httpsが設定されたX-Forwarded-Protoヘッダーを含むリ
クエストをHTTP経由でリバースプロキシから受信し、RemoteIpFilterを使用し
ている場合において、Apache Tomcatが作成するセッションCookieにSecure属
性が含まれない問題が存在します。結果として、ユーザーエージェントが安全
でないチャネルでセッションCookieを送信する可能性があります。

対象となるバージョンは次のとおりです。

- Apache Tomcat 11.0.0-M1から11.0.0-M2までのバージョン
- Apache Tomcat 10.1.0-M1から10.1.5までのバージョン
- Apache Tomcat 9.0.0-M1から9.0.71までのバージョン
- Apache Tomcat 8.5.0から8.5.85までのバージョン

この問題は、Apache TomcatをThe Apache Software Foundationが提供する修
正済みのバージョンに更新することで解決します。詳細は、開発者が提供する
情報を参照してください。

関連文書 (英語)
The Apache Software Foundation
Fixed in Apache Tomcat 11.0.0-M3
https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.0-M3

The Apache Software Foundation
Fixed in Apache Tomcat 10.1.6
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.6

The Apache Software Foundation
Fixed in Apache Tomcat 9.0.72
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.72

The Apache Software Foundation
Fixed in Apache Tomcat 8.5.86
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.86

【5】OpenSSLのX.509ポリシー制限の検証に過剰なリソース消費の問題

情報源
Japan Vulnerability Notes JVNVU#94632906
OpenSSLのX.509ポリシー制限の検証における過剰なリソース消費の問題
https://jvn.jp/vu/JVNVU94632906/

概要
OpenSSLには、ポリシー制限が含まれているX.509証明書チェーンの検証におい
てリソースが過剰に消費される問題があります。結果として、第三者がサービ
ス運用妨害（DoS）攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- OpenSSL 3.1
- OpenSSL 3.0
- OpenSSL 1.1.1
- OpenSSL 1.0.2

この問題は、深刻度が低であるため2023年3月24日現在修正済みのバージョン
は公開されておらず、コミットで修正されています。詳細は、開発者が提供す
る情報を参照してください。

関連文書 (英語)
OpenSSL Project
Excessive Resource Usage Verifying X.509 Policy Constraints (CVE-2023-0464)
https://www.openssl.org/news/secadv/20230322.txt

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CC Weekly Reportリニューアルのお知らせ

JPCERT/CCは、2023年4月5日より、Weekly Reportをリニューアルいたします。
今回のリニューアルでは、適切な情報をわかりやすく、正確にお伝えできるよ
う、Weekly Reportの構成などを変更いたしました。皆さまに使いやすいWeekly
Reportの提供をめざして、内容を充実してまいります。詳細に関しては以下の
お知らせをご確認ください。

参考文献 (日本語)
JPCERT/CC
JPCERT/CC Weekly Report リニューアルのお知らせ
https://www.jpcert.or.jp/wr/wrrenewal02303.html

――――――――――――――――――――――――――――――――――――――

目 次
【1】複数のマイクロソフト製品に脆弱性
【2】複数のMozilla製品に脆弱性
【3】複数のアドビ製品に脆弱性
【4】Drupalに不適切なアクセス制御の脆弱性
【5】TP-LINK製T2600G-28SQにおける脆弱なSSHホスト鍵使用
【今週のひとくちメモ】JPCERT/CCが「JSAC2023」の開催レポートを公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2023/wr230323.html
https://www.jpcert.or.jp/wr/2023/wr230323.xml
============================================================================

【1】複数のマイクロソフト製品に脆弱性

情報源
CISA Cybersecurity & Alerts Advisories
Microsoft Releases March 2023 Security Updates
https://www.cisa.gov/news-events/alerts/2023/03/14/microsoft-releases-march-2023-security-updates

概要
複数のマイクロソフト製品には、脆弱性があります。結果として、第三者が
任意のコードを実行するなどの可能性があります。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく
ださい。

関連文書 (日本語)
マイクロソフト株式会社
2023 年 3 月のセキュリティ更新プログラム (月例)
https://msrc.microsoft.com/blog/2023/03/202303-security-update/

JPCERT/CC 注意喚起
2023年3月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2023/at230005.html

