ミニ・いんふぉめーしょん

目 次

【1】Mozilla Thunderbirdにコード実行の脆弱性
【2】Trend Micro Apex OneおよびTrend Micro Apex One SaaSに複数の脆弱性
【3】スマートフォンアプリ「＋メッセージ（プラスメッセージ）」にUnicode制御文字の扱いに関する脆弱性
【4】Zenphotoにおけるクロスサイトスクリプティングの脆弱性
【5】コーレル製Roxio SAIBサービスによって登録されるWindowsサービスの実行ファイルパスが引用符で囲まれていない脆弱性
【6】Squirrel.Windowsで生成したインストーラーにDLL読み込みに関する脆弱性
【今週のひとくちメモ】JPCERTCCが「2022年10月から12月を振り返って」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
httpswww.jpcert.or.jpwr

※HTML 版および XML版は以下のページをご覧ください。
httpswww.jpcert.or.jpwr2022wr225101.html
httpswww.jpcert.or.jpwr2022wr225101.xml
============================================================================

【1】Mozilla Thunderbirdにコード実行の脆弱性

情報源
Mozilla
Security Vulnerabilities fixed in Thunderbird 102.6.1
httpswww.mozilla.orgen-USsecurityadvisoriesmfsa2022-54

概要
Mozilla Thunderbirdでは、名前の長いファイルをドラッグ＆ドロップした場
合、ファイル名が切り捨てられる脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Mozilla Thunderbird 102.6.1より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

【2】Trend Micro Apex OneおよびTrend Micro Apex One SaaSに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#96679793
Trend Micro Apex OneおよびTrend Micro Apex One SaaSにおける複数の脆弱性
httpsjvn.jpvuJVNVU96679793

概要
Trend Micro Apex OneおよびTrend Micro Apex One SaaSには複数の脆弱性が
あります。結果として、権限昇格を伴うファイル削除などが行われる可能性が
あります。

対象となる製品は次のとおりです。

- Trend Micro Apex One 2019
- Trend Micro Apex One SaaS

この問題は、該当製品を開発者が提供するパッチを適用することで解決します。
詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラートアドバイザリ：Trend Micro Apex One 及びTrend Micro Apex One SaaSで確認した複数の脆弱性について（2022年11月30日）
httpssuccess.trendmicro.comjpsolution000291841

【3】スマートフォンアプリ「＋メッセージ（プラスメッセージ）」にUnicode制御文字の扱いに関する脆弱性

情報源
Japan Vulnerability Notes JVN#43561812
スマートフォンアプリ「＋メッセージ（プラスメッセージ）」における Unicode 制御文字の扱いに関する脆弱性
httpsjvn.jpjpJVN43561812

概要
スマートフォンアプリ「＋メッセージ（プラスメッセージ）」にはUnicode制
御文字の扱いに関する脆弱性があります。結果として、細工されたテキスト情
報の表示においてURLが偽装され、フィッシング詐欺などに使用される可能性
があります。

対象となるバージョンは次のとおりです。

ソフトバンク株式会社
- Android アプリ「＋メッセージ（プラスメッセージ）」12.9.5より前のバージョン
- iOS アプリ「＋メッセージ（プラスメッセージ）」3.9.4 より前のバージョン

株式会社NTTドコモ
- Android アプリ「＋メッセージ（プラスメッセージ）」54.49.0500より前のバージョン
- iOS アプリ「＋メッセージ（プラスメッセージ）」3.9.4 より前のバージョン

KDDI株式会社
- Android アプリ「＋メッセージ（プラスメッセージ）」3.9.2より前のバージョン
- iOS アプリ「＋メッセージ（プラスメッセージ）」3.9.4 より前のバージョン

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
ソフトバンク株式会社
＋メッセージ（プラスメッセージ）
httpswww.softbank.jpmobileserviceplus-message

株式会社NTTドコモ
＋メッセージ（プラスメッセージ）
httpswww.docomo.ne.jpserviceplus_message

KDDI株式会社
お知らせ：＋メッセージ（プラスメッセージ）
httpswww.au.commobileserviceplus-messageinformation

【4】Zenphotoにおけるクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#06093462
Zenphoto におけるクロスサイトスクリプティングの脆弱性
httpsjvn.jpjpJVN06093462

概要
Zenphotoにはクロスサイトスクリプティングの脆弱性があります。結果として
当該製品を使用しているユーザーのWebブラウザー上で、任意のスクリプトを
実行される可能性があります。

対象となるバージョンは次のとおりです。

- Zenphoto 1.6より前のバージョン

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
Zenphoto
GitHub - zenphoto zenphoto
httpsgithub.comzenphotozenphoto

Zenphoto
ZenphotoCMS - The simpler media website CMS
httpswww.zenphoto.org

【5】コーレル製Roxio SAIBサービスによって登録されるWindowsサービスの実行ファイルパスが引用符で囲まれていない脆弱性

情報源
Japan Vulnerability Notes JVN#13075438
コーレル製 Roxio SAIB サービスによって登録される Windows サービスの実行ファイルパスが引用符で囲まれていない脆弱性
httpsjvn.jpjpJVN13075438

概要
コーレルが提供するRoxio SAIBサービスによって登録されるWindowsサービス
には、実行ファイルパスが引用符で囲まれていない脆弱性があります。結果と
して、当該サービスの権限で不正なファイルが実行される可能性があります。

対象となるバージョンは次のとおりです。

- Roxio Creator LJB バージョン 12.2、ビルド 106B62B
- Roxio Creator LJB バージョン 12.2、ビルド 106B63A
- Roxio Creator LJB バージョン 12.2、ビルド 106B69A
- Roxio Creator LJB バージョン 12.2、ビルド 106B71A
- Roxio Creator LJB バージョン 12.2、ビルド 106B74A

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者または当該製品をバンドルしているベンダー
が提供する情報を参照してください。

関連文書 (日本語)
Corel Corporation
Roxio Creator LJB アップデート・プログラム バージョン番号 12.2 (富士通クライアントコンピューティング製コンピュータ バンドル専用)
httpskb.corel.comjp129393

富士通株式会社
コーレル社Roxio Creator LJB の脆弱性に関するお知らせ
httpswww.fmworld.netbizcommoncorel20221110.html

【6】Squirrel.Windowsで生成したインストーラーにDLL読み込みに関する脆弱性

情報源
Japan Vulnerability Notes JVN#29902403
Squirrel.Windows で生成したインストーラにおける DLL 読み込みに関する脆弱性
httpsjvn.jpjpJVN29902403

概要
Squirrel.Windowsを使用して生成したインストーラーには同一ディレクトリに
存在する特定のDLLを読み込んでしまう脆弱性があります。結果として、イン
ストーラーを実行している権限で任意のコードが実行される可能性があります。

対象となるバージョンは次のとおりです。

- Squirrel.Windows 2.0.1およびそれ以前のバージョンを使用して生成したインストーラー

この問題は、developブランチの最新のソースコードから作成されたSquirrel.
Windowsでインストーラーを生成することで解決します。詳細は、開発者が提
供する情報を参照してください。

関連文書 (英語)
Squirrel
Better delay load urlmon and move official build to GH Actions #1807
httpsgithub.comSquirrelSquirrel.Windowspull1807

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERTCCが「2022年10月から12月を振り返って」を公開

2022年12月22日、JPCERTCCは「2022年10月から12月を振り返って」を公開し
ました。2022年10月以降に確認された、影響範囲の広い脆弱性情報や脅威情報
などをまとめています。JPCERTCCでは、日頃より脆弱性情報や脅威情報などに
関する情報発信を行っておりますので、適時ご確認ください。

