ミニ・いんふぉめーしょん

目 次

【1】Google Chromeに複数の脆弱性
【2】Apache TomcatにHttp11Processorインスタンスにおける競合状態による情報漏えいの脆弱性
【3】複数のCisco製品に脆弱性
【4】Drupal coreに情報漏えいの脆弱性
【5】Mozilla Thunderbirdに複数の脆弱性
【今週のひとくちメモ】IPAが「ビジネスメール詐欺（BEC）対策特設ページ」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr223901.html
https://www.jpcert.or.jp/wr/2022/wr223901.xml
============================================================================

【1】Google Chromeに複数の脆弱性

情報源
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/09/stable-channel-update-for-desktop_27.html

概要
Google Chromeには、複数の脆弱性があります。

対象となる製品は次のとおりです。

- Google Chrome 106.0.5249.61より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

【2】Apache TomcatにHttp11Processorインスタンスにおける競合状態による情報漏えいの脆弱性

情報源
Japan Vulnerability Notes JVNVU#98868043
Apache TomcatにHttp11Processorインスタンスにおける競合状態による情報漏えいの脆弱性
https://jvn.jp/vu/JVNVU98868043/

概要
Apache Tomcatには、Http11Processorインスタンスにて競合状態が発生し、情
報漏えいに繋がる脆弱性があります。結果として、複数のクライアントから接
続された場合、レスポンスのすべてまたはその一部を誤ったクライアントに送
信することで、情報が漏えいする可能性があります。

対象となるバージョンは次のとおりです。

- Apache Tomcat 10.1.0-M1から10.1.0-M12までのバージョン
- Apache Tomcat 10.0.0-M1から10.0.18までのバージョン
- Apache Tomcat 9.0.0-M1から9.0.60までのバージョン
- Apache Tomcat 8.5.0から8.5.77までのバージョン

この問題は、Apache TomcatをThe Apache Software Foundationがが提供する
修正済みのバージョンに更新することで解決します。詳細は、開発者が提供す
る情報を参照してください。

関連文書 (英語)
The Apache Software Foundation
Fixed in Apache Tomcat 10.0.20
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.20

The Apache Software Foundation
Fixed in Apache Tomcat 10.1.0-M14
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.0-M14

The Apache Software Foundation
Fixed in Apache Tomcat 9.0.62
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.62

The Apache Software Foundation
Fixed in Apache Tomcat 8.5.78
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.78

【3】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/09/30/cisco-releases-security-updates-multiple-products

概要
複数のCisco製品には、複数の脆弱性があります。結果として、遠隔の第三者
が、サービス運用妨害（DoS）攻撃を行うなどの可能性があります。

影響を受ける製品、バージョンは多岐にわたります。詳細は、Ciscoが提供す
るアドバイザリ情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【4】Drupal coreに情報漏えいの脆弱性

情報源
CISA Current Activity
Drupal Releases Security Update
https://www.cisa.gov/uscert/ncas/current-activity/2022/09/30/drupal-releases-security-update

概要
Drupal coreには情報漏えいの脆弱性があります。結果として、Twigコードの
書き込み権限を持つ第三者が、当該システムのファイルの内容やデータベース
の資格情報を窃取する可能性があります

対象となるバージョンは次のとおりです。

- Drupal 9.4.7より前のバージョン
- Drupal 9.3.22より前のバージョン
- Drupal 8系バージョン

なお、Drupal 9.3系より前の9系および8系のバージョンはサポートが終了して
おり、セキュリティに関する情報は提供されていません。脆弱性ごとの対象
バージョンや条件についてはDrupalが提供する情報をご確認ください。

この問題は、Drupalが提供する修正済みのバージョンに更新することで解決し
ます。詳細は、Drupalが提供する情報を参照してください。

関連文書 (英語)
Drupal
Drupal core - Critical - Multiple vulnerabilities - SA-CORE-2022-016
https://www.drupal.org/sa-core-2022-016

【5】Mozilla Thunderbirdに複数の脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Update for Thunderbird
https://www.cisa.gov/uscert/ncas/current-activity/2022/09/30/mozilla-releases-security-update-thunderbird

概要
Thunderbirdは複数の脆弱性があります。結果として、攻撃者がメッセージを
他者になりすまして送信するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Mozilla Thunderbird 102.3.1より前のバージョン

この問題は、Mozilla ThunderbirdをMozillaが提供する修正済みのバージョン
に更新することで解決します。詳細は、Mozillaが提供する情報を参照してく
ださい。

関連文書 (英語)
Mozilla
Mozilla Foundation Security Advisory 2022-43
https://www.mozilla.org/en-US/security/advisories/mfsa2022-43/

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○IPAが「ビジネスメール詐欺（BEC）対策特設ページ」を公開

2022年9月28日、IPAは「ビジネスメール詐欺（BEC）対策特設ページ」を公開
しました。本ページでは、今後もさらなるビジネスメール詐欺の脅威が考えら
れることから、ビジネスメール詐欺の対策に必要となる情報を集約しています。

参考文献 (日本語)
情報処理推進機構（IPA）
ビジネスメール詐欺（BEC）対策特設ページ
https://www.ipa.go.jp/security/bec/

――――――――――――――――――――――――――――――――――――――

目 次

【1】ISC BIND 9に複数の脆弱性
【2】Microsoft Endpoint Configuration Managerに脆弱性
【3】複数のMozilla製品に脆弱性
【今週のひとくちメモ】JPCERT/CCが「「積極的サイバー防御」（アクティブ・サイバー・ディフェンス）とは何か ―より具体的な議論に向けて必要な観点について―」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr223801.html
https://www.jpcert.or.jp/wr/2022/wr223801.xml
============================================================================

【1】ISC BIND 9に複数の脆弱性

情報源
CISA Current Activity
ISC Releases Security Advisories for Multiple Versions of BIND 9
https://www.cisa.gov/uscert/ncas/current-activity/2022/09/22/isc-releases-security-advisories-multiple-versions-bind-9

概要
ISC BIND 9には、複数の脆弱性があります。結果として、遠隔の第三者がnamed
を異常終了させるなどの可能性があります。

対象となるバージョンは次のとおりです。

- BIND 9.16.14からBIND 9.16.32まで
- BIND 9.18.0からBIND 9.18.6まで
- BIND 9.19.0からBIND 9.19.4まで
- BIND Supported Preview Edition 9.9.3-S1からBIND 9.11.37-S1まで
- BIND Supported Preview Edition 9.11.4-S1からBIND 9.11.37-S1まで
- BIND Supported Preview Edition 9.16.8-S1からBIND 9.16.32-S1まで

なお、すでにサポートが終了しているBIND 9も影響を受ける可能性があります。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
ISC BIND 9における複数の脆弱性について（2022年9月）
https://www.jpcert.or.jp/newsflash/2022092201.html

日本レジストリサービス (JPRS)
BIND 9.xの脆弱性（パフォーマンスの低下）について（CVE-2022-2795）- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2022-09-22-bind9-vuln-large-delegations.html

日本レジストリサービス (JPRS)
BIND 9.18.xの脆弱性（不適切なメモリの読み取りまたはDNSサービスの停止）について（CVE-2022-2881）- BIND 9.18系列のみが対象、バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2022-09-22-bind9-vuln-bufferoverread.html

日本レジストリサービス (JPRS)
（緊急）BIND 9.18.xの脆弱性（メモリリークの発生）について（CVE-2022-2906）- BIND 9.18系列のみが対象、バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2022-09-22-bind9-vuln-tkey.html

日本レジストリサービス (JPRS)
（緊急）BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2022-3080）- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2022-09-22-bind9-vuln-serve-stale.html

日本レジストリサービス (JPRS)
（緊急）BIND 9.xの脆弱性（メモリリークの発生）について（CVE-2022-38177）- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2022-09-22-bind9-vuln-ecdsa.html

日本レジストリサービス (JPRS)
（緊急）BIND 9.xの脆弱性（メモリリークの発生）について（CVE-2022-38178）- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2022-09-22-bind9-vuln-eddsa.html

【2】Microsoft Endpoint Configuration Managerに脆弱性

情報源
CISA Current Activity
Microsoft Releases Out-of-Band Security Update for Microsoft Endpoint Configuration Manager
https://www.cisa.gov/uscert/ncas/current-activity/2022/09/21/microsoft-releases-out-band-security-update-microsoft-endpoint

概要
Microsoft Endpoint Configuration Managerには、脆弱性があります。結果と
して、遠隔の第三者が機微な情報を取得する可能性があります。