【2】複数のMozilla製品に脆弱性

情報源
CISA Cybersecurity & Alerts Advisories
Mozilla Releases Security Updates for Firefox 111, Firefox ESR 102.9, and Thunderbird 102.9
https://www.cisa.gov/news-events/alerts/2023/03/14/mozilla-releases-security-updates-firefox-111-firefox-esr-1029-and-thunderbird-1029

概要
複数のMozilla製品には、脆弱性があります。結果として、遠隔の第三者がス
プーフィング攻撃などを行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 111より前のバージョン
- Mozilla Firefox ESR 102.9より前のバージョン
- Mozilla Thunderbird 102.9より前のバージョン

この問題は、Mozillaが提供する修正済みのバージョンに更新することで解決
します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)
Mozilla
Mozilla Foundation Security Advisory 2023-09
https://www.mozilla.org/en-US/security/advisories/mfsa2023-09/

Mozilla
Mozilla Foundation Security Advisory 2023-10
https://www.mozilla.org/en-US/security/advisories/mfsa2023-10/

Mozilla
Mozilla Foundation Security Advisory 2023-11
https://www.mozilla.org/en-US/security/advisories/mfsa2023-11/

【3】複数のアドビ製品に脆弱性

情報源
CISA Cybersecurity & Alerts Advisories
Adobe Releases Security Updates for Multiple Products
https://www.cisa.gov/news-events/alerts/2023/03/14/adobe-releases-security-updates-multiple-products

概要
複数のアドビ製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe Commerce
- Adobe Experience Manager
- Adobe Illustrator
- Adobe Dimension
- Adobe Creative Cloud Desktop Application
- Adobe Substance 3D Stager
- Adobe Photoshop
- Adobe ColdFusion

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2023031501.html

関連文書 (英語)
アドビ
Security update available for Adobe Commerce | APSB23-17
https://helpx.adobe.com/security/products/magento/apsb23-17.html

アドビ
Security updates available for Adobe Experience Manager | APSB23-18
https://helpx.adobe.com/security/products/experience-manager/apsb23-18.html

アドビ
Security Updates Available for Adobe Illustrator | APSB23-19
https://helpx.adobe.com/security/products/illustrator/apsb23-19.html

アドビ
Security updates available for Dimension | APSB23-20
https://helpx.adobe.com/security/products/dimension/apsb23-20.html

アドビ
Security update available for Adobe Creative Cloud Desktop Application | APSB23-21
https://helpx.adobe.com/security/products/creative-cloud/apsb23-21.html

アドビ
Security updates available for Substance 3D Stager | APSB23-22
https://helpx.adobe.com/security/products/substance3d_stager/apsb23-22.html

アドビ
Security update available for Adobe Photoshop | APSB23-23
https://helpx.adobe.com/security/products/photoshop/apsb23-23.html

アドビ
Security updates available for Adobe ColdFusion | APSB23-25
https://helpx.adobe.com/security/products/coldfusion/apsb23-25.html

【4】Drupalに不適切なアクセス制御の脆弱性

情報源
CISA Current Activity
Drupal Releases Security Advisory to Address Vulnerability in Drupal Core
https://www.cisa.gov/news-events/alerts/2023/03/17/drupal-releases-security-advisory-address-vulnerability-drupal-core

概要
Drupalの複数のバージョンには、不適切なアクセス制御の脆弱性があります。
攻撃者がDrupalの管理者ユーザーのブラウザ上でクロスサイトスクリプティン
グを成功させた場合、本脆弱性を悪用して機微な情報にアクセスが可能となり、
さらなる攻撃に悪用される可能性があります。

対象となるバージョンは次のとおりです。

- Drupal 10.0.5より前の10.0系のバージョン
- Drupal 9.5.5より前の9.5系のバージョン
- Drupal 9.4.12より前の9系のバージョン
- Drupal 8系すべてのバージョン
- Drupal 7.95より前の7系のバージョン

なお、8系および9.4より前の9系のバージョンはEOLを迎えていることがアナ
ウンスされております。

この問題は、開発者が提供する修正済みのバージョンに更新することで解決し
ます。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
Drupal
Drupal core - Moderately critical - Access bypass - SA-CORE-2023-004
https://www.drupal.org/sa-core-2023-004