参考文献 (日本語)
JPCERTCC CyberNewsFlash
2022年10月から12月を振り返って
httpswww.jpcert.or.jpnewsflash2022122201.html

――――――――――――――――――――――――――――――――――――――

目 次

【1】複数のCitrix製品に任意のコード実行の脆弱性
【2】FortiOSにヒープベースのバッファーオーバーフローの脆弱性
【3】複数のマイクロソフト製品に脆弱性
【4】複数のApple製品に脆弱性
【5】複数のMozilla製品に脆弱性
【6】Drupalの複数のモジュールに脆弱性
【7】複数のVMware製品に脆弱性
【8】Sambaに複数の脆弱性
【9】複数のアドビ製品に脆弱性
【10】Redmineにクロスサイトスクリプティングの脆弱性
【11】OpenSSLのX.509ポリシー制限における二重ロックの問題
【12】シャープ製デジタル複合機にコマンドインジェクションの脆弱性
【今週のひとくちメモ】日本シーサート協議会が「CSIRT人材の育成 Ver1.0」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr225001.html
https://www.jpcert.or.jp/wr/2022/wr225001.xml
============================================================================

【1】複数のCitrix製品に任意のコード実行の脆弱性

情報源
CISA Current Activity
Citrix Releases Security Updates for Citrix ADC, Citrix Gateway
https://www.cisa.gov/uscert/ncas/current-activity/2022/12/13/citrix-releases-security-updates-citrix-adc-citrix-gateway

概要
複数のCitrix製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行する可能性があります。

対象となる製品は次のとおりです。

- Citrix ADCおよびCitrix Gateway 13.0-58.32より前の13系のバージョン
- Citrix ADCおよびCitrix Gateway 12.1-65.25より前の12.1系のバージョン
- Citrix ADC 12.1-FIPS 12.1-55.291より前の12.1-FIPS系のバージョン
- Citrix ADC 12.1-NDcPP 12.1-55.291より前の12.1-NDcPP系のバージョン

この問題は、該当する製品をCitrixが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Citrixが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
Citrix ADCおよびCitrix Gatewayの脆弱性（CVE-2022-27518）に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220033.html

関連文書 (英語)
Citrix
Citrix ADC and Citrix Gateway Security Bulletin for CVE-2022-27518
https://support.citrix.com/article/CTX474995/citrix-adc-and-citrix-gateway-security-bulletin-for-cve202227518

【2】FortiOSにヒープベースのバッファーオーバーフローの脆弱性

情報源
CISA Current Activity
Fortinet Releases Security Updates for FortiOS
https://www.cisa.gov/uscert/ncas/current-activity/2022/12/12/fortinet-releases-security-updates-fortios

概要
FortiOSには、ヒープベースのバッファーオーバーフローの脆弱性があります。
結果として、認証されていない遠隔の第三者が任意のコードやコマンドを実行
する可能性があります。

対象となる製品は次のとおりです。

- FortiOS バージョン 7.2.0から7.2.2まで
- FortiOS バージョン 7.0.0から7.0.8まで
- FortiOS バージョン 6.4.0から6.4.10まで
- FortiOS バージョン 6.2.0から6.2.11まで
- FortiOS バージョン 6.0.0から6.0.15まで
- FortiOS バージョン 5.6.0から5.6.14まで
- FortiOS バージョン 5.4.0から5.4.13まで
- FortiOS バージョン 5.2.0から5.2.15まで
- FortiOS バージョン 5.0.0から5.0.14まで
- FortiOS-6K7K バージョン 7.0.0から7.0.7まで
- FortiOS-6K7K バージョン 6.4.0から6.4.9まで
- FortiOS-6K7K バージョン 6.2.0から6.2.11まで
- FortiOS-6K7K バージョン 6.0.0から6.0.14まで

この問題は、該当する製品をFortinetが提供する修正済みのバージョンに更新
することで解決します。詳細は、Fortinetが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
FortiOSのヒープベースのバッファーオーバーフローの脆弱性（CVE-2022-42475）に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220032.html

関連文書 (英語)
Fortinet
FortiOS - heap-based buffer overflow in sslvpnd
https://www.fortiguard.com/psirt/FG-IR-22-398

【3】複数のマイクロソフト製品に脆弱性

情報源
CISA Current Activity
Microsoft Releases December 2022 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/12/13/microsoft-releases-december-2022-security-updates

概要
複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく
ださい。

関連文書 (日本語)
マイクロソフト株式会社
2022 年 12 月のセキュリティ更新プログラム (月例)
https://msrc-blog.microsoft.com/2022/12/13/202212-security-update/

JPCERT/CC 注意喚起
2022年12月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2022/at220034.html

【4】複数のApple製品に脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/12/13/apple-releases-security-updates-multiple-products

概要
複数のApple製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- iOS 16.2より前のバージョン
- iOS 15.7.2より前のバージョン
- iPadOS 16.2より前のバージョン
- iPadOS 15.7.2より前のバージョン
- macOS Ventura 13.1より前のバージョン
- macOS Monterey 12.6.2より前のバージョン
- macOS Big Sur 11.7.2より前のバージョン
- tvOS 16.2より前のバージョン
- watchOS 9.2より前のバージョン
- Safari 16.2より前のバージョン
- iCloud for Windows 14.1より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
Apple
iOS 16.2 および iPadOS 16.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213530

Apple
iOS 15.7.2 および iPadOS 15.7.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213531

Apple
macOS Ventura 13.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213532

Apple
macOS Monterey 12.6.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213533

Apple
macOS Big Sur 11.7.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213534

Apple
tvOS 16.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213535

Apple
watchOS 9.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213536

Apple
Safari 16.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213537

Apple
Windows 用 iCloud 14.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213538

【5】複数のMozilla製品に脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Updates for Thunderbird and Firefox
https://www.cisa.gov/uscert/ncas/current-activity/2022/12/13/mozilla-releases-security-updates-thunderbird-and-firefox

概要
複数のMozilla製品には、複数の脆弱性があります。結果として、攻撃者が対
象のMozilla製品をクラッシュさせるなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 108より前のバージョン
- Mozilla Firefox ESR 102.6より前のバージョン
- Mozilla Thunderbird 102.6より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)
Mozilla
Mozilla Foundation Security Advisory 2022-51
https://www.mozilla.org/en-US/security/advisories/mfsa2022-51/

Mozilla
Mozilla Foundation Security Advisory 2022-52
https://www.mozilla.org/en-US/security/advisories/mfsa2022-52/

Mozilla
Mozilla Foundation Security Advisory 2022-53
https://www.mozilla.org/en-US/security/advisories/mfsa2022-53/

【6】Drupalの複数のモジュールに脆弱性

情報源
CISA Current Activity
Drupal Releases Security Updates to Address Vulnerabilities in H5P and File (Field) Paths
https://www.cisa.gov/uscert/ncas/current-activity/2022/12/15/drupal-releases-security-updates-address-vulnerabilities-h5p-and

概要
Drupalの複数のモジュールに脆弱性があります。結果として、攻撃者が任意の
コードを実行するなどの可能性があります。

対象となるモジュールおよびバージョンは次のとおりです。

- H5P 7.x-1.51より前のバージョン
- File (Field) Paths 7.x-1.2より前のバージョン

この問題は、Drupalが提供する修正済みのバージョンに更新することで解決し
ます。詳細は、Drupalが提供する情報を参照してください。

関連文書 (英語)
Drupal
H5P - Create and Share Rich Content and Applications - Moderately critical - Remote Code Execution - SA-CONTRIB-2022-064
https://www.drupal.org/sa-contrib-2022-064