対象となる製品は次のとおりです。

- Microsoft Endpoint Configuration Manager

この問題は、該当する製品をMicrosoftが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Microsoftが提供する情報を参照してください。

関連文書 (英語)
マイクロソフト株式会社
Microsoft Endpoint Configuration Manager Spoofing Vulnerability
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-37972

【3】複数のMozilla製品に脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird
https://www.cisa.gov/uscert/ncas/current-activity/2022/09/21/mozilla-releases-security-updates-firefox-esr-thunderbird

概要
複数のMozilla製品には、複数の脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Thunderbird 91.13.1より前のバージョン
- Mozilla Firefox 105より前のバージョン
- Mozilla Firefox ESR 102.3より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)
Mozilla
Mozilla Foundation Security Advisory 2022-39
https://www.mozilla.org/en-US/security/advisories/mfsa2022-39/

Mozilla
Mozilla Foundation Security Advisory 2022-40
https://www.mozilla.org/en-US/security/advisories/mfsa2022-40/

Mozilla
Mozilla Foundation Security Advisory 2022-41
https://www.mozilla.org/en-US/security/advisories/mfsa2022-41/

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CCが「「積極的サイバー防御」（アクティブ・サイバー・ディフェンス）とは何か ―より具体的な議論に向けて必要な観点について―」を公開

2022年9月21日、JPCERT/CCは「「積極的サイバー防御」（アクティブ・サイバ
ー・ディフェンス）とは何か ―より具体的な議論に向けて必要な観点につい
て―」と題したブログをJPCERT/CC Eyesで公開しました。
「積極的サイバー防御」、「アクティブ・サイバー・ディフェンス」、「アク
ティブ・ディフェンス」といった言葉を目にする機会が増えたかと思います。
本ブログでは、これらの言葉が示すテーマを今後議論していくために必要な視
点について紹介しています。

参考文献 (日本語)
JPCERT/CC Eyes
「積極的サイバー防御」（アクティブ・サイバー・ディフェンス）とは何か ―より具体的な議論に向けて必要な観点について―
https://blogs.jpcert.or.jp/ja/2022/09/active-cyber-defense.html

――――――――――――――――――――――――――――――――――――――

目 次

【1】複数のマイクロソフト製品に脆弱性
【2】複数のApple製品に脆弱性
【3】Trend Micro Apex OneおよびTrend Micro Apex One SaaSに複数の脆弱性
【4】複数のアドビ製品に脆弱性
【5】OpenAM（OpenAMコンソーシアム版）にオープンリダイレクトの脆弱性
【6】EC-CUBEおよびEC-CUBE用プラグイン「商品画像一括アップロードプラグイン」に脆弱性
【今週のひとくちメモ】JPCERT/CCが「攻撃グループBlackTechによるF5 BIG-IPの脆弱性（CVE-2022-1388）を悪用した攻撃」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr223701.html
https://www.jpcert.or.jp/wr/2022/wr223701.xml
============================================================================

【1】複数のマイクロソフト製品に脆弱性

情報源
CISA Current Activity
Microsoft Releases September 2022 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/09/13/microsoft-releases-september-2022-security-updates

概要
複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく
ださい。

関連文書 (日本語)
マイクロソフト株式会社
2022 年 9 月のセキュリティ更新プログラム (月例)
https://msrc-blog.microsoft.com/2022/09/13/202209-security-updates/

JPCERT/CC 注意喚起
2022年9月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2022/at220024.html

【2】複数のApple製品に脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/09/13/apple-releases-security-updates-multiple-products

概要
複数のApple製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- iOS 15.7より前のバージョン
- iPadOS 15.7より前のバージョン
- macOS Big Sur 11.7より前のバージョン
- macOS Monterey 12.6より前のバージョン
- Safari 16より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Apple製品のアップデートについて（2022年9月）
https://www.jpcert.or.jp/newsflash/2022091301.html

Apple
iOS 15.7 および iPadOS 15.7 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213445

Apple
macOS Big Sur 11.7 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213443

Apple
macOS Monterey 12.6 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213444

Apple
iOS 16 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213446

Apple
Safari 16 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213442

【3】Trend Micro Apex OneおよびTrend Micro Apex One SaaSに複数の脆弱性

情報源
Japan Vulnerability Notes JVN#36454862
Trend Micro Apex One および Trend Micro Apex One SaaS における複数の脆弱性
https://jvn.jp/jp/JVN36454862/

概要
Trend Micro Apex OneおよびTrend Micro Apex One SaaSには、複数の脆弱性
があります。結果として、当該製品の管理コンソールにログイン可能な第三者
が、任意のコードを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Trend Micro Apex One 2019
- Trend Micro Apex One SaaS

この問題は、該当する製品に開発者が提供するパッチを適用することで解決し
ます。なお、Trend Micro Apex One SaaSは2022年8月のメンテナンスで修正済
みとのことです。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ：Trend Micro Apex One 及びTrend Micro Apex One SaaSで確認した複数の脆弱性について（2022年9月）
https://success.trendmicro.com/jp/solution/000291471

トレンドマイクロ株式会社
【注意喚起】Trend Micro Apex One / Trend Micro Apex One SaaS の複数の脆弱性および脆弱性を悪用した攻撃(CVE-2022-40139)を確認したことによる修正プログラム適用のお願いについて（2022年9月）
https://appweb.trendmicro.com/SupportNews/NewsDetail.aspx?id=4553

JPCERT/CC 注意喚起
Trend Micro Apex OneおよびTrend Micro Apex One SaaSの脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220023.html

【4】複数のアドビ製品に脆弱性

情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/09/13/adobe-releases-security-updates-multiple-products

概要
複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe Experience Manager (AEM)
- Adobe Bridge
- Adobe InDesign
- Adobe Photoshop
- Adobe InCopy
- Adobe Animate
- Adobe Illustrator

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2022091401.html

関連文書 (英語)
アドビ
Security updates available for Adobe Experience Manager | APSB22-40
https://helpx.adobe.com/security/products/experience-manager/apsb22-40.html

アドビ
Security Updates Available for Adobe Bridge | APSB22-49
https://helpx.adobe.com/security/products/bridge/apsb22-49.html

アドビ
Security Update Available for Adobe InDesign | APSB22-50
https://helpx.adobe.com/security/products/indesign/apsb22-50.html

アドビ
Security update available for Adobe Photoshop | APSB22-52
https://helpx.adobe.com/security/products/photoshop/apsb22-52.html

アドビ
Security Update Available for Adobe InCopy | APSB22-53
https://helpx.adobe.com/security/products/incopy/apsb22-53.html

アドビ
Security updates available for Adobe Animate | APSB22-54
https://helpx.adobe.com/security/products/animate/apsb22-54.html

アドビ
Security Updates Available for Adobe Illustrator | APSB22-55
https://helpx.adobe.com/security/products/illustrator/apsb22-55.html

【5】OpenAM（OpenAMコンソーシアム版）にオープンリダイレクトの脆弱性

情報源
Japan Vulnerability Notes JVNVU#99326969
OpenAM (OpenAMコンソーシアム版)におけるオープンリダイレクトの脆弱性
https://jvn.jp/vu/JVNVU99326969/

概要
OpenAM（OpenAMコンソーシアム版）には、オープンリダイレクトの脆弱性があ
ります。結果として、細工されたURLを通じて当該製品が稼働しているサーバー
にアクセスすることで、任意のWebサイトにリダイレクトされる可能性があり
ます。

対象となるバージョンは次のとおりです。

- OpenAM（OpenAMコンソーシアム版）14.0.0

この問題は、該当する製品に開発者が提供するパッチを適用することで解決し
ます。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
OSSTech株式会社
OpenAM の脆弱性(CVE-2022-31735)について [am2022-1-1]
https://www.osstech.co.jp/support/am2022-1-1/

【6】EC-CUBEおよびEC-CUBE用プラグイン「商品画像一括アップロードプラグイン」に脆弱性

情報源
Japan Vulnerability Notes JVN#21213852
EC-CUBE における複数の脆弱性
https://jvn.jp/jp/JVN21213852/

Japan Vulnerability Notes JVN#30900552
EC-CUBE 用プラグイン「商品画像一括アップロードプラグイン」におけるアップロードファイルの検証不備の脆弱性
https://jvn.jp/jp/JVN30900552/

概要
EC-CUBEおよびEC-CUBE用プラグイン「商品画像一括アップロードプラグイン」
には、脆弱性があります。結果として、攻撃者が当該製品の管理者を細工した
ページに誘導し、特定の操作を実行させることにより、管理者のWebブラウザー
上で任意のスクリプトが実行されるなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- EC-CUBE 4.0.0から4.1.2まで（EC-CUBE 4系）
- EC-CUBE 3.0.0から3.0.18-p4まで（EC-CUBE 3系）
- 商品画像一括アップロードプラグイン 4.1.0
- 商品画像一括アップロードプラグイン 1.0.0