【5】TP-LINK製T2600G-28SQにおける脆弱なSSHホスト鍵使用

情報源
Japan Vulnerability Notes JVN#62420378
TP-Link 製 T2600G-28SQ における脆弱な SSH ホスト鍵使用
https://jvn.jp/jp/JVN62420378/

概要
TP-Linkが提供するT2600G-28SQには、脆弱なSSHホスト鍵が使用されています。
結果として、悪意のある第三者が偽のデバイスを用意し、管理者に接続させる
ことで、当該製品に接続する際の認証情報を取得する可能性があります。

対象となるバージョンは次のとおりです。

- T2600G-28SQ「T2600G-28SQ(UN)_V1_1.0.6 Build 20230227」より前のファームウェア

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
ティーピーリンクジャパン株式会社
T2600G-28SQ のコンテンツ | TP-Link 日本
https://www.tp-link.com/jp/support/download/t2600g-28sq/#Firmware

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CCが「JSAC2023」の開催レポートを公開

JPCERT/CCは、2023年1月25日、26日にJSAC2023を開催しました。本カンファレ
ンスは、技術情報を共有し、日本国内のセキュリティアナリストの底上げを目
的に開催しており、6回目となりました。今回のJSAC2023では、2日間で12件の
講演、2件のワークショップ、7件のLightning talkを行いました。講演資料の
一部はJSACのWebサイトに公開、掲載しております。開催レポートでは、本カ
ンファレンスの様子をお伝えしています。

参考文献 (日本語)
JPCERT/CC Eyes
JSAC2023 開催レポート～DAY 1～
https://blogs.jpcert.or.jp/ja/2023/03/jsac2023day1.html

JPCERT/CC Eyes
JSAC2023 開催レポート～DAY 2～
https://blogs.jpcert.or.jp/ja/2023/03/jsac2023day2.html

JPCERT/CC Eyes
JSAC2023 開催レポート～DAY 2 Workshop～
https://blogs.jpcert.or.jp/ja/2023/03/jsac2023day2-workshop.html

JSAC2023
JSAC2023 - Time Table -
https://jsac.jpcert.or.jp/timetable.html

――――――――――――――――――――――――――――――――――――――

目 次

【1】複数のFortinet製品に脆弱性
【2】複数のCisco製品に脆弱性
【3】Apache HTTP Serverに複数の脆弱性
【4】PostgreSQL拡張モジュールpg_ivmに複数の脆弱性
【5】バッファロー製ネットワーク機器に複数の脆弱性
【6】セイコーエプソン製プリンターおよびネットワークインターフェイス製品のWeb Configに複数の脆弱性
【今週のひとくちメモ】「サイバー攻撃被害に係る情報の共有・公表ガイダンス（案）」に対する意見募集の結果及び「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の公表

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2023/wr230315.html
https://www.jpcert.or.jp/wr/2023/wr230315.xml
============================================================================

【1】複数のFortinet製品に脆弱性

情報源
CISA Cybersecurity Alerts & Advisories
Fortinet Releases March 2023 Vulnerability Advisories
https://www.cisa.gov/news-events/alerts/2023/03/09/fortinet-releases-march-2023-vulnerability-advisories

概要
複数のFortinet製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行したり、サービス運用妨害（DoS）攻撃を行ったりするなど
の可能性があります。

影響を受ける製品、バージョンは多岐にわたります。
影響度がCriticalの脆弱性（CVE-2023-25610）の対象製品は次のとおりです。

- FortiOS
- FortiProxy
- FortiOS-6K7K

対象のバージョンは、Fortinetが提供をする情報を参照してください。また、
対象のOSが動作している製品によって影響が異なります。

この問題は、該当する製品をFortinetが提供する修正済みのバージョンに更新
することで解決します。詳細は、Fortinetが提供する情報を参照してください。

関連文書 (日本語)
情報処理推進機構（IPA）
Fortinet 製 FortiOS および FortiProxy の脆弱性対策について(CVE-2023-25610)
https://www.ipa.go.jp/security/ciadr/vul/alert20230309.html