Drupal
File (Field) Paths - Moderately critical - Access bypass - SA-CONTRIB-2022-065
https://www.drupal.org/sa-contrib-2022-065

【7】複数のVMware製品に脆弱性

情報源
CISA Current Activity
VMware Releases Security Updates for Multiple products
https://www.cisa.gov/uscert/ncas/current-activity/2022/12/13/vmware-releases-security-updates-multiple-products

概要
複数のVMware製品には、脆弱性があります。結果として、攻撃者がコマンドを
実行するなどの可能性があります。

対象となる製品は次のとおりです。

- VMware vRealize Network Insight (vRNI)
- VMware ESXi
- VMware Fusion
- VMware Cloud Foundation
- VMware Workstation

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
るか、回避策を適用することで解決します。詳細は、VMwareが提供する情報を
参照してください。

関連文書 (英語)
VMware
VMSA-2022-0031
https://www.vmware.com/security/advisories/VMSA-2022-0031.html

VMware
VMSA-2022-0033
https://www.vmware.com/security/advisories/VMSA-2022-0033.html

【8】Sambaに複数の脆弱性

情報源
CISA Current Activity
Samba Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/12/16/samba-releases-security-updates

概要
Sambaには、複数の脆弱性があります。結果として、遠隔のユーザーが権限を
昇格するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Samba 4.17.4より前のバージョン
- Samba 4.16.8より前のバージョン
- Samba 4.15.13より前のバージョン

この問題は、SambaをThe Samba Teamが提供する修正済みのバージョンに更新
することで解決します。詳細は、The Samba Teamが提供する情報を参照してく
ださい。

関連文書 (英語)
The Samba Team
CVE-2022-38023.html:
https://www.samba.org/samba/security/CVE-2022-38023.html

The Samba Team
CVE-2022-37966.html:
https://www.samba.org/samba/security/CVE-2022-37966.html

The Samba Team
CVE-2022-37967.html:
https://www.samba.org/samba/security/CVE-2022-37967.html

The Samba Team
CVE-2022-45141.html:
https://www.samba.org/samba/security/CVE-2022-45141.html

【9】複数のアドビ製品に脆弱性

情報源
アドビ
Security updates available for Adobe Campaign Classic | APSB22-58
https://helpx.adobe.com/security/products/campaign/apsb22-58.html

アドビ
Security updates available for Adobe Experience Manager | APSB22-59
https://helpx.adobe.com/security/products/experience-manager/apsb22-59.html

アドビ
Security Updates Available for Adobe Illustrator | APSB22-60
https://helpx.adobe.com/security/products/illustrator/apsb22-60.html

概要
複数のアドビ製品には、脆弱性があります。結果として、当該製品にアクセス
したユーザーのWebブラウザー上で、任意のコードが実行されるなどの可能性
があります。

対象となる製品およびバージョンは次のとおりです。

- Adobe Campaign Classic 7.3.1およびそれ以前のバージョン
- Adobe Campaign Classic 8.3.9およびそれ以前のバージョン
- Adobe Experience Manager Cloud Service Release 2022.10.0より前のバージョン
- Adobe Experience Manager 6.5.14.0およびそれ以前のバージョン
- Adobe Illustrator 2022 26.5.1およびそれ以前のバージョン
- Adobe Illustrator 2023 27.0およびそれ以前のバージョン

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

【10】Redmineにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#60211811
Redmine におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN60211811/

概要
Redmineには、クロスサイトスクリプティングの脆弱性があります。結果とし
て、当該製品を使用しているユーザーのWebブラウザ上で、任意のスクリプト
を実行される可能性があります。

対象となるバージョンは次のとおりです。

- Redmine すべてのバージョン

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
Redmine
Redmine Security Advisories
https://www.redmine.org/projects/redmine/wiki/Security_Advisories

【11】OpenSSLのX.509ポリシー制限における二重ロックの問題

情報源
Japan Vulnerability Notes JVNVU#96155097
OpenSSLのX.509ポリシー制限における二重ロックの問題
https://jvn.jp/vu/JVNVU96155097/

概要
OpenSSLのX.509証明書に不正なポリシー制限が含まれていて、ポリシー処理が
有効な場合、書き込みロックが二重に行われる問題があります。結果として、
一部のオペレーティングシステム(最も一般的なのは Windows)では、影響を受
けるプロセスがハングし、サービス運用妨害（DoS）状態となる可能性があり
ます。

対象となるバージョンは次のとおりです。

- OpenSSL 3.0.0から3.0.7

OpenSSL 1.1.1および1.0.2は、本脆弱性の影響を受けないとのことです。

OpenSSLによると、本脆弱性の深刻度が低であるため、修正は提供されていま
せん。ただし、開発者向けに回避策を提示しています。詳細は、OpenSSLが提
供する情報を参照してください。

関連文書 (英語)
OpenSSL Project
OpenSSL Security Advisory [13 December 2022]
https://www.openssl.org/news/secadv/20221213.txt

openssl/openssl
x509 fix double locking problem
https://github.com/openssl/openssl/commit/7725e7bfe6f2ce8146b6552b44e0d226be7638e7

【12】シャープ製デジタル複合機にコマンドインジェクションの脆弱性

情報源
Japan Vulnerability Notes JVNVU#96195138
シャープ製デジタル複合機におけるコマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU96195138/

概要
シャープ株式会社が提供する複数のデジタル複合機には、コマンドインジェク
ションの脆弱性があります。結果として、管理者権限でログイン可能な攻撃者
により、複合機のファームウェア上で任意のコマンドが実行される可能性があ
ります。

影響を受ける製品、機種名、ファームウェアバージョンは多岐にわたります。
詳しくは、開発者が提供する情報をご確認ください。

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。また、回避策が提示されています。詳細は、開発者が提供す
る情報を参照してください。

関連文書 (日本語)
シャープ株式会社
弊社複合機におけるセキュリティ脆弱性について
https://jp.sharp/business/print/information/info_security_2022-11.html

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○日本シーサート協議会が「CSIRT人材の育成 Ver1.0」を公開

2022年12月13日、日本シーサート協議会は、「CSIRT人材の育成 Ver1.0」を公
開しました。
本資料では、「CSIRT人材の定義と確保 Ver.2.1」により定義されたCSIRTに必
要な役割とスキルをベースとして、その役割毎にどのように育成していくのか
という解決策、また要員不足に対しては兼任できる役割をグループ化して育成
するという解決策をWGメンバーのベストプラクティスとして集約し作成したも
のになります。CSIRT人材の育成方法について悩まれている組織のCSIRT活動の
参考にしてください。

参考文献 (日本語)
日本シーサート協議会
CSIRT人材の育成 Ver1.0
https://www.nca.gr.jp/activity/imgs/development-hr20220331.pdf

――――――――――――――――――――――――――――――――――――――

目 次

【1】Cisco IP Phone に複数の脆弱性
【2】複数のVMware製品に脆弱性
【3】FortiOSおよびFortiProxyに認証バイパスの脆弱性
【4】バッファロー製ネットワーク機器に複数の脆弱性
【今週のひとくちメモ】JPCERT/CC ベストレポーター賞 2022

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr224901.html
https://www.jpcert.or.jp/wr/2022/wr224901.xml
============================================================================

【1】Cisco IP Phone に複数の脆弱性

情報源
CISA Current Activity
Cisco Releases Security Advisory for IP Phone 7800 and 8800 Series
https://www.cisa.gov/uscert/ncas/current-activity/2022/12/09/cisco-releases-security-advisory-ip-phone-7800-and-8800-series