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
るか、パッチを適用することで解決します。詳細は、開発者が提供する情報を
参照してください。

関連文書 (日本語)
株式会社イーシーキューブ
EC-CUBEにおけるディレクトリトラバーサルの脆弱性(JVN#21213852)
https://www.ec-cube.net/info/weakness/20220909/

株式会社イーシーキューブ
EC-CUBEにおけるクロスサイトスクリプティングの脆弱性(JVN#21213852)
https://www.ec-cube.net/info/weakness/20220909/xss.php

株式会社イーシーキューブ
EC-CUBE用プラグイン「商品画像一括アップロードプラグイン」におけるアップロードファイルの検証不備の脆弱性(JVN#30900552)
https://www.ec-cube.net/info/weakness/20220909/product_images_uploader.php

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CCが「攻撃グループBlackTechによるF5 BIG-IPの脆弱性（CVE-2022-1388）を悪用した攻撃」を公開

2022年9月15日、JPCERT/CCは「攻撃グループBlackTechによるF5 BIG-IPの脆弱
性（CVE-2022-1388）を悪用した攻撃」に関するブログをJPCERT/CC Eyesで公
開しました。2022年5月頃、JPCERT/CCはF5 BIG-IPの脆弱性（CVE-2022-1388）
を悪用して日本の組織に攻撃を行う活動を確認しました。この攻撃は、攻撃グ
ループBlackTechの活動と関連しているものと推測しています。本ブログでは、
今回確認した活動について紹介しています。

参考文献 (日本語)
JPCERT/CC Eyes
攻撃グループBlackTechによるF5 BIG-IPの脆弱性（CVE-2022-1388）を悪用した攻撃
https://blogs.jpcert.or.jp/ja/2022/09/bigip-exploit.html

――――――――――――――――――――――――――――――――――――――

目 次

【1】複数のCisco製品に脆弱性
【2】Movable Type用プラグインA-Formにクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】フィッシング対策協議会が「各ブラウザーによるSSL/TLSサーバー証明書の表示の違い」を更新

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr223601.html
https://www.jpcert.or.jp/wr/2022/wr223601.xml
============================================================================

【1】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/09/08/cisco-releases-security-updates-multiple-products

概要
複数のCisco製品には、影響度Highを含む複数の脆弱性があります。結果とし
て、隣接するネットワーク上の第三者が構成を変更するなどの可能性がありま
す。

影響度Highの脆弱性情報に記載されている製品は次のとおりです。

- Cisco SD-WAN vManage Software
- Cisco Catalyst 8000V Edge Software
- Adaptive Security Virtual Appliance (ASAv)
- Secure Firewall Threat Defense Virtual (formerly FTDv)

上記製品以外にも、影響度Mediumの脆弱性情報が公開されています。詳細は
Ciscoが提供する情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供するアドバイザリ情報を参照して
ください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

Cisco
Cisco SD-WAN vManage Software Unauthenticated Access to Messaging Services Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vmanage-msg-serv-AqTup7vs

Cisco
Vulnerability in NVIDIA Data Plane Development Kit Affecting Cisco Products: August 2022
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-mlx5-jbPCrqD8

【2】Movable Type用プラグインA-Formにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#48120704
Movable Type 用プラグイン A-Form におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN48120704/

概要
Movable Type用プラグインA-Formには、クロスサイトスクリプティングの脆弱
性があります。結果として、当該プラグインを使用しているサイトにアクセス
したユーザーのWebブラウザー上で、任意のスクリプトを実行される可能性が
あります。

対象となるバージョンは次のとおりです。

- A-Form 4.1.1より前のバージョン（Movable Type 7系用）
- A-Form 3.9.1より前のバージョン（Movable Type 6系用）

なお、開発者によると、A-FormはA-Member、A-Reserve、A-Memberサブスクリ
プションパックにも同梱されているとのことです。

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
株式会社アークウェブ
MTプラグインAシリーズ：新バージョン4.1.1/3.9.1（脆弱性対応版）リリースのお知らせ
https://www.ark-web.jp/blog/archives/2022/09/a-series-411-391.html

株式会社アークウェブ
リリースノート：A-Form PC 4.1.1/3.9.1, A-Member 4.1.1/3.9.1, A-Reserve 4.1.1/3.9.1, A-Memberサブスクリプションパック 1.005
https://www.ark-web.jp/movabletype/blog/2022/09/a-series-411-391.html

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○フィッシング対策協議会が「各ブラウザーによるSSL/TLSサーバー証明書の表示の違い」を更新

2022年9月6日、フィッシング対策協議会は、各ブラウザーによるSSL/TLSサーバー
証明書の表示の違いに関するお知らせを更新しました。本お知らせでは、主要
ブラウザーのバージョンアップおよびMicrosoft Internet Explorer（IE）バー
ジョン11が2022年6月15日をもってサポートが終了したことを受け、各ブラウ
ザーによるサーバー証明書の表示の違いについて説明しています。また、ブラ
ウザーの表示に対して適切な認識を持ち、証明書確認サービスを利用すること
で証明書の種類やWebサイトに掲載されている情報に疑わしい点がないか確認
を行うことをお勧めしています。

参考文献 (日本語)
フィッシング対策協議会
【更新】 各ブラウザーによる SSL / TLS サーバー証明書の表示の違い (2022/09/06)
https://www.antiphishing.jp/news/info/_ssl_20220906.html

――――――――――――――――――――――――――――――――――――――

目 次

【1】Mozilla Thunderbirdに複数の脆弱性
【2】iOS 12に任意のコード実行の脆弱性
【3】PowerCMSにコマンドインジェクションの脆弱性
【4】シンクグラフィカ製メールフォームプロ CGIに情報漏えいの脆弱性
【5】プラネックスコミュニケーションズ製ネットワークカメラに複数の脆弱性
【6】CentreCOM AR260S V2に複数の脆弱性
【7】リコーカンタンドライバーインストーラセットアップツールにDLL読み込みに関する脆弱性
【今週のひとくちメモ】SecurityDays Fall 2022開催

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr223501.html
https://www.jpcert.or.jp/wr/2022/wr223501.xml
============================================================================

【1】Mozilla Thunderbirdに複数の脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Update for Thunderbird
https://www.cisa.gov/uscert/ncas/current-activity/2022/09/02/mozilla-releases-security-update-thunderbird

概要
Mozilla Thunderbirdには、複数の脆弱性があります。結果として、攻撃者が
機微な情報を取得するなどの可能性があります。

対象となる製品とバージョンは次のとおりです。

- Mozilla Thunderbird 102.2.1より前のバージョン

この問題は、Mozilla ThunderbirdをMozillaが提供する修正済みのバージョン
に更新することで解決します。詳細は、Mozillaが提供する情報を参照してく
ださい。

関連文書 (日本語)
Mozilla
Mozilla Foundation Security Advisory 2022-38
https://www.mozilla.org/en-US/security/advisories/mfsa2022-38/

【2】iOS 12に任意のコード実行の脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/09/01/apple-releases-security-updates-multiple-products

概要
iOS 12には、任意のコード実行の脆弱性があります。結果として、第三者が任
意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- iOS 12.5.6より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
Apple
iOS 12.5.6 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213428

CyberNewsFlash
Apple製品のアップデートについて（2022年8月）
https://www.jpcert.or.jp/newsflash/2022081801.html

【3】PowerCMSにコマンドインジェクションの脆弱性

情報源
Japan Vulnerability Notes JVN#76024879
PowerCMS の XMLRPC API におけるコマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN76024879/

概要
PowerCMSのXMLRPC APIには、コマンドインジェクションの脆弱性があります。
結果として、遠隔の第三者が任意のOSコマンドを実行するなどの可能性があり
ます。

対象となる製品およびバージョンは次のとおりです。

- PowerCMS 6.021 およびそれ以前 (PowerCMS 6系)
- PowerCMS 5.21 およびそれ以前 (PowerCMS 5系)
- PowerCMS 4.51 およびそれ以前 (PowerCMS 4系)

なお、開発者によると、すでにサポートが終了している PowerCMS 3系以前の
バージョンも本脆弱性の影響を受けるとのことです。

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
アルファサード株式会社
XMLRPC API におけるコマンド・インジェクションの脆弱性対策 (JVN#7602487)
https://www.powercms.jp/news/xmlrpc-api-provision-202208.html