関連文書 (英語)
Fortinet
March 2023 Vulnerability Advisories
https://www.fortiguard.com/psirt-monthly-advisory/march-2023-vulnerability-advisories

Fortinet
FortiOS / FortiProxy - Heap buffer underflow in administrative interface
https://www.fortiguard.com/psirt/FG-IR-23-001

Fortinet
Analysis of FG-IR-22-369
https://www.fortinet.com/blog/psirt-blogs/fg-ir-22-369-psirt-analysis

【2】複数のCisco製品に脆弱性

情報源
CISA Cybersecurity Alerts & Advisories
Cisco Releases Security Advisory for IOS XR Software
https://www.cisa.gov/news-events/alerts/2023/03/09/cisco-releases-security-advisory-ios-xr-software

概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害（DoS）攻撃を行うなどの可能性があります。

影響を受ける製品、バージョンは多岐にわたります。当該期間中は、計2件の
アドバイザリ（High1件、Medium1件）が新たに公開されています。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://sec.cloudapps.cisco.com/security/center/publicationListing.x

Cisco
Cisco IOS XR Software for ASR 9000 Series Routers Bidirectional Forwarding Detection Denial of Service Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-bfd-XmRescbT

Cisco
Cisco IOS XR Software Bootloader Unauthenticated Information Disclosure Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-load-infodisc-9rdOr5Fq

【3】Apache HTTP Serverに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#94155938
Apache HTTP Server 2.4における複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU94155938/

概要
Apache HTTP Server 2.4系には、複数の脆弱性があります。結果として、攻撃
者がプロキシサーバーのアクセス制御をバイパスしたり、キャッシュポイズニン
グを引き起こすなどの可能性があります。

対象となるバージョンは次のとおりです。

- Apache HTTP Server 2.4.55およびそれ以前

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
The Apache Software Foundation
Fixed in Apache HTTP Server 2.4.56
https://httpd.apache.org/security/vulnerabilities_24.html#2.4.56

【4】PostgreSQL拡張モジュールpg_ivmに複数の脆弱性

情報源
Japan Vulnerability Notes JVN#19872280
PostgreSQL 拡張モジュール pg_ivm における複数の脆弱性
https://jvn.jp/jp/JVN19872280/

概要
IVM Development Groupが提供するpg_ivmには、複数の脆弱性があります。結
果として、行レベルセキュリティで保護されているテーブル内の情報が、本来
アクセス権限のないユーザーに漏えいするなどの可能性があります。

対象となる製品は次のとおりです。

- pg_ivm 1.5.1より前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
IVM Development Group
IVM (Incremental View Maintenance) implementation as a PostgreSQL extension
https://github.com/sraoss/pg_ivm

IVM Development Group
pg_ivm 1.5.1 (2023-03-02)
https://github.com/sraoss/pg_ivm/releases/tag/v1.5.1

【5】バッファロー製ネットワーク機器に複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#96824262
バッファロー製ネットワーク機器における複数の脆弱性
https://jvn.jp/vu/JVNVU96824262/

概要
バッファロー製ネットワーク機器には、複数の脆弱性があります。結果として、
当該製品の特定ファイルを窃取され、製品の設定を不正に変更されるなどの可
能性があります。

対象となる製品は多岐にわたります。詳細は、株式会社バッファローが提供す
る情報を参照してください。

この問題は、該当する製品を株式会社バッファローが提供する修正済みのバー
ジョンに更新することで解決します。詳細は、株式会社バッファローが提供す
る情報を参照してください。

関連文書 (日本語)
株式会社バッファロー
スイッチの一部商品における複数の脆弱性とその対処方法
https://www.buffalo.jp/news/detail/20230310-01.html

【6】セイコーエプソン製プリンターおよびネットワークインターフェイス製品のWeb Configに複数の脆弱性

情報源
Japan Vulnerability Notes JVN#82424996
セイコーエプソン製プリンターおよびネットワークインターフェイス製品の Web Config における複数の脆弱性
https://jvn.jp/jp/JVN82424996/

概要
セイコーエプソン株式会社が提供するプリンターおよびネットワークインター
フェイス製品のWeb Configには、複数の脆弱性があります。結果として、当該
製品の設定画面にアクセスしたユーザーのWebブラウザー上で、任意のスクリ
プトを実行されるなどの可能性があります。