概要
Cisco IP Phone には脆弱性があります。結果として、隣接するネットワーク
上の第三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ
たりする可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Cisco IP Phone 7800 シリーズ ファームウェアバージョン14.2およびそれ以前
- Cisco IP Phone 8800 シリーズ ファームウェアバージョン14.2およびそれ以前（Wireless IP Phone 8821を除く）

この問題に関し、Ciscoは修正済みのバージョンの提供を予定しており、2022
年12月14日時点では一定の条件を満たす環境にて実施可能となる緩和策を提供
しています。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco Security Advisory
Cisco IP Phone 7800 and 8800 Series Cisco Discovery Protocol Stack Overflow Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ipp-oobwrite-8cMF5r7U

【2】複数のVMware製品に脆弱性

情報源
VMware
VMSA-2022-0030
https://www.vmware.com/security/advisories/VMSA-2022-0030.html

概要
複数のVMware製品には、脆弱性があります。このうち、メモリ破壊の脆弱性
が悪用されると、ESXiにローカル環境からアクセスできる攻撃者が、ESXiサン
ドボックスから脱出するなどの可能性があります。

対象となる製品は次のとおりです。対象となるバージョンは多岐にわたります。
詳細はVMwareが提供するアドバイザリ情報を参照してください。

- VMware ESXi
- VMware vCenter Server (vCenter Server)
- VMware Cloud Foundation (Cloud Foundation)

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
るか、回避策を適用することで解決します。詳細は、VMwareが提供する情報を
参照してください。

【3】FortiOSおよびFortiProxyに認証バイパスの脆弱性

情報源
Fortinet
FortiOS & FortiProxy - SSH authentication bypass when RADIUS authentication is used
https://www.fortiguard.com/psirt/FG-IR-22-255

概要
FortiOSおよびFortiProxyには、認証バイパスの脆弱性があります。結果とし
て、遠隔の第三者が、特別に細工した応答をRADIUSサーバーから送信すること
で、認証を迂回してログインする可能性があります。

対象となる製品およびバージョンは次のとおりです。

- FortiOS バージョン7.2.0から7.2.1まで
- FortiOS バージョン7.0.0から7.0.7まで
- FortiOS バージョン6.4.0から6.4.9まで
- FortiOS バージョン6.2系のすべてのバージョン
- FortiOS バージョン6.0系のすべてのバージョン
- FortiProxy バージョン7.0.0から7.0.6まで
- FortiProxy バージョン2.0.0から2.0.10まで
- FortiProxy バージョン1.2.0系のすべてのバージョン

この問題は、該当する製品をFortinetが提供する修正済みのバージョンに更新
することで解決します。詳細は、Fortinetが提供する情報を参照してください。

【4】バッファロー製ネットワーク機器に複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#97099584
バッファロー製ネットワーク機器における複数の脆弱性
https://jvn.jp/vu/JVNVU97099584/

概要
バッファロー製ネットワーク機器には、複数の脆弱性があります。結果として、
隣接するネットワーク上から当該機器の管理画面にログイン可能な第三者が、
デバッグ機能を不正に有効化し、任意のコマンドを実行するなどの可能性があ
ります。

対象となる製品は多岐にわたります。詳細は、株式会社バッファローが提供す
る情報を参照してください。

この問題は、該当する製品を株式会社バッファローが提供する修正済みのバー
ジョンに更新することで解決します。詳細は、株式会社バッファローが提供す
る情報を参照してください。

関連文書 (日本語)
株式会社バッファロー
ルーター等の一部商品における複数の脆弱性とその対処方法
https://www.buffalo.jp/news/detail/20221205-01.html

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CC ベストレポーター賞 2022

JPCERT/CCは12月8日、ベストレポーター賞2022の受賞者を発表しました。
ベストレポーター賞は、インシデント報告と脆弱性報告のそれぞれの部門に
おいて、情報提供によりJPCERT/CCの活動に顕著な貢献をいただいた方に年1回、
記念品の贈呈とともに感謝の意を表するものです。

JPCERT/CCは、多くの報告者の方々に日々ご協力いただいております。
JPCERT/CCに報告をくださったすべての方々に、この場を借りて感謝申し上げ
ます。引き続きJPCERT/CCの活動にご協力いただければと存じます。

参考文献 (日本語)
JPCERT/CC
JPCERT/CC ベストレポーター賞 2022
https://www.jpcert.or.jp/award/best-reporter-award/2022.html

――――――――――――――――――――――――――――――――――――――

目 次

【1】Google Chromeに複数の脆弱性
【2】ユニモテクノロジー製デジタルビデオレコーダーに複数の脆弱性
【3】三菱電機製MELSEC iQ-RシリーズEthernetインタフェースユニットに不適切な入力確認の脆弱性
【今週のひとくちメモ】NISCと警察庁が「学術関係者・シンクタンク研究員等を標的としたサイバー攻撃について（注意喚起）」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr224801.html
https://www.jpcert.or.jp/wr/2022/wr224801.xml
============================================================================

【1】Google Chromeに複数の脆弱性

情報源
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/12/stable-channel-update-for-desktop.html

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/11/stable-channel-update-for-desktop_29.html

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 108.0.5359.94/95（Windows版）より前のバージョン
- Google Chrome 108.0.5359.94（Mac版、Linux版）より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

【2】ユニモテクノロジー製デジタルビデオレコーダーに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#94514762
ユニモテクノロジー製デジタルビデオレコーダにおける複数の脆弱性
https://jvn.jp/vu/JVNVU94514762/

概要
ユニモテクノロジー株式会社が提供するデジタルビデオレコーダー製品には、
複数の脆弱性があります。結果として、遠隔の第三者が当該製品上で任意のOS
コマンドを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- UDR-JA1604/UDR-JA1608/UDR-JA1616 ファームウェアバージョン 71x10.1.107112.43Aおよびそれ以前のバージョン

この問題は、該当する製品をユニモテクノロジー株式会社が提供する修正済み
のファームウェアに更新することで解決します。詳細は、ユニモテクノロジー
株式会社が提供する情報を参照してください。

関連文書 (日本語)
ユニモテクノロジー株式会社
UDR-JA1604/UDR-JA1608/UDR-JA1616 ファームウエアを更新しました
http://www.unimo.co.jp/table_notice/index.php?act=1&resid=1666831567-004418

【3】三菱電機製MELSEC iQ-RシリーズEthernetインタフェースユニットに不適切な入力確認の脆弱性

情報源
Japan Vulnerability Notes JVNVU#94702422
三菱電機製MELSEC iQ-RシリーズEthernetインタフェースユニットにおける不適切な入力確認の脆弱性
https://jvn.jp/vu/JVNVU94702422/

概要
三菱電機株式会社が提供するMELSEC iQ-RシリーズEthernetインタフェースユ
ニットには、不適切な入力確認の脆弱性があります。結果として、遠隔の第三
者が細工したパケットを送信することで、当該製品がサービス運用妨害（DoS）
状態になる可能性があります。

対象となる製品およびバージョンは次のとおりです。

- MELSEC iQ-Rシリーズ
- RJ71EN71 ファームウェアバージョン"65"およびそれ以前のバージョン
- R04/08/16/32/120ENCPU(ネットワーク部) ファームウェアバージョン"65"およびそれ以前のバージョン

この問題は、該当する製品を三菱電機株式会社が提供する修正済みのファーム
ウェアに更新することで解決します。詳細は、三菱電機株式会社が提供する情
報を参照してください。

関連文書 (日本語)
三菱電機株式会社
MELSEC iQ-R シリーズ Ethernet インタフェースユニットにおけるサービス拒否(DoS)の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2022-017.pdf