【4】シンクグラフィカ製メールフォームプロ CGIに情報漏えいの脆弱性

情報源
Japan Vulnerability Notes JVN#34205166
シンクグラフィカ製メールフォームプロ CGI における情報漏えいの脆弱性
https://jvn.jp/jp/JVN34205166/

概要
シンクグラフィカが提供するメールフォームプロ CGIには、情報漏えいの脆弱
性があります。結果として、第三者がユーザーの機微な情報を取得する可能性
があります。

対象となる製品およびバージョンは次のとおりです。

- メールフォームプロ CGI 4.3.1 およびそれ以前

なお、開発者によると、thanksモジュールを有効にしている場合に本脆弱性の
影響を受けるとのことです。

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
シンクグラフィカ
メールフォームプロ 情報漏洩の脆弱性 について
https://www.synck.com/blogs/news/newsroom/detail_1661907555.html

シンクグラフィカ
サンクスページへ値の引き継ぎ（v4.1.2）
https://www.synck.com/downloads/cgi-perl/mailformpro/feature_1381250709.html

【5】プラネックスコミュニケーションズ製ネットワークカメラに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#90766406
プラネックスコミュニケーションズ製ネットワークカメラにおける複数の脆弱性
https://jvn.jp/vu/JVNVU90766406/

概要
プラネックスコミュニケーションズ株式会社が提供する「スマカメ CS-QR10」
および「スマカメ ナイトビジョン CS-QR20」には、複数の脆弱性があります。
結果として、Web管理インターフェイスにログイン可能な攻撃者が、当該製品
上で任意のOSコマンドを実行するなどの可能性があります。

対象となる製品とバージョンは次のとおりです。

- スマカメ CS-QR10 すべてのバージョン
- スマカメ ナイトビジョン CS-QR20 すべてのバージョン

当該製品のサポートは終了しており、修正アップデートは提供されません。
開発者は対策として、製品の使用停止、または管理者パスワードを変更した上
で安全性を配慮したローカルネットワーク環境での使用を推奨しています。

【6】CentreCOM AR260S V2に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#45473612
CentreCOM AR260S V2 における複数の脆弱性
https://jvn.jp/jp/JVN45473612/

概要
アライドテレシス株式会社が提供する CentreCOM AR260S V2には、複数の脆弱
性があります。結果として、遠隔の第三者が任意のOSコマンドを実行する可能
性があります。

対象となる製品とバージョンは次のとおりです。

- CentreCOM AR260S V2 ファームウェアバージョン Ver.3.3.7より前のバージョン

この問題は、当該製品を開発者が提供する修正済みのバージョンに更新し、全
てのアカウントのパスワードを変更することで解決します。詳細は、開発者が
提供する情報を参照してください。

関連文書 (日本語)
アライドテレシス株式会社
CentreCOM AR260S V2 における複数の脆弱性について
https://www.allied-telesis.co.jp/support/list/faq/vuls/20220829.html

【7】リコーカンタンドライバーインストーラセットアップツールにDLL読み込みに関する脆弱性

情報源
Japan Vulnerability Notes JVN#44721267
リコーカンタンドライバーインストーラセットアップツールにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN44721267/

概要
株式会社リコーが提供するリコーカンタンドライバーインストーラセットアッ
プツールには、DLL 読み込みに関する脆弱性があります。結果として、攻撃者
が任意のコードを実行する可能性があります。

- リコーカンタンドライバーインストーラセットアップツール Ver.2.20.3.0より前のバージョン

この問題は、開発者が提供する情報をもとに、最新のセットアップツールを使
用することで解決します。なお、本脆弱性の影響を受けるのはセットアップツー
ルの起動時のみで、すでにドライバインストーラのセットアップを完了してい
る場合、再度セットアップツールを実行する必要はありません。詳細は、開発
者が提供する情報を参照してください。

関連文書 (日本語)
株式会社リコー
リコーカンタンドライバーインストーラー
https://www.ricoh.co.jp/software/utility/dev_soft_manager

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○SecurityDays Fall 2022開催

2022年10月4日-7日に東京会場、10月13日に大阪会場で、株式会社ナノオプト・
メディア主催の「SecurityDays Fall 2022」が開催されます。システムインテ
グレーター、ソリューションベンダー、学術研究機関などが参加し、最新のサ
イバー攻撃の脅威動向やセキュリティ対策などに関する知見を深めるイベント
です。参加費は無料、参加には事前の申し込みが必要です。JPCERT/CCは
SecurityDays Fall 2022を後援しています。

参考文献 (日本語)
SecurityDays
SecurityDays Fall 2022
https://f2ff.jp/secd/2022-fall

――――――――――――――――――――――――――――――――――――――

目 次

【1】Movable TypeのXMLRPC APIにおけるコマンドインジェクションの脆弱性
【2】VMware Toolsに権限昇格の脆弱性
【3】複数のMozilla製品に脆弱性
【4】複数のCisco製品に脆弱性
【5】ユニモテクノロジー製デジタルビデオレコーダにおける重要な機能に対する認証の欠如の脆弱性
【6】PukiWikiにおける複数の脆弱性
【7】Exmentにおける複数の脆弱性
【8】Hardening Designers Conference 2022開催のお知らせ
【今週のひとくちメモ】JAIPA Cloud Conference 2022開催のお知らせ

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr223401.html
https://www.jpcert.or.jp/wr/2022/wr223401.xml
============================================================================

【1】Movable TypeのXMLRPC APIにおけるコマンドインジェクションの脆弱性

情報源
Japan Vulnerability Notes JVN#57728859
Movable Type の XMLRPC API におけるコマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN57728859/

概要
シックス・アパート株式会社が提供するMovable TypeのXMLRPC APIには、コマン
ドインジェクションの脆弱性が存在します。結果として、遠隔の第三者が任意
のOSコマンドを実行する可能性があります。

対象となる製品とバージョンは次のとおりです。

- Movable Type 7 r.5202 およびそれ以前 (Movable Type 7系)
- Movable Type Advanced 7 r.5202 およびそれ以前 (Movable Type Advanced 7系)
- Movable Type 6.8.6 およびそれ以前 (Movable Type 6系)
- Movable Type Advanced 6.8.6 およびそれ以前 (Movable Type Advanced 6系)
- Movable Type Premium 1.52 およびそれ以前
- Movable Type Premium Advanced 1.52 およびそれ以前

この問題は、開発者が提供する修正済みのバージョンに更新または回避策とし
てMovable TypeのXMLRPC API機能を無効化することで解決します。詳細は、開
発者が提供する情報を参照してください。

関連文書 (日本語)
シックス・アパート株式会社
[重要] Movable Type 7 r.5301 / Movable Type 6.8.7 / Movable Type Premium 1.53 の提供を開始（セキュリティアップデート）
https://www.sixapart.jp/movabletype/news/2022/08/24-1100.html

【2】VMware Toolsに権限昇格の脆弱性

情報源
CISA Current Activity
VMware Releases Security Update
https://www.cisa.gov/uscert/ncas/current-activity/2022/08/23/vmware-releases-security-update

概要
VMware Toolsには、権限昇格の脆弱性があります。結果として、ゲストOSのユー
ザが権限を昇格する可能性があります。

対象となるバージョンは次のとおりです。

- VMware Tools 12.1.0より前の10系、11系、12系のバージョン（Windows）
- VMware Tools 12.1.0より前の11系、12系のバージョン（Linux）
- VMware Tools 10.3.25より前の10系のバージョン（Linux）

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、VMwareが提供する情報を参照してください。

関連文書 (英語)
VMware
VMSA-2022-0024
https://www.vmware.com/security/advisories/VMSA-2022-0024.html

【3】複数のMozilla製品に脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird
https://www.cisa.gov/uscert/ncas/current-activity/2022/08/23/mozilla-releases-security-updates-firefox-firefox-esr-and

概要
複数のMozilla製品には、脆弱性があります。結果として、攻撃者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 104より前のバージョン
- Mozilla Firefox ESR 102.2より前のバージョン
- Mozilla Firefox ESR 91.13より前のバージョン
- Mozilla Thunderbird 102.2より前のバージョン
- Mozilla Thunderbird 91.13より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 104
https://www.mozilla.org/en-US/security/advisories/mfsa2022-33/

Mozilla
Security Vulnerabilities fixed in Firefox ESR 102.2
https://www.mozilla.org/en-US/security/advisories/mfsa2022-34/

Mozilla
Security Vulnerabilities fixed in Firefox ESR 91.13
https://www.mozilla.org/en-US/security/advisories/mfsa2022-35/