対象となる製品は多岐にわたります。

この問題は、該当する製品をセイコーエプソン株式会社が提供する修正済みの
バージョンに更新するまたは回避策を適用することで解決します。なお、対策
ファームウェアは 2023年4月以降順次リリース予定とのことです。詳細は、セ
イコーエプソン株式会社が提供する情報を参照してください。

関連文書 (日本語)
セイコーエプソン株式会社
プリンターおよびネットワークインターフェイス製品のWeb Configにおける脆弱性について
https://www.epson.jp/support/misc_t/230308_oshirase.htm

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○「サイバー攻撃被害に係る情報の共有・公表ガイダンス（案）」に対する意見募集の結果及び「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の公表

2023年3月8日、「サイバー攻撃被害に係る情報の共有・公表ガイダンス」が策
定されました。本ガイダンスは、サイバー攻撃を受けた被害組織がサイバーセ
キュリティ関係組織とサイバー攻撃被害に係る情報を共有する際の実務上の参
考となるポイントをFAQ形式でまとめたもので、2022年12月26日に公開されたガ
イダンス案への意見募集を踏まえて公開されました。
JPCERT/CCは同検討会の共同事務局を務め、ガイダンス素案の作成を行いました。

参考文献 (日本語)
経済産業省
「サイバー攻撃被害に係る情報の共有・公表ガイダンス（案）」に対する意見募集の結果及び「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の公表
https://www.meti.go.jp/press/2022/03/20230308006/20230308006.html

――――――――――――――――――――――――――――――――――――――

目 次
【1】複数のCisco製品に脆弱性
【2】Trend Micro Apex OneおよびTrend Micro Apex One SaaSに複数の脆弱性
【3】トレンドマイクロ製ウイルスバスター クラウドに複数の脆弱性
【4】EC-CUBEに複数のクロスサイトスクリプティングの脆弱性
【5】IT資産管理ツール「SS1」および「らくらくPCクラウド」に複数の脆弱性
【6】web2pyの開発ツールにオープンリダイレクトの脆弱性
【7】Edgecross基本ソフトウェアWindows版に複数の脆弱性
【8】Trusted Computing GroupのTPM2.0実装に複数の脆弱性
【今週のひとくちメモ】IPAが「情報セキュリティ10大脅威 2023」解説書［組織編］を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2023/wr230308.html
https://www.jpcert.or.jp/wr/2023/wr230308.xml
============================================================================

【1】複数のCisco製品に脆弱性

情報源
CISA Cybersecurity Alerts & Advisories
Cisco Releases Security Advisory for Cisco IP Phones
https://www.cisa.gov/news-events/alerts/2023/03/02/cisco-releases-security-advisory-cisco-ip-phones

概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行したり、サービス運用妨害（DoS）攻撃を行ったりするなどの
可能性があります。

影響を受ける製品、バージョンは多岐にわたります。当該期間中は、計5件の
アドバイザリ（Critical1件、Medium4件）が新たに公開されています。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://sec.cloudapps.cisco.com/security/center/publicationListing.x

Cisco
Cisco IP Phone 6800, 7800, 7900, and 8800 Series Web UI Vulnerabilities
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ip-phone-cmd-inj-KMFynVcP

【2】Trend Micro Apex OneおよびTrend Micro Apex One SaaSに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#96221942
Trend Micro Apex OneおよびTrend Micro Apex One SaaSにおける複数の脆弱性
https://jvn.jp/vu/JVNVU96221942/

概要
Trend Micro Apex OneおよびTrend Micro Apex One SaaSには、複数の脆弱性
があります。結果として、管理サーバーにアクセス可能な第三者が悪意のある
アップロードを行い、サービス運用妨害 (DoS) 攻撃を行うなどの可能性があ
ります。

対象となる製品およびバージョンは次のとおりです。

- Trend Micro Apex One 2019
- Trend Micro Apex One SaaS

この問題は、該当する製品にトレンドマイクロ株式会社が提供するパッチを適
用することで解決します。詳細は、トレンドマイクロ株式会社が提供する情報
を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ：Trend Micro Apex One 及びTrend Micro Apex One SaaSで確認した複数の脆弱性について（2023年02月）
https://success.trendmicro.com/jp/solution/000292220