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○NISCと警察庁が「学術関係者・シンクタンク研究員等を標的としたサイバー攻撃について（注意喚起）」を公開

2022年11月30日、内閣サイバーセキュリティセンター（NISC）と警察庁は「学
術関係者・シンクタンク研究員等を標的としたサイバー攻撃について（注意喚
起）」を公開しました。本注意喚起では実在する組織の社員・職員をかたり、
イベントの講師、講演、取材等の依頼メールや資料・原稿等の紹介メールを装っ
た攻撃事例を取り上げています。

参考文献 (日本語)
内閣サイバーセキュリティセンター
学術関係者・シンクタンク研究員等を標的としたサイバー攻撃について（注意喚起）
https://www.nisc.go.jp/pdf/press/20221130NISC_press.pdf

内閣サイバーセキュリティセンター
標的型サイバー攻撃、不審メールにご注意ください！
https://www.nisc.go.jp/pdf/press/20221130NISC_gaiyou.pdf

――――――――――――――――――――――――――――――――――――――

目 次

【1】TP-Link RE300 V1のtdpServerに入力データの不適切な処理に関する脆弱性
【2】サイボウズ リモートサービスにリソース枯渇に至る脆弱性
【3】baserCMSに複数のクロスサイトスクリプティングの脆弱性
【4】TyporaにJavaScriptコードの無効化処理が不十分な問題
【5】オムロン製CX-Programmerに複数の脆弱性
【6】三菱電機製GOT2000シリーズのFTPサーバ機能に不適切な入力確認の脆弱性
【7】三菱電機製FAエンジニアリングソフトウェア製品に複数の脆弱性
【今週のひとくちメモ】JSAC2023参加申し込み開始

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr224701.html
https://www.jpcert.or.jp/wr/2022/wr224701.xml
============================================================================

【1】TP-Link RE300 V1のtdpServerに入力データの不適切な処理に関する脆弱性

情報源
Japan Vulnerability Notes JVN#29657972
TP-Link RE300 V1 の tdpServer における入力データの不適切な処理に関する脆弱性
https://jvn.jp/jp/JVN29657972/

概要
TP-Link RE300 V1に実装されているtdpServerには、入力データの処理に問題
があります。結果として、第三者によって細工された入力を処理させられると
クラッシュする可能性があります。

対象となるバージョンは次のとおりです。

- TP-Link RE300 V1 ファームウェア221009より前のバージョン

この問題は、該当する製品をTP-Linkが提供する修正済みのバージョンに更新
することで解決します。詳細は、TP-Linkが提供する情報を参照してください。

関連文書 (日本語)
TP-Link
RE300 V1 のコンテンツ
https://www.tp-link.com/jp/support/download/re300/v1/#Firmware

【2】サイボウズ リモートサービスにリソース枯渇に至る脆弱性

情報源
Japan Vulnerability Notes JVN#87895771
サイボウズ リモートサービスにおけるリソース枯渇に至る脆弱性
https://jvn.jp/jp/JVN87895771/

概要
サイボウズ株式会社が提供するサイボウズ リモートサービスには、リソース
枯渇に至る脆弱性があります。結果として、当該製品にログイン可能なユーザー
が、意図しない操作により対象サーバーのストレージ領域を消費し、サービス
運用妨害（DoS）状態を引き起こす可能性があります。

対象となるバージョンは次のとおりです。

- サイボウズ リモートサービス 4.0.0から4.0.3まで

この問題は、該当する製品をサイボウズ株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、サイボウズ株式会社が提供する情報を
参照してください。

関連文書 (日本語)
サイボウズ株式会社
サイボウズ リモートサービス 4 脆弱性に関するお知らせ
https://cs.cybozu.co.jp/2022/007754.html

【3】baserCMSに複数のクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#53682526
baserCMS における複数のクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN53682526/

概要
baserCMSユーザー会が提供するbaserCMSには、複数のクロスサイトスクリプ
ティングの脆弱性があります。結果として、当該製品の管理画面にアクセスし
たユーザーのWebブラウザー上で、任意のスクリプトが実行される可能性があ
ります。

対象となるバージョンは次のとおりです。

- baserCMS 4.7.2より前のバージョン

この問題は、該当する製品をbaserCMSユーザー会が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、baserCMSユーザー会が提供する
情報を参照してください。

関連文書 (日本語)
baserCMSユーザー会
2022/11/24 baserCMS における複数のクロスサイトスクリプティングの脆弱性
https://basercms.net/security/JVN_53682526

【4】TyporaにJavaScriptコードの無効化処理が不十分な問題

情報源
Japan Vulnerability Notes JVN#26044739
Typora における JavaScript コードの無効化処理が不十分な問題
https://jvn.jp/jp/JVN26044739/

概要
Typoraには、編集内容に含まれるJavaScriptコードの一部に対して無効化処理
が行われない問題があります。結果として、当該製品を使用してファイルを開
いたときに、ファイルに含まれているJavaScriptコードが実行される可能性が
あります。

対象となるバージョンは次のとおりです。

- Typora 1.4.4より前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
Typora
History Releases
https://typora.io/releases/all

【5】オムロン製CX-Programmerに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#92877622
オムロン製CX-Programmerにおける複数の脆弱性
https://jvn.jp/vu/JVNVU92877622/

概要
オムロン株式会社が提供するCX-Programmerには、複数の脆弱性があります。
結果として、細工されたCXPファイルをユーザーに開かせることで、情報漏え
いが発生したり、任意のコードを実行されたりする可能性があります。

対象となるバージョンは次のとおりです。

- CX-Programmer Ver.9.77およびそれ以前のバージョン

この問題は、該当する製品をオムロン株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、オムロン株式会社が提供する情報を参
照してください。

関連文書 (日本語)
オムロン株式会社
オムロン株式会社からの情報
https://jvn.jp/vu/JVNVU92877622/995504/

【6】三菱電機製GOT2000シリーズのFTPサーバ機能に不適切な入力確認の脆弱性

情報源
Japan Vulnerability Notes JVNVU#95633416
三菱電機製GOT2000シリーズのFTPサーバ機能における不適切な入力確認の脆弱性
https://jvn.jp/vu/JVNVU95633416/

概要
三菱電機株式会社が提供するGOT2000シリーズのFTPサーバー機能には、不適切
な入力確認の脆弱性があります。結果として、FTPクライアントを使用してFTP
サーバー（GOT）にアクセス可能な攻撃者が細工したコマンドを送信すること
で、当該製品がサービス運用妨害（DoS）状態になる可能性があります。

対象となるバージョンは次のとおりです。

- GOT2000シリーズ
- GT27モデル 01.39.000およびそれ以前
- GT25モデル 01.39.000およびそれ以前
- GT23モデル 01.39.000およびそれ以前

この問題は、該当する製品を三菱電機株式会社が提供する修正済みのバージョン
に更新するか、回避策を適用することで解決します。詳細は、三菱電機株式会社
が提供する情報を参照してください。

関連文書 (日本語)
三菱電機株式会社
GOT2000 シリーズの FTP サーバ機能におけるサービス拒否（DoS）の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2022-016.pdf

【7】三菱電機製FAエンジニアリングソフトウェア製品に複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#97244961
三菱電機製FAエンジニアリングソフトウェア製品における複数の脆弱性
https://jvn.jp/vu/JVNVU97244961/

概要
三菱電機株式会社が提供するFAエンジニアリングソフトウェア製品には、複数
の脆弱性があります。結果として、遠隔の第三者が当該製品のプロジェクトファ
イルに関する情報を窃取するなどの可能性があります。