Mozilla
Security Vulnerabilities fixed in Thunderbird 102.2
https://www.mozilla.org/en-US/security/advisories/mfsa2022-36/

Mozilla
Security Vulnerabilities fixed in Thunderbird 91.13
https://www.mozilla.org/en-US/security/advisories/mfsa2022-37/

【4】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/08/25/cisco-releases-security-updates-multiple-products

概要
複数のCisco製品には、複数の脆弱性があります。結果として、隣接するネッ
トワーク上の第三者が当該製品上で任意のコードを実行するなどの可能性があ
ります。

影響を受けるバージョンは多岐にわたります。詳細は、Ciscoが提供するアド
バイザリ情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco ACI Multi-Site Orchestrator Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-mso-prvesc-BPFp9cZs

Cisco
Cisco FXOS and NX-OS Software Cisco Discovery Protocol Denial of Service and Arbitrary Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-cdp-dos-ce-wWvPucC9

Cisco
Cisco FXOS Software Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fxos-cmdinj-TxcLNZNH

Cisco
Cisco NX-OS Software OSPFv3 Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-ospfv3-dos-48qutcu

【5】ユニモテクノロジー製デジタルビデオレコーダにおける重要な機能に対する認証の欠如の脆弱性

情報源
Japan Vulnerability Notes JVNVU#90821877
ユニモテクノロジー製デジタルビデオレコーダにおける重要な機能に対する認証の欠如の脆弱性
https://jvn.jp/vu/JVNVU90821877/

概要
ユニモテクノロジー株式会社が提供する複数のデジタルビデオレコーダ製品に
は、重要な機能に対する認証の欠如の脆弱性が存在します。結果として、遠隔
の第三者が当該製品上で任意のOSコマンドを実行する可能性があります。

対象となる製品とバージョンは次のとおりです。

- UDR-JA1004/JA1008/JA1016 ファームウェアバージョン v1.0.20.13およびそれ以前
- UDR-JA1016 ファームウェアバージョン v2.0.20.13およびそれ以前

この問題は、開発者が提供する修正済みのバージョンに更新することで解決し
ます。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
ユニモテクノロジー株式会社
UDR-JA1004/JA1008/JA1016 ファームウエアを更新しました
http://www.unimo.co.jp/table_notice/index.php?act=1&resid=1643590226-637355

【6】PukiWikiにおける複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#96002401
PukiWikiにおける複数の脆弱性
https://jvn.jp/vu/JVNVU96002401/

Japan Vulnerability Notes JVN#43979089
PukiWiki におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN43979089/

概要
PukiWiki Development Teamが提供するPukiWikiには、複数の脆弱性が存在し
ます。結果として、遠隔の第三者が任意のスクリプトを実行するなどの可能性
があります。

影響を受けるバージョンは多岐にわたります。詳細は、開発者が提供するアド
バイザリ情報を参照してください。

この問題は、開発者が提供する修正済みのバージョンに更新することで解決し
ます。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
PukiWiki Development Team
PukiWiki/Errata
https://pukiwiki.osdn.jp/?PukiWiki/Errata

【7】Exmentにおける複数の脆弱性

情報源
Japan Vulnerability Notes JVN#46239102
Exment における複数の脆弱性
https://jvn.jp/jp/JVN46239102/

概要
株式会社カジトリが提供するExmentには、複数の脆弱性が存在します。結果と
して、データベース内の情報を窃取されたり、改ざんされたりするなどの可能
性があります。

対象となるバージョンは次のとおりです。

- (PHP8) exceedone/exment v5.0.2およびそれ以前、exceedone/laravel-admin v3.0.0およびそれ以前
- (PHP7) exceedone/exment v4.4.2およびそれ以前、exceedone/laravel-admin v2.2.2およびそれ以前

この問題は、開発者が提供する修正済みのバージョンに更新することで解決し
ます。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
株式会社カジトリ
脆弱性対応 クロスサイトスクリプティング、ならびにSQLインジェクション
https://exment.net/docs/#/ja/weakness/20220817

【8】Hardening Designers Conference 2022開催のお知らせ

情報源
Hardening Project
Hardening Designers Conference 2022
https://wasforum.jp/2022/07/hardening-designers-conf2022/

概要
2022年9月1日から、Hardening ProjectはMicro Hardeningを含む３日間のハー
ドニング・コミュニティ・カンファレンスを開催します。今回はHardening Design―
「堅牢化実践のデザイン」をテーマとしています。セキュリティの実践に関心
のある方は参加申し込みが可能です。JPCERT/CCはHardening Designers Conference
2022を後援しています。

関連文書 (日本語)
Hardening Project | Doorkeeper
参加登録ページ
https://hardening.doorkeeper.jp/events/139964

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JAIPA Cloud Conference 2022開催のお知らせ

2022年9月8日、一般社団法人 日本インターネットプロバイダー協会 クラウド
部会は「JAIPA Cloud Conference 2022」をオンラインで開催します。クラウ
ドサービスプロバイダー（IaaS/PaaS/SaaS）、システムインテグレーター、ソ
リューションベンダーなどが参加し、クラウド業界の未来について知見を深め
るイベントです。参加費は無料、参加には事前の申し込みが必要です。JPCERT/CC
はJAIPA Cloud Conference 2022を後援しています。

参考文献 (日本語)
JAIPA Cloud Conference
JAIPA Cloud Conference 2022
https://cloudconference.jaipa.or.jp/

JAIPA Cloud Conference
Facebookページ
https://www.facebook.com/cloudconference.jaipa/

JAIPA Cloud Conference
事前登録ページ
https://cloudcon-stream.jaipa.or.jp/register

――――――――――――――――――――――――――――――――――――――

目 次

【1】複数のApple製品に脆弱性
【2】Cisco Secure Web Applianceに脆弱性
【3】Google Chromeに複数の脆弱性
【4】トレンドマイクロ製ウイルスバスター クラウドに複数の脆弱性
【5】複数のトレンドマイクロ製企業向けエンドポイントセキュリティ製品にリンク解釈の脆弱性
【6】複数のサードパーティ製UEFIブートローダーにSecure Boot回避の脆弱性
【今週のひとくちメモ】日本シーサート協議会が「メール訓練手引書一般公開版 v1.0」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr223301.html
https://www.jpcert.or.jp/wr/2022/wr223301.xml
============================================================================

【1】複数のApple製品に脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/08/18/apple-releases-security-updates-multiple-products

概要
複数のApple製品には、脆弱性があります。結果として、第三者が任意のコード
を実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- iOS 15.6.1より前のバージョン
- iPadOS 15.6.1より前のバージョン
- macOS Monterey 12.5.1より前のバージョン
- Safari 15.6.1より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
Apple
iOS 15.6.1 および iPadOS 15.6.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213412

Apple
macOS Monterey 12.5.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213413

Apple
Safari 15.6.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213414

JPCERT/CC CyberNewsFlash
Apple製品のアップデートについて（2022年8月）
https://www.jpcert.or.jp/newsflash/2022081801.html

【2】Cisco Secure Web Applianceに脆弱性

情報源
CISA Current Activity
Cisco Releases Security Update for Cisco Secure Web Appliance
https://www.cisa.gov/uscert/ncas/current-activity/2022/08/18/cisco-releases-security-update-cisco-secure-web-appliance

概要
Cisco Secure Web Applianceには、権限昇格の脆弱性があります。結果として
遠隔の第三者がrootに権限昇格をする可能性があります。本脆弱性を悪用する
ためには、少なくとも認証情報を知る必要があります。

対象となるバージョンは次のとおりです。

- Cisco AsyncOS for Secure Web Appliance 12.5
- Cisco AsyncOS for Secure Web Appliance 14.0
- Cisco AsyncOS for Secure Web Appliance 14.5

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。なお、Cisco AsyncOS for Secure Web Appliance 12.5
および14.0の修正バージョンは今後リリースを予定しています。詳細は、
Ciscoが提供する情報を参照してください。

関連文書 (日本語)
Cisco
Cisco Secure Web アプライアンスの特権昇格の脆弱性
https://www.cisco.com/c/ja_jp/support/docs/csa/2022/cisco-sa-wsa-prv-esc-8PdRU8t8.html

【3】Google Chromeに複数の脆弱性

情報源
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/08/stable-channel-update-for-desktop_16.html

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 104.0.5112.101より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

【4】トレンドマイクロ製ウイルスバスター クラウドに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#93109244
トレンドマイクロ製ウイルスバスター クラウドにおける複数の脆弱性
https://jvn.jp/vu/JVNVU93109244/

概要
トレンドマイクロ株式会社が提供するウイルスバスター クラウドには、複数
の脆弱性があります。結果として、第三者が機微な情報を窃取するなどの可能
性があります。