【3】トレンドマイクロ製ウイルスバスター クラウドに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#96882769
トレンドマイクロ製ウイルスバスター クラウドにおける複数の脆弱性
https://jvn.jp/vu/JVNVU96882769/

概要
トレンドマイクロ製ウイルスバスター クラウドには、複数の脆弱性がありま
す。結果として、攻撃者が権限を昇格するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- ウイルスバスター クラウド バージョン17.7
- ウイルスバスター クラウド バージョン17.0

この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正済みの
バージョンに更新することで解決します。詳細は、トレンドマイクロ株式会社
が提供する情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ：ウイルスバスター クラウドの脆弱性について(CVE-2022-30687)
https://helpcenter.trendmicro.com/ja-jp/article/tmka-11014

トレンドマイクロ株式会社
アラート/アドバイザリ：ウイルスバスター クラウドの脆弱性について(CVE-2022-34893)
https://helpcenter.trendmicro.com/ja-jp/article/tmka-11054

トレンドマイクロ株式会社
アラート/アドバイザリ：ウイルスバスター クラウドの脆弱性について(CVE-2022-35234/CVE-2022-37347/CVE-2022-37348)
https://helpcenter.trendmicro.com/ja-jp/article/tmka-11055

トレンドマイクロ株式会社
アラート/アドバイザリ：ウイルスバスター クラウドの脆弱性について(CVE-2022-48191)
https://helpcenter.trendmicro.com/ja-jp/article/tmka-11251

【4】EC-CUBEに複数のクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#04785663
EC-CUBE における複数のクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN04785663/

概要
株式会社イーシーキューブが提供するEC-CUBEには、複数のクロスサイトスク
リプティングの脆弱性があります。結果として、当該製品を使用しているサイ
トにアクセスしたユーザーのWebブラウザー上で、任意のスクリプトを実行さ
れるなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- EC-CUBE 4系
- EC-CUBE 4.2.0
- EC-CUBE 4.1.0から4.1.2-p1
- EC-CUBE 4.0.0から4.0.6-p2
- EC-CUBE 3系
- EC-CUBE 3.0.0から3.0.18-p5
- EC-CUBE 2系
- EC-CUBE 2.17.0から2.17.2
- EC-CUBE 2.13.0から2.13.5
- EC-CUBE 2.12.0から2.12.6
- EC-CUBE 2.11.0から2.11.5

この問題は、該当する製品を株式会社イーシーキューブが提供する修正済みの
バージョンに更新することで解決します。詳細は、株式会社イーシーキューブ
が提供する情報を参照してください。

関連文書 (日本語)
株式会社イーシーキューブ
EC-CUBE4系におけるクロスサイトスクリプティングの脆弱性(JVN#04785663)
https://www.ec-cube.net/info/weakness/weakness.php?id=87

株式会社イーシーキューブ
EC-CUBE3系におけるクロスサイトスクリプティングの脆弱性(JVN#04785663)
https://www.ec-cube.net/info/weakness/weakness.php?id=88

株式会社イーシーキューブ
EC-CUBE2系におけるクロスサイトスクリプティングの脆弱性(JVN#04785663)
https://www.ec-cube.net/info/weakness/weakness.php?id=89

【5】IT資産管理ツール「SS1」および「らくらくPCクラウド」に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#57224029
IT 資産管理ツール「SS1」および「らくらくPCクラウド」における複数の脆弱性
https://jvn.jp/jp/JVN57224029/

概要
株式会社ディー・オー・エスが提供する「SS1」および「らくらくPCクラウド」
には、複数の脆弱性があります。結果として、遠隔の第三者がSYSTEM権限で任
意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- SS1 Ver.13.0.0.40およびそれ以前
- らくらくPCクラウド エージェント Ver.2.1.8およびそれ以前

この問題は、該当する製品を株式会社ディー・オー・エスが提供する修正済み
のバージョンに更新することで解決します。詳細は、株式会社ディー・オー・
エスが提供する情報を参照してください。

関連文書 (日本語)
株式会社ディー・オー・エス
弊社製品「SS1」「らくらくPCクラウド」の脆弱性に関するお知らせ
https://www.dos-osaka.co.jp/news/2023/03/230301.html