対象となる製品は次のとおりです。

- GX Works3
- MX OPC UA Module Configurator-R

この問題は、該当する製品を三菱電機株式会社が提供する修正済みのバージョン
に更新するか、回避策を適用することで解決します。詳細は、三菱電機株式会
社が提供する情報を参照してください。

関連文書 (日本語)
三菱電機株式会社
複数の FA エンジニアリングソフトウェア製品における複数の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2022-015.pdf

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JSAC2023参加申し込み開始

2022年11月17日、JPCERT/CCは「JSAC2023」の参加申し込みを開始しました。
2023年1月25日（水）および26日（木）に開催される本カンファレンスは、日
本国内のセキュリティアナリストが一堂に会し、インシデント分析・対応に関
連する技術的な知見を共有することを目的に開催しているものです。

参加をご希望の場合は、必要事項をご記入いただき、電子メールにてお申し込
みください。申し込み締め切りは2023年1月17日(火) 23:59 JSTです。詳細は
JSAC2023ページをご確認ください。

参考文献 (日本語)
JPCERT/CC
JSAC2023
https://jsac.jpcert.or.jp/

JPCERT/CC
JSAC2023 -Registration-
https://jsac.jpcert.or.jp/registration.html

――――――――――――――――――――――――――――――――――――――

目 次

【1】複数のMozilla製品に脆弱性
【2】Sambaにバッファオーバーフローの脆弱性
【3】Cisco Identity Services Engineに複数の脆弱性
【4】Netatalkに複数の脆弱性
【5】RICOH IPSiO SP 4210にクロスサイトスクリプティングの脆弱性
【6】Movable Typeに複数の脆弱性
【7】日立国際電気製監視システムネットワーク製品（カメラ、エンコーダ、デコーダ）に複数の脆弱性
【8】WordPress用プラグインWordPress Popular Postsに外部入力の不適切な使用に関する脆弱性
【今週のひとくちメモ】FIRSTが「PSIRT Services Framework 1.1 日本語版と PSIRT Maturity Document 1.1 日本語版」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr224601.html
https://www.jpcert.or.jp/wr/2022/wr224601.xml
============================================================================

【1】複数のMozilla製品に脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/11/16/mozilla-releases-security-updates-multiple-products

概要
複数のMozilla製品には、複数の脆弱性があります。結果として、遠隔の第三
者がスプーフィング攻撃などを行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Thunderbird 102.5より前のバージョン
- Mozilla Firefox 107より前のバージョン
- Mozilla Firefox ESR 102.5より前のバージョン

この問題は、Mozillaが提供する修正済みのバージョンに更新することで解決
します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)
Mozilla
Mozilla Foundation Security Advisory 2022-47
https://www.mozilla.org/en-US/security/advisories/mfsa2022-47/

Mozilla
Mozilla Foundation Security Advisory 2022-48
https://www.mozilla.org/en-US/security/advisories/mfsa2022-48/

Mozilla
Mozilla Foundation Security Advisory 2022-49
https://www.mozilla.org/en-US/security/advisories/mfsa2022-49/

【2】Sambaにバッファオーバーフローの脆弱性

情報源
CISA Current Activity
Samba Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/11/16/samba-releases-security-updates

概要
Sambaには、バッファオーバーフローの脆弱性があります。結果として、遠隔の
攻撃者が偽造されたPACを使用してヒープを破損する可能性があります。

対象となるバージョンは次のとおりです。

- Samba 4.17.3より前のバージョン
- Samba 4.16.7より前のバージョン
- Samba 4.15.12より前のバージョン

この問題は、SambaをThe Samba Teamが提供する修正済みのバージョンに更新
することで解決します。詳細は、The Samba Teamが提供する情報を参照して
ください。

関連文書 (英語)
The Samba Team
CVE-2022-42898.html:
https://www.samba.org/samba/security/CVE-2022-42898.html

【3】Cisco Identity Services Engineに複数の脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Identity Services Engine
https://www.cisa.gov/uscert/ncas/current-activity/2022/11/16/cisco-releases-security-updates-identity-services-engine

概要
Cisco Identity Services Engineには、複数の脆弱性があります。結果として、
遠隔の攻撃者がアクセス許可されていないシステムファイルへアクセスするな
どの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Cisco Identity Services Engine 2.4系およびそれ以前のバージョン
- Cisco Identity Services Engine 2.6系のバージョン
- Cisco Identity Services Engine 2.7系のバージョン
- Cisco Identity Services Engine 3.0系のバージョン
- Cisco Identity Services Engine 3.1系のバージョン
- Cisco Identity Services Engine 3.2系のバージョン

2022年11月24日時点で、CVE-2022-20956およびCVE-2022-20959を修正するアッ
プデートが公開されていないバージョンもあります。Ciscoが公開している緩和
策を適用の上、アップデート公開後には速やかに適用することを推奨します。
詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-access-contol-EeufSUCx

Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-xss-twLnpy3M

【4】Netatalkに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#99505355
Netatalkに複数の脆弱性
https://jvn.jp/vu/JVNVU99505355/

概要
Netatalkには、複数の脆弱性があります。結果として、遠隔の第三者によって、
認証を経ずに機微な情報を窃取されたり、root権限で任意のコードを実行され
る可能性があります。

対象となるバージョンは次のとおりです。

- Netatalk 3.1.12

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
NETATALK
Netatalk 3.1.13
https://netatalk.sourceforge.io/3.1/ReleaseNotes3.1.13.html

CERT/CC Vulnerability Note VU#709991
Netatalk contains multiple error and memory management vulnerabilities
https://kb.cert.org/vuls/id/709991

【5】RICOH IPSiO SP 4210にクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#24659622
RICOH IPSiO SP 4210 におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN24659622/

概要
株式会社リコーが提供するIPSiO SP 4210には、Web Image Monitorにクロスサ
イトスクリプティングの脆弱性があります。結果として、管理者権限でログイ
ンしているユーザのウェブブラウザ上で、任意のスクリプトを実行される可能
性があります。

対象となるバージョンは次のとおりです。

- IPSiO SP 4210 Web Support 1.05より前のファームウェアバージョン

この問題は、該当する製品のファームウェアを最新版へアップデートすること
で解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
株式会社リコー
IPSiO SP 4210用 RICOH Firmware Update Tool Ver.1.01
https://support.ricoh.com/bbv2/html/dr_ut_d/ipsio/history/w/bb/pub_j/dr_ut_d/4101044/4101044791/V101/5236968/redirect_CLUTool_DOM/history.htm

【6】Movable Typeに複数の脆弱性

情報源
Japan Vulnerability Notes JVN#37014768
Movable Type における複数の脆弱性
https://jvn.jp/jp/JVN37014768/

概要
シックス・アパート株式会社が提供するMovable Typeには、複数の脆弱性が
あります。結果として、当該製品のコンテンツフィールドの編集権限を持つユ
ーザによって任意のOSコマンドを実行されるなどの可能性があります。

対象となるバージョンは次のとおりです。

- Movable Type 7 r.5301およびそれ以前(Movable Type 7系)
- Movable Type Advanced 7 r.5301およびそれ以前(Movable Type Advanced 7系)
- Movable Type 6.8.7およびそれ以前(Movable Type 6系)
- Movable Type Advanced 6.8.7およびそれ以前(Movable Type Advanced 6系)
- Movable Type Premium 1.53およびそれ以前
- Movable Type Premium Advanced 1.53およびそれ以前

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
シックス・アパート株式会社
[重要] Movable Type 7 r.5401 / Movable Type 6.8.8 / Movable Type Premium 1.54 の提供開始（セキュリティアップデート）と Movable Type 8 についてのお知らせ
https://www.sixapart.jp/movabletype/news/2022/11/16-1100.html