対象となるバージョンは次のとおりです。

- ウイルスバスター クラウド バージョン17.7
- ウイルスバスター クラウド バージョン17.0

この問題は、トレンドマイクロ株式会社が提供する修正済みのバージョンに更
新することで解決します。詳細は、トレンドマイクロ株式会社が提供する情報
を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ：ウイルスバスター クラウドの脆弱性について(CVE-2022-30702)
https://helpcenter.trendmicro.com/ja-jp/article/tmka-11019

トレンドマイクロ株式会社
アラート/アドバイザリ：ウイルスバスター クラウドの脆弱性について(CVE-2022-30703)
https://helpcenter.trendmicro.com/ja-jp/article/tmka-11020

【5】複数のトレンドマイクロ製企業向けエンドポイントセキュリティ製品にリンク解釈の脆弱性

情報源
Japan Vulnerability Notes JVNVU#96643038
トレンドマイクロ製企業向けエンドポイントセキュリティ製品におけるリンク解釈に関する脆弱性
https://jvn.jp/vu/JVNVU96643038/

概要
トレンドマイクロ株式会社が提供する企業向けエンドポイントセキュリティ製
品には、リンク解釈の脆弱性があります。結果として、製品がインストールさ
れたシステムにログイン可能なユーザーによって、管理者権限を取得される可
能性があります。

対象となる製品およびバージョンは次のとおりです。

- Trend Micro Apex One 2019
- Trend Micro Apex One SaaS
- ウイルスバスター ビジネスセキュリティ 10.0 SP1
- ウイルスバスター ビジネスセキュリティサービス 6.7

この問題は、該当する製品のスパイウェアパターンをトレンドマイクロ株式会
社が提供する修正済みのスパイウェアパターンに更新することで解決します。
詳細は、トレンドマイクロ株式会社が提供する情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ：トレンドマイクロのエンドポイント製品におけるリンク解釈の脆弱性について
https://success.trendmicro.com/jp/solution/000291302

【6】複数のサードパーティ製UEFIブートローダーにSecure Boot回避の脆弱性

情報源
Japan Vulnerability Notes JVNVU#99109219
複数のサードパーティ製UEFIブートローダーにおけるSecure Boot回避の脆弱性
https://jvn.jp/vu/JVNVU99109219/

概要
複数のサードパーティ製UEFIブートローダーには、ブートプロセスにおいて
Secure Bootが回避される脆弱性があります。結果として、未署名のコードが
実行される可能性があります。

対象となるブートローダーは次のとおりです。

- New Horizon Datasys Inc（CVE-2022-34302）
- CryptoPro Secure Disk（CVE-2022-34301）
- Eurosoft (UK) Ltd（CVE-2022-34303）

この問題は、各ベンダーが提供する情報をもとにファームウェアアップデート
あるいはパッチをすることで解決します。詳細は、ベンダーが提供する情報を
参照してください。

関連文書 (英語)
Microsoft
KB5012170: Security update for Secure Boot DBX: August 9, 2022
https://support.microsoft.com/en-us/topic/kb5012170-security-update-for-secure-boot-dbx-august-9-2022-72ff5eed-25b4-47c7-be28-c42bd211bb15

Eclypsium
One Bootloader to Load Them All
https://eclypsium.com/2022/08/11/vulnerable-bootloaders-2022/

Unified Extensible Firmware Interface Forum
UEFI Revocation List File
https://uefi.org/revocationlistfile

CERT/CC Vulnerability Note VU#309662
Signed third party UEFI bootloaders are vulnerable to Secure Boot bypass
https://kb.cert.org/vuls/id/309662

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○日本シーサート協議会が「メール訓練手引書一般公開版 v1.0」を公開

2022年8月18日、日本シーサート協議会は、企業や組織が標的型攻撃メールや
フィッシングメールなどに対する訓練を行えるよう支援する資料「メール訓練
手引書一般公開版 v1.0」をWebサイトで公開しました。

参考文献 (日本語)
日本シーサート協議会
メール訓練手法検討サブ WG の活動概要
https://www.nca.gr.jp/activity/nca-mail-exercise-swg.html

――――――――――――――――――――――――――――――――――――――

目 次

【1】複数のマイクロソフト製品に脆弱性
【2】複数のアドビ製品に脆弱性
【3】複数のVMware製品に脆弱性
【4】複数のIntel製品に脆弱性
【5】複数のCisco製品に脆弱性
【6】Palo Alto Networks製品に脆弱性
【今週のひとくちメモ】JPCERT/CCが「A File Format to Aid in Security Vulnerability Disclosure - 正しくつながる第一歩」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr223201.html
https://www.jpcert.or.jp/wr/2022/wr223201.xml
============================================================================

【1】複数のマイクロソフト製品に脆弱性

情報源
CISA Current Activity
Microsoft Releases August 2022 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/08/09/microsoft-releases-august-2022-security-updates

概要
複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はマイクロソフト株式会社が提供
するアドバイザリ情報を参照してください。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく
ださい。

関連文書 (日本語)
マイクロソフト株式会社
2022 年 8 月のセキュリティ更新プログラム (月例)
https://msrc-blog.microsoft.com/2022/08/09/202208-security-updates/

JPCERT/CC 注意喚起
2022年8月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2022/at220021.html

【2】複数のアドビ製品に脆弱性

情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/08/09/adobe-releases-security-updates-multiple-products

概要
複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe Commerce
- Magento Open Source
- Adobe Acrobat
- Adobe Acrobat Reader
- Adobe Illustrator
- Adobe FrameMaker
- Adobe Premiere Elements

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
Adobe AcrobatおよびReaderの脆弱性（APSB22-39）に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220020.html

JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2022081002.html

関連文書 (英語)
アドビ
Security update available for Adobe Commerce | APSB22-38
https://helpx.adobe.com/security/products/magento/apsb22-38.html

アドビ
Security update available for Adobe Acrobat and Reader | APSB22-39
https://helpx.adobe.com/security/products/acrobat/apsb22-39.html

アドビ
Security Updates Available for Adobe Illustrator | APSB22-41
https://helpx.adobe.com/security/products/illustrator/apsb22-41.html

アドビ
Security Updates Available for Adobe FrameMaker | APSB22-42
https://helpx.adobe.com/security/products/framemaker/apsb22-42.html

アドビ
Security updates available for Adobe Premiere Elements | APSB22-43
https://helpx.adobe.com/security/products/premiere_elements/apsb22-43.html

【3】複数のVMware製品に脆弱性

情報源
CISA Current Activity
VMware Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/08/09/vmware-releases-security-updates

概要
複数のVMware製品には、脆弱性があります。結果として、管理ネットワークに
アクセスできる第三者がrootに権限昇格するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- VMware vRealize Operations 8.6.4より前の8系のバージョン
- VMware Workstation 16.2.4より前の16系のバージョン（Windows）

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、VMwareが提供する情報を参照してください。

関連文書 (英語)
VMware
VMSA-2022-0022
https://www.vmware.com/security/advisories/VMSA-2022-0022.html

VMware
VMSA-2022-0023
https://www.vmware.com/security/advisories/VMSA-2022-0023.html

【4】複数のIntel製品に脆弱性

情報源
Japan Vulnerability Notes JVNVU#99494206
Intel製品に複数の脆弱性（2022年8月）
https://jvn.jp/vu/JVNVU99494206/

概要
Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security
Center Advisoriesが公開されました。

詳細は、Intelが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Intel製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2022081001.html

関連文書 (英語)
Intel
Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html

【5】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Update for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/08/11/cisco-releases-security-update-multiple-products

概要
複数のCisco製品には、影響度Highを含む複数の脆弱性があります。結果とし
て、遠隔の第三者がRSA秘密鍵を窃取するなどの可能性があります。

対象となる製品は次のとおりです。

- Cisco Adaptive Security Appliance（ASA）ソフトウェア
- Cisco Firepower Threat Defense（FTD）ソフトウェア

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

Cisco
Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software RSA Private Key Leak Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-rsa-key-leak-Ms7UEfZz

Cisco
Cisco Adaptive Security Appliance Software Clientless SSL VPN Client-Side Request Smuggling Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-webvpn-LOeKsNmO

【6】Palo Alto Networks製品に脆弱性

情報源
CISA Current Activity
Palo Alto Networks Releases Security Update for PAN-OS
https://www.cisa.gov/uscert/ncas/current-activity/2022/08/10/palo-alto-networks-releases-security-update-pan-os

概要
Palo Alto Networksが提供するPAN-OSには、脆弱性があります。結果として、
遠隔の第三者が当該製品を経由して反射型のサービス運用妨害（DoS）攻撃を
行う可能性があります。