【6】web2pyの開発ツールにオープンリダイレクトの脆弱性

情報源
Japan Vulnerability Notes JVN#78253670
web2py の開発ツールにおけるオープンリダイレクトの脆弱性
https://jvn.jp/jp/JVN78253670/

概要
web2pyのadmin開発ツールには、オープンリダイレクトの脆弱性があります。
結果として、web2pyの利用者が細工されたURLにアクセスすることで、任意の
Webサイトにリダイレクトされる可能性があります。

対象となる製品およびバージョンは次のとおりです。

- web2py 2.23.1より前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

【7】Edgecross基本ソフトウェアWindows版に複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#96890975
Edgecross 基本ソフトウェア Windows版における複数の脆弱性
https://jvn.jp/vu/JVNVU96890975/

概要
一般社団法人Edgecrossコンソーシアムが提供するEdgecross基本ソフトウェア
Windows版には、複数の脆弱性があります。結果として、マネジメントシェル
のサービスを明示的に停止していない場合、遠隔の第三者がサービス運用妨害
（DoS）攻撃を行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Edgecross基本ソフトウェアWindows版 ECP-BS1-W 1.10から1.26までのバージョン
- 開発者用Edgecross基本ソフトウェアWindows版 ECP-BS1-W-D 1.10から1.26までのバージョン

この問題は、該当する製品を一般社団法人Edgecrossコンソーシアムが提供す
る修正済みのバージョンに更新することで解決します。詳細は、一般社団法人
Edgecrossコンソーシアムが提供する情報を参照してください。

関連文書 (日本語)
一般社団法人Edgecrossコンソーシアム
Edgecross 基本ソフトウェア Windows 版における複数の脆弱性
https://www.edgecross.org/ja/data-download/pdf/ECD-TE10-0005-01-JA.pdf

【8】Trusted Computing GroupのTPM2.0実装に複数の脆弱性

情報源
CERT/CC Vulnerability Note VU#782720
TCG TPM2.0 implementations vulnerable to memory corruption
https://kb.cert.org/vuls/id/782720

Japan Vulnerability Notes JVNVU#95600622
Trusted Computing GroupのTPM2.0実装における複数の脆弱性
https://jvn.jp/vu/JVNVU95600622/

概要
Trusted Computing GroupのTPM2.0実装には、複数の脆弱性があります。結果
として、TPMがクラッシュさせられたり、TPM内で任意のコードが実行されたり
するなどの可能性があります。

対象となる製品は次のとおりです。

- Trusted Computing GroupのTPM2.0を実装した製品

この問題について、Trusted Computing Groupは、これらの脆弱性に対処する
ための説明を記載したErrata for TPM2.0 Library Specificationを公開して
います。ハードウェアおよびソフトウェアメーカーが提供する情報を注視し、
最新のアップデートを適用してください。

関連文書 (英語)
Trusted Computing Group
Errata for TPM Library Specification 2.0
https://trustedcomputinggroup.org/resource/errata-for-tpm-library-specification-2-0/

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○IPAが「情報セキュリティ10大脅威 2023」解説書［組織編］を公開

2023年2月28日、情報処理推進機構（IPA）は「情報セキュリティ10大脅威 2023」
解説書［組織編］を公開しました。これは、IPAが昨年発生した情報セキュリ
ティにおける事案から脅威候補を選出し、情報セキュリティ関連に携わるメンバー
で審議・投票を行い、順位を決定したものに対して各脅威の解説をまとめた資
料です。個人の脅威に対する解説は後日公開予定とのことです。

参考文献 (日本語)
情報処理推進機構（IPA）
情報セキュリティ10大脅威 2023
https://www.ipa.go.jp/security/vuln/10threats2023.html

――――――――――――――――――――――――――――――――――――――

目 次

【1】VMware Carbon Black App Controlにインジェクションの脆弱性
【2】複数のCisco製品に脆弱性
【3】Apache TomcatのApache Commons FileUploadにサービス運用妨害（DoS）の脆弱性
【4】SHIRASAGIに複数のクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】特定非営利活動法人デジタル・フォレンジック研究会が「証拠保全ガイドライン 第９版」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2023/wr230301.html
https://www.jpcert.or.jp/wr/2023/wr230301.xml
============================================================================