【7】日立国際電気製監視システムネットワーク製品（カメラ、エンコーダ、デコーダ）に複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#97968855
日立国際電気製監視システムネットワーク製品（カメラ、エンコーダ、デコーダ）における複数の脆弱性
https://jvn.jp/vu/JVNVU97968855/

概要
株式会社日立国際電気が提供する監視システムネットワーク製品（カメラ、エ
ンコーダ、デコーダ）には、複数の脆弱性があります。結果として、遠隔の第
三者によって、サービス運用妨害（DoS）状態にされるなどの可能性があります。

対象となる製品およびバージョンは多岐にわたるため、開発者が提供する情報
を参照してください。

この問題は、該当する製品のファームウェアを最新版へアップデートすること
で解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
株式会社日立国際電気
監視システムネットワーク製品（カメラ、デコーダ、エンコーダ）における脆弱性の対策について（CVE-2022-37680/CVE-2022-37681）
https://www.hitachi-kokusai.co.jp/products/info/vulnerable/hitachi-sec-2022-001/

【8】WordPress用プラグインWordPress Popular Postsに外部入力の不適切な使用に関する脆弱性

情報源
Japan Vulnerability Notes JVN#13927745
WordPress 用プラグイン WordPress Popular Posts における外部入力の不適切な使用に関する脆弱性
https://jvn.jp/jp/JVN13927745/

概要
Hector Cabreraが提供するWordPress用プラグインWordPress Popular Posts
には、外部入力の不適切な使用に関する脆弱性があります。結果として、遠隔
の第三者によって、任意の記事の閲覧数を不正に操作される可能性があります。

対象となるバージョンは次のとおりです。

- WordPress Popular Posts 6.0.5およびそれ以前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
WordPressプラグイン
WordPress Popular Posts
https://ja.wordpress.org/plugins/wordpress-popular-posts/

関連文書 (英語)
cabrerahector/wordpress-popular-posts
WordPress Popular Posts
https://github.com/cabrerahector/wordpress-popular-posts/

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○FIRSTが「PSIRT Services Framework 1.1 日本語版と PSIRT Maturity Document 1.1 日本語版」を公開

FIRSTは、製品やサービスを開発し提供する組織によるPSIRTの設置・継続的運
用・能力の向上を支援するためのガイドとして「PSIRT Services Framework」
を作成し公開しています。本フレームワークは、PSIRTの組織モデル、機能、
サービス、成果などを含むPSIRTのコンセプトと全体像を示し、さらに、PSIRT
が果たすべき責任と、PSIRTがその活動に必要な能力を備え、組織内外との連
携によって価値を提供するために必要となる事項について説明しています。

今回、PSIRT Services Framework 1.1 日本語版と PSIRT Maturity Document
1.1 日本語版は、Software ISACと一般社団法人JPCERT コーディネーションセン
ターによって翻訳された後、KONICA MINOLTA PSIRT、Mitsubishi Electric PSIRT、
Panasonic PSIRT によってレビューされ、公開されたものになります。

参考文献 (日本語)
JPCERT/CC
PSIRT Services Framework と PSIRT Maturity Document
https://www.jpcert.or.jp/research/psirtSF.html

――――――――――――――――――――――――――――――――――――――

目 次

【1】複数のマイクロソフト製品に脆弱性
【2】複数のCitrix製品に複数の脆弱性
【3】VMware製品に複数の脆弱性
【4】複数のCisco製品に脆弱性
【5】複数のIntel製品に脆弱性
【6】複数のApple製品に脆弱性
【7】Google Chromeに複数の脆弱性
【8】トレンドマイクロ製Apex OneおよびApex One SaaSに複数の脆弱性
【9】WordPressに複数の脆弱性
【10】複数のUEFI実装における競合状態に関する脆弱性
【11】アイホン製インターホンシステムに情報漏えいの脆弱性
【今週のひとくちメモ】Internet Week 2022開催のお知らせ

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr224501.html
https://www.jpcert.or.jp/wr/2022/wr224501.xml
============================================================================

【1】複数のマイクロソフト製品に脆弱性

情報源
CISA Current Activity
Microsoft Releases November 2022 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/11/09/microsoft-releases-november-2022-security-updates

概要
複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく
ださい。

関連文書 (日本語)
マイクロソフト株式会社
2022 年 11 月のセキュリティ更新プログラム (月例)
https://msrc-blog.microsoft.com/2022/11/08/202211-security-update/

JPCERT/CC 注意喚起
2022年11月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2022/at220031.html

【2】複数のCitrix製品に複数の脆弱性

情報源
CISA Current Activity
Citrix Releases Security Updates for ADC and Gateway
https://www.cisa.gov/uscert/ncas/current-activity/2022/11/09/citrix-releases-security-updates-adc-and-gateway

概要
複数のCitrix製品には、脆弱性があります。結果として、遠隔の第三者が認証を
回避するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Citrix ADCおよびCitrix Gateway 13.1-33.47より前の13.1系のバージョン
- Citrix ADCおよびCitrix Gateway 13.0-88.12より前の13.0系のバージョン
- Citrix ADCおよびCitrix Gateway 12.1-65.21より前の12.1系のバージョン
- Citrix ADC 12.1-FIPS 12.1-55.289より前のバージョン
- Citrix ADC 12.1-NDcPP 12.1-55.289より前のバージョン

この問題は、該当する製品をCitrixが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Citrixが提供する情報を参照してください。

関連文書 (英語)
Citrix
Citrix Gateway and Citrix ADC Security Bulletin for CVE-2022-27510 CVE-2022-27513 and CVE-2022-27516
https://support.citrix.com/article/CTX463706/citrix-gateway-and-citrix-adc-security-bulletin-for-cve202227510-cve202227513-and-cve202227516

【3】VMware製品に複数の脆弱性

情報源
CISA Current Activity
VMware Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/11/09/vmware-releases-security-updates

概要
VMware Workspace ONE Assistには、複数の脆弱性があります。結果として、
遠隔の第三者が認証を経ずにアプリケーションへアクセスするなどの可能性が
あります。

対象となる製品およびバージョンは次のとおりです。

- VMware Workspace ONE Assist 21系および22系のバージョン

この問題は、対象の製品をVMwareが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、VMwareが提供する情報を参照してください。

関連文書 (英語)
VMware
VMSA-2022-0028
https://www.vmware.com/security/advisories/VMSA-2022-0028.html

【4】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/11/10/cisco-releases-security-updates-multiple-products

概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害（DoS）攻撃などを行う可能性があります。

影響を受ける製品、バージョンは多岐にわたります。詳細は、Ciscoが提供す
る情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【5】複数のIntel製品に脆弱性

情報源
Japan Vulnerability Notes JVNVU#94499505
Intel製品に複数の脆弱性（2022年11月）
https://jvn.jp/vu/JVNVU94499505/

概要
Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security
Center Advisoriesが公開されました。

詳細は、Intelが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Intel製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2022110901.html

関連文書 (英語)
Intel
Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html

【6】複数のApple製品に脆弱性

情報源
Apple
macOS Ventura 13.0.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213504

Apple
iOS 16.1.1 および iPadOS 16.1.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213505

概要
複数のApple製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- macOS Ventura 13.0.1より前のバージョン
- iOS 16.1.1より前のバージョン
- iPadOS 16.1.1より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

【7】Google Chromeに複数の脆弱性

情報源
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/11/stable-channel-update-for-desktop.html

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 107.0.5304.106/107（Windows版）より前のバージョン
- Google Chrome 107.0.5304.110（Mac版）より前のバージョン
- Google Chrome 107.0.5304.110（Linux版）より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