対象となるバージョンは次のとおりです。

- PAN-OS 10.2.2-h2より前の10.2系のバージョン
- PAN-OS 10.1.6-h6より前の10.1系のバージョン
- PAN-OS 10.0.11-h1より前の10.0系のバージョン
- PAN-OS 9.1.14-h4より前の9.1系のバージョン
- PAN-OS 9.0.16-h3より前の9.0系のバージョン
- PAN-OS 8.1.23-h1より前の8.1系のバージョン

この問題は、該当する製品をPalo Alto Networksが提供する修正済みのバージョ
ンに更新または回避策を適用することで解決します。詳細は、Palo Alto Networks
が提供する情報を参照してください。

関連文書 (英語)
Palo Alto Networks
CVE-2022-0028 PAN-OS: Reflected Amplification Denial-of-Service (DoS) Vulnerability in URL Filtering
https://security.paloaltonetworks.com/CVE-2022-0028

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CCが「A File Format to Aid in Security Vulnerability Disclosure - 正しくつながる第一歩」を公開

2022年8月9日、JPCERT/CCは「A File Format to Aid in Security Vulnerability
Disclosure - 正しくつながる第一歩」と題したブログをJPCERT/CC Eyesで公
開しました。本ブログでは、脆弱性調整を行う機関や脆弱性発見者が開発者と
の連携をしやすくするために、開発者組織が実施可能な対策の一つとして、今
年、2022年4月に正式公開された「RFC 9116：A File Format to Aid in Security
Vulnerability Disclosure」を紹介しています。

参考文献 (日本語)
JPCERT/CC Eyes
A File Format to Aid in Security Vulnerability Disclosure - 正しくつながる第一歩
https://blogs.jpcert.or.jp/ja/2022/08/rfc9116-introduction.html

――――――――――――――――――――――――――――――――――――――

目 次

【1】muhttpdにディレクトリトラバーサルの脆弱性
【2】複数のCisco製品に脆弱性
【3】複数のF5 Networks製品に脆弱性
【4】複数のVMware製品に脆弱性
【5】Kaitai Struct: compilerにサービス運用妨害（DoS）の脆弱性
【今週のひとくちメモ】連載「標準から学ぶICSセキュリティ」の初回を公表

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr223101.html
https://www.jpcert.or.jp/wr/2022/wr223101.xml
============================================================================

【1】muhttpdにディレクトリトラバーサルの脆弱性

情報源
Japan Vulnerability Notes JVNVU#97753810
muhttpdにおけるディレクトリトラバーサルの脆弱性
https://jvn.jp/vu/JVNVU97753810/

概要
muhttpdには、ディレクトリトラバーサルの脆弱性があります。結果として、
muhttpdが動作する機器にアクセス可能な第三者が、機器内の任意のファイル
を窃取する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- muhttpd バージョン 1.1.5およびそれ以前

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。
また、muhttpdが動作する機器を提供するベンダの情報を適宜確認してくださ
い。

関連文書 (英語)
SOURCEFORGE
muhttpd
https://sourceforge.net/projects/muhttpd/

Derek Abdine
Arris / Arris-variant DSL/Fiber router critical vulnerability exposure
https://derekabdine.com/blog/2022-arris-advisory

Software Engineering Institute
muhttpd versions 1.1.5 and earlier are vulnerable to path traversal
https://kb.cert.org/vuls/id/495801

【2】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for RV Series Routers
https://www.cisa.gov/uscert/ncas/current-activity/2022/08/04/cisco-releases-security-updates-rv-series-routers

概要
複数のCisco製品には、複数の脆弱性があります。結果として、遠隔の第三者
が当該製品上で任意のコードを実行するなどの可能性があります。

影響を受けるバージョンは多岐にわたります。詳細は、Ciscoが提供するアド
バイザリ情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Small Business RV Series Routers Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sb-mult-vuln-CbVp4SUR

Cisco
Cisco Webex Meetings Web Interface Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-xss-frmhijck-kO3wmkuS

Cisco
Cisco Identity Services Engine Sensitive Information Disclosure Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-pwd-WH64AhQF

Cisco
Cisco Unified Communications Manager Arbitrary File Deletion Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-file-delete-N2VPmOnE

Cisco
Cisco BroadWorks Application Delivery Platform Software Cross-Site Scripting Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-broadworks-xss-xbhfr4cD

Cisco
Cisco Email Security Appliance and Cisco Secure Email and Web Manager External Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sma-esa-auth-bypass-66kEcxQD

【3】複数のF5 Networks製品に脆弱性

情報源
CISA Current Activity
F5 Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/08/04/f5-releases-security-updates

概要
複数のF5 Networks製品には、複数の脆弱性があります。結果として、遠隔の
第三者がサービス運用妨害（DoS）攻撃を行うなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はF5 Networksが提供するアドバ
イザリ情報を参照してください。

この問題は、該当する製品をF5 Networksが提供する修正済みのバージョンに
更新することで解決します。詳細は、F5 Networksが提供する情報を参照して
ください。

関連文書 (英語)
F5 Networks
K14649763: Overview of F5 vulnerabilities (August 2022)
https://support.f5.com/csp/article/K14649763

【4】複数のVMware製品に脆弱性

情報源
CISA Current Activity
VMware Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/08/03/vmware-releases-security-updates-0

概要
複数のVMware製品には、脆弱性があります。結果として、遠隔の第三者が認証
をバイパスすることで当該製品の管理者権限を取得し、任意のコードを実行す
るなどの可能性があります。

対象となる製品は次のとおりです。対象となるバージョンは多岐にわたります。
詳細はVMwareが提供するアドバイザリ情報を参照してください。

- VMware Workspace ONE Access (Access)
- VMware Workspace ONE Access Connector (Access Connector)
- VMware Identity Manager (vIDM)
- VMware Identity Manager Connector (vIDM Connector)
- VMware vRealize Automation (vRA)
- VMware Cloud Foundation
- vRealize Suite Lifecycle Manager

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
るか、回避策を適用することで解決します。詳細は、VMwareが提供する情報を
参照してください。

関連文書 (英語)
VMware
VMSA-2022-0021
https://www.vmware.com/security/advisories/VMSA-2022-0021.html

【5】Kaitai Struct: compilerにサービス運用妨害（DoS）の脆弱性

情報源
Japan Vulnerability Notes JVN#42883072
Kaitai Struct: compiler におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN42883072/

概要
Kaitai Struct: compilerには、サービス運用妨害（DoS）の脆弱性があります。
結果として、遠隔の第三者からサービス運用妨害（DoS）攻撃を受ける可能性が
あります。

対象となるバージョンは次のとおりです。

- Kaitai Struct: compiler 0.9およびそれ以前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
github
kaitai-io /kaitai_struct_compiler
https://github.com/kaitai-io/kaitai_struct_compiler

github
Update SnakeYAML to 1.29 (was 1.25: vulnerable to "billion laughs")
https://github.com/kaitai-io/kaitai_struct_compiler/commit/50f80d7eca36983ca0b7f354d12656ec62e639eb

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○連載「標準から学ぶICSセキュリティ」の初回を公表

2022年8月4日、JPCERT/CCは連載「標準から学ぶICSセキュリティ」の初回を公
表しました。同連載では、産業用制御システム（ICS）の現場を担当されてい
る方々や、ICSセキュリティ課題に関心をお持ちの方々に役立てていただくこ
とを目的に、ICSセキュリティの国際標準であるIEC 62443シリーズおよびその
中で定義されているセキュリティ概念を順次紹介していきます。

参考文献 (日本語)
JPCERT/CC Eyes
連載「標準から学ぶICSセキュリティ」の初回を公表しました
https://blogs.jpcert.or.jp/ja/2022/08/ics-sec-standards-01.html

――――――――――――――――――――――――――――――――――――――

目 次

【1】Sambaに複数の脆弱性
【2】複数のMozilla製品に脆弱性
【3】SonicWall Global Management SystemおよびAnalyticsにSQLインジェクションの脆弱性
【4】複数のCitrix製品に脆弱性
【5】ニンテンドーWi-Fiネットワークアダプタに複数の脆弱性
【6】「JUSTオンラインアップデート for J-License」における実行ファイルのパスが引用符で囲まれていない脆弱性
【7】「Hulu/フールー」iOSアプリにサーバー証明書の検証不備の脆弱性
【8】WordPress用プラグインNewsletterにクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】JPCERT/CCが「サイバー政策動向を知ろう Watch! Cyber World vol.3 | 中国の法整備」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr223001.html
https://www.jpcert.or.jp/wr/2022/wr223001.xml
============================================================================