【1】VMware Carbon Black App Controlにインジェクションの脆弱性

情報源
CISA Cybersecurity Alerts & Advisories
VMware Releases Security Updates for Carbon Black App Control
https://www.cisa.gov/news-events/alerts/2023/02/23/vmware-releases-security-updates-carbon-black-app-control

概要
VMware Carbon Black App Controlにはインジェクションの脆弱性が存在しま
す。結果として、VMware Carbon Black App Controlのアクセス権限を持つ攻
撃者が同製品の稼働するサーバOSへアクセスを行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

- VMware Carbon Black App Control 8.9.4より前の8.9系バージョン
- VMware Carbon Black App Control 8.8.6より前の8.8系バージョン
- VMware Carbon Black App Control 8.7.8より前の8.7系バージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
VMware
VMSA-2023-0004
https://www.vmware.com/security/advisories/VMSA-2023-0004.html

【2】複数のCisco製品に脆弱性

情報源
CISA Cybersecurity Alerts & Advisories
Cisco Releases Security Advisories for Multiple Products
https://www.cisa.gov/news-events/alerts/2023/02/23/cisco-releases-security-advisories-multiple-products

概要
複数のCisco製品には、脆弱性があります。結果として、攻撃者が当該
製品のユーザーの権限で意図しない操作を行うなどの可能性があります。

影響を受ける製品、バージョンは多岐にわたります。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【3】Apache TomcatのApache Commons FileUploadにサービス運用妨害（DoS）の脆弱性

情報源
Japan Vulnerability Notes JVNVU#91253151
Apache TomcatのApache Commons FileUploadにおけるサービス運用妨害（DoS）の脆弱性
https://jvn.jp/vu/JVNVU91253151/

概要
Apache TomcatにはApache Commons FileUploadによる、サービス運用妨害（DoS）
の脆弱性が存在します。結果として、遠隔の第三者が悪意のあるアップロード
を行い、サービス運用妨害 (DoS) 攻撃を行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Apache Tomcat 10.1.0-M1から10.1.4までのバージョン
- Apache Tomcat 9.0.0-M1から9.0.70までのバージョン
- Apache Tomcat 8.5.0から8.5.84までのバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
The Apache Software Foundation
Fixed in Apache Tomcat 10.1.5
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.5

The Apache Software Foundation
Fixed in Apache Tomcat 9.0.71
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.71

The Apache Software Foundation
Fixed in Apache Tomcat 8.5.85
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.85

【4】SHIRASAGIに複数のクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#18765463
SHIRASAGI における複数のクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN18765463/

概要
SHIRASAGI Projectが提供するSHIRASAGIには、複数のクロスサイトスクリプ
ティングの脆弱性が存在します。結果として、当該製品を使用しているサイ
トにアクセスしているユーザのウェブブラウザ上で、任意のスクリプトを実行
されるなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- SHIRASAGI v1.16.2 およびそれ以前

この問題は、該当する製品をSHIRASAGI Projectが提供する修正済みのバージ
ョンに更新することで解決します。詳細は、SHIRASAGI Projectが提供する情
報を参照してください。

関連文書 (日本語)
SHIRASAGI Project
SHIRASAGI におけるクロスサイト・スクリプティング脆弱性
https://www.ss-proj.org/support/938.html

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○特定非営利活動法人デジタル・フォレンジック研究会が「証拠保全ガイドライン 第９版」を公開

2023年2月20日、特定非営利活動法人デジタル・フォレンジック研究会 「証拠
保全ガイドライン」改訂ワーキンググループは「証拠保全ガイドライン 第９版
」を公開しました。本文書は我が国における電磁的証拠の保全手続きの参考と
して、さまざまな事案の特性を踏まえた知見やノウハウをまとめたものであり、
今回の改訂ではコミュニケーションツールの項目の追加などがされています。

参考文献 (日本語)
特定非営利活動法人デジタル・フォレンジック研究会
「証拠保全ガイドライン 第９版」
https://digitalforensic.jp/wp-content/uploads/2023/02/shokohoznGL9.pdf

――――――――――――――――――――――――――――――――――――――