【1】Sambaに複数の脆弱性

情報源
CISA Current Activity
Samba Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/07/27/samba-releases-security-updates

概要
Sambaには、複数の脆弱性があります。結果として、攻撃者がドメインの管理
者権限を取得するなどの可能性があります。

影響を受けるバージョンは多岐にわたります。詳細は、The Samba Teamが提供
するアドバイザリ情報を参照してください。

この問題は、SambaをThe Samba Teamが提供する修正済みのバージョンに更新
することで解決します。詳細は、The Samba Teamが提供する情報を参照してく
ださい。

関連文書 (英語)
The Samba Team
Samba Security Releases
https://www.samba.org/samba/history/security.html

【2】複数のMozilla製品に脆弱性

情報源
Mozilla
Mozilla Foundation Security Advisories
https://www.mozilla.org/en-US/security/advisories/

概要
複数のMozilla製品には、脆弱性があります。結果として、攻撃者が任意の
コードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 103より前のバージョン
- Mozilla Firefox ESR 91.12より前のバージョン
- Mozilla Firefox ESR 102.1より前のバージョン
- Mozilla Thunderbird 91.12より前のバージョン
- Mozilla Thunderbird 102.1より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 103
https://www.mozilla.org/en-US/security/advisories/mfsa2022-28/

Mozilla
Security Vulnerabilities fixed in Firefox ESR 91.12
https://www.mozilla.org/en-US/security/advisories/mfsa2022-29/

Mozilla
Security Vulnerabilities fixed in Firefox ESR 102.1
https://www.mozilla.org/en-US/security/advisories/mfsa2022-30/

Mozilla
Security Vulnerabilities fixed in Thunderbird 91.12
https://www.mozilla.org/en-US/security/advisories/mfsa2022-31/

Mozilla
Security Vulnerabilities fixed in Thunderbird 102.1
https://www.mozilla.org/en-US/security/advisories/mfsa2022-32/

【3】SonicWall Global Management SystemおよびAnalyticsにSQLインジェクションの脆弱性

情報源
SonicWall
Unauthenticated SQL Injection in SonicWall GMS and Analytics
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2022-0007

概要
SonicWall Global Management SystemおよびAnalyticsには、SQLインジェク
ションの脆弱性があります。結果として、遠隔の第三者がデータベースを不正
に操作する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- SonicWall Global Management System 9.3.1-SP2-Hotfix1およびそれ以前
- SonicWall Analytics 2.5.0.3-2520およびそれ以前

この問題は、SonicWallが提供するパッチを適用することで解決します。詳細
は、SonicWallが提供する情報を参照してください。

関連文書 (英語)
SonicWall
Security Notice: SonicWall GMS SQL Injection Vulnerability
https://www.sonicwall.com/support/knowledge-base/security-notice-sonicwall-gms-sql-injection-vulnerability/220613083124303/

【4】複数のCitrix製品に脆弱性

情報源
Citrix
Citrix ADC and Citrix Gateway Security Bulletin for CVE-2022-27509
https://support.citrix.com/article/CTX457836/

概要
複数のCitrix製品には、データの信頼性確認が不十分である脆弱性があります。
結果として、攻撃者が特別に細工したURLを用意し、不正なWebサイトにリダイ
レクトさせる可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Citrix ADCおよびCitrix Gateway 13.1-24.38より前の13.1系のバージョン
- Citrix ADCおよびCitrix Gateway 13.0-86.17より前の13.0系のバージョン
- Citrix ADCおよびCitrix Gateway 12.1-65.15より前の12.1系のバージョン
- Citrix ADC 12.1-FIPS 12.1-55.282より前のバージョン
- Citrix ADC 12.1-NDcPP 12.1-55.282より前のバージョン

この問題は、該当する製品をCitrixが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Citrixが提供する情報を参照してください。

【5】ニンテンドーWi-Fiネットワークアダプタに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#17625382
ニンテンドーWi-Fiネットワークアダプタ WAP-001 における複数の脆弱性
https://jvn.jp/jp/JVN17625382/

概要
任天堂株式会社が提供するニンテンドーWi-FiネットワークアダプタWAP-001
には、複数の脆弱性が存在します。結果として、当該製品の管理画面にログイ
ン可能なユーザーが任意のコードやOSコマンドを実行するなどの可能性があり
ます。

対象となる製品およびバージョンは次のとおりです。

- ニンテンドーWi-FiネットワークアダプタWAP-001すべてのバージョン

当該製品のサポートはすでに終了しているため、開発者によると恒久的な対策
として、製品の使用を中止するようアナウンスされています。詳細は、開発者
が提供する情報を参照してください。

関連文書 (日本語)
任天堂株式会社
「ニンテンドーWi-Fi USBコネクタ」および「ニンテンドーWi-Fiネットワークアダプタ」使用中止のお願い
https://www.nintendo.co.jp/support/information/2022/0720.html

【6】「JUSTオンラインアップデート for J-License」における実行ファイルのパスが引用符で囲まれていない脆弱性

情報源
Japan Vulnerability Notes JVNVU#57073973
「JUSTオンラインアップデート for J-License」が特定のプログラムを起動する際に実行ファイルのパスが引用符で囲まれていない脆弱性
https://jvn.jp/jp/JVN57073973/

概要
複数の法人ユーザー向けジャストシステム製品に同梱されている「JUSTオンラ
インアップデート for J-License」は、特定のプログラムを実行する際に実行
ファイルのパスが引用符で囲まれていない脆弱性が存在します。結果として、
攻撃者が当該Windowsサービスの実行権限で不正なファイルを実行する可能性
があります。

対象となる製品は多岐に渡ります。詳細は株式会社ジャストシステムが提供す
る情報を参照してください。

この問題は、株式会社ジャストシステムが提供する修正済みのバージョンに更
新することで解決します。詳細は、株式会社ジャストシステムが提供する情報
を参照してください。

関連文書 (日本語)
株式会社ジャストシステム
[JS22001]ライセンス商品に添付のオンラインアップデート機能の脆弱性対策
https://www.justsystems.com/jp/corporate/info/js22001.html

【7】「Hulu/フールー」iOSアプリにサーバー証明書の検証不備の脆弱性

情報源
Japan Vulnerability Notes JVN#81563390
iOS アプリ「Hulu / フールー」におけるサーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN81563390/

概要
HJホールディングス株式会社が提供する「Hulu/フールー」iOSアプリには、
サーバー証明書の検証不備の脆弱性があります。結果として、悪意のある第三
者が中間者攻撃による暗号通信の盗聴を行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

- iOSアプリ「Hulu/フールー」バージョン3.0.81より前のバージョン

この問題は、HJホールディングス株式会社が提供する修正済みのバージョンに
更新することで解決します。詳細は、HJホールディングス株式会社が提供する
情報を参照してください。

関連文書 (日本語)
HJホールディングス株式会社
【脆弱性情報】「Hulu / フールー」iOS版における SSL サーバ証明書の検証不備の脆弱性に関するお知らせ
https://help.hulu.jp/hc/ja/articles/8358166490649/

【8】WordPress用プラグインNewsletterにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#77850327
WordPress 用プラグイン Newsletter におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN77850327/

概要
WordPress用プラグインNewsletterには、クロスサイトスクリプティングの脆
弱性が存在します。結果として、当該プラグインを使用しているWordPressに
管理者権限でログインしているユーザーのWebブラウザー上で、任意のスクリ
プトを実行される可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Newsletter 7.4.5より前のバージョン

この問題は、開発者が提供する修正済みのバージョンに更新することで解決し
ます。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
Stefano Lissa & The Newsletter Team
Newsletter - Send awesome emails from WordPress
https://ja.wordpress.org/plugins/newsletter/

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CCが「サイバー政策動向を知ろう Watch! Cyber World vol.3 | 中国の法整備」を公開

2022年7月29日、JPCERT/CCは「サイバー政策動向を知ろう Watch! Cyber
World vol.3 | 中国の法整備」をJPCERT/CC Eyesで公開しました。JPCERT/CC
は、サイバーセキュリティ政策に関する諸外国の動向調査として政府機関、国
際機関、企業などのニュースの収集を行っています。
vol.3となる今回は、中国におけるサイバーセキュリティ関連の法整備に関し
て解説しています。

参考文献 (日本語)
JPCERT/CC Eyes
サイバー政策動向を知ろう Watch! Cyber World vol.3 | 中国の法整備
https://blogs.jpcert.or.jp/ja/2022/07/cyberworld3.html

――――――――――――――――――――――――――――――――――――――