【8】トレンドマイクロ製Apex OneおよびApex One SaaSに複数の脆弱性

情報源
トレンドマイクロ株式会社
アラート/アドバイザリ：Trend Micro Apex One およびTrend Micro Apex One SaaSで確認した複数の脆弱性について（2022年11月）
https://success.trendmicro.com/jp/solution/000291774

概要
Apex OneおよびApex One SaaSには、複数の脆弱性があります。結果として、
脆弱な端末にアクセスできる第三者が権限を昇格するなどの可能性がありま
す。

対象となる製品は次のとおりです。

- Apex One 2019
- Apex One SaaS

この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正済みの
バージョンに更新することで解決します。なお、Apex One SaaSについては
2022年10月のメンテナンスで修正済みとのことです。詳細はトレンドマイクロ
株式会社が提供する情報を参照してください。

【9】WordPressに複数の脆弱性

情報源
Japan Vulnerability Notes JVN#09409909
WordPress における複数の脆弱性
https://jvn.jp/jp/JVN09409909/

概要
WordPressには、複数の脆弱性があります。結果として、当該製品を使用する
サイトを閲覧しているユーザーのWebブラウザー上で、任意のスクリプトが実
行されるなどの可能性があります。

対象となるバージョンは次のとおりです。

- WordPress 6.0.3より前のバージョン

この問題は、該当する製品をWordPressが提供する修正済みのバージョンに更
新することで解決します。詳細は、WordPressが提供する情報を参照してくだ
さい。

関連文書 (英語)
WordPress
WordPress 6.0.3 Security Release
https://wordpress.org/news/2022/10/wordpress-6-0-3-security-release/

【10】複数のUEFI実装における競合状態に関する脆弱性

情報源
Japan Vulnerability Notes JVNVU#96604488
複数のUEFI実装における競合状態に関する脆弱性
https://jvn.jp/vu/JVNVU96604488/

概要
複数のUEFI実装において、高い特権で任意のコードが実行される競合状態の問
題が発見されました。結果として、悪意のある第三者がSecureBootやBootGuard
といった、UEFIのセキュリティ機能をバイパスするなどの可能性があります。

この問題に関する詳細は、CERT/CCが提供する情報を参照してください。

関連文書 (英語)
CERT/CC Vulnerability Note VU#434994
Multiple race conditions due to TOCTOU flaws in various UEFI Implementations
https://kb.cert.org/vuls/id/434994

【11】アイホン製インターホンシステムに情報漏えいの脆弱性

情報源
Japan Vulnerability Notes JVN#75437943
アイホン製インターホンシステムにおける情報漏えいの脆弱性
https://jvn.jp/jp/JVN75437943/

概要
アイホン株式会社が提供するインターホンシステムには、情報漏えいの脆弱性
があります。結果として、製品に関する特定の情報を不正に入手して当該製品
にアクセス可能な第三者が、機器内に登録されている機微な情報を取得する可
能性があります。

対象となる製品およびバージョンは次のとおりです。

- GT-DMB-N Ver3.00より前のバージョン
- GT-DMB Ver3.00より前のバージョン
- GT-DMB-LVN Ver3.00より前のバージョン
- GT-DB-VN Ver2.00より前のバージョン

開発者によると、2021年12月7日以降に出荷した製品は対策ファームウェアを
適用済みとのことです。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
アイホン株式会社
テナントビル用インターホン集合玄関機「GT-DMB-N」・「GT-DMB」をご利用のお客様へ
https://www.aiphone.co.jp/customer/20221110.html

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○Internet Week 2022開催のお知らせ

2022年11月21日（月）から30日（水）まで、一般社団法人日本ネットワークイン
フォメーションセンター（JPNIC）は、「Internet Week 2022」をオンライン
開催および、一部会期を現地会場とオンラインのハイブリッドで開催します。
インターネットに関する技術の研究・開発、 構築・運用・サービスに関わる
人々が、主にインターネットの基盤技術の基礎知識や最新動向を学び、議論し、
理解と交流を深めるためのイベントです。JPCERT/CCは本カンファレンスを後
援しています。詳細は、JPNICが提供する情報を確認してください。

参考文献 (日本語)
一般社団法人日本ネットワークインフォメーションセンター (JPNIC)
Internet Week 2022
https://www.nic.ad.jp/iw2022/

一般社団法人日本ネットワークインフォメーションセンター (JPNIC)
参加申込
https://www.nic.ad.jp/iw2022/apply/main/

――――――――――――――――――――――――――――――――――――――

目 次

【1】OpenSSLに複数の脆弱性
【2】Xcodeに複数の脆弱性
【3】複数のCisco製品に脆弱性
【4】Apache Tomcatに無効なHTTPヘッダーの取り扱いに関する問題
【5】京セラドキュメントソリューションズ製の複合機およびプリンターのWebインタフェースに複数の脆弱性
【今週のひとくちメモ】マルウェアEmotetの感染に至るメールの配布再開に関する注意喚起

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr224401.html
https://www.jpcert.or.jp/wr/2022/wr224401.xml
============================================================================

【1】OpenSSLに複数の脆弱性

情報源
CISA Current Activity
OpenSSL Releases Security Update
https://www.cisa.gov/uscert/ncas/current-activity/2022/11/01/openssl-releases-security-update

概要
OpenSSLには、複数の脆弱性があります。結果として、システムがサービス運
用妨害（DoS）状態にされたり、遠隔からのコード実行が行われたりする可能
性があります。

対象となるバージョンは次のとおりです。

- OpenSSL 3.0.0から3.0.6

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
OpenSSLの脆弱性（CVE-2022-3602、CVE-2022-3786）に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220030.html

Japan Vulnerability Notes JVNVU#92673251
OpenSSLに複数の脆弱性
https://jvn.jp/vu/JVNVU92673251/

関連文書 (英語)
OpenSSL Project
OpenSSL Security Advisory [01 November 2022]
https://www.openssl.org/news/secadv/20221101.txt

【2】Xcodeに複数の脆弱性

情報源
CISA Current Activity
Apple Releases Security Update for Xcode
https://www.cisa.gov/uscert/ncas/current-activity/2022/11/03/apple-releases-security-update-xcode

概要
Xcodeには、複数の脆弱性があります。結果として、遠隔の第三者が任意のコー
ドを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Xcode 14.1より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
Apple
Xcode 14.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213496

【3】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/11/03/cisco-releases-security-updates-multiple-products

概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が機微
な情報を窃取するなどの可能性があります。

影響を受ける製品、バージョンは多岐にわたります。詳細は、Ciscoが提供す
る情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【4】Apache Tomcatに無効なHTTPヘッダーの取り扱いに関する問題

情報源
Japan Vulnerability Notes JVNVU#93003913
Apache Tomcatにおける無効なHTTPヘッダの取り扱いに関する問題
https://jvn.jp/vu/JVNVU93003913/

概要
Apache Tomcatには、無効なHTTPヘッダーの取り扱いに関する問題があります。
結果として、Tomcatをリバースプロキシの背後に配備している場合、リクエス
トスマグリング攻撃が行われる可能性があります。

対象となるバージョンは次のとおりです。

- Apache Tomcat 10.1.0-M1から10.1.0までのバージョン
- Apache Tomcat 10.0.0-M1から10.0.26までのバージョン
- Apache Tomcat 9.0.0-M1から9.0.67までのバージョン
- Apache Tomcat 8.5.0から8.5.82までのバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
The Apache Software Foundation
Fixed in Apache Tomcat 10.1.1
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.1

The Apache Software Foundation
Fixed in Apache Tomcat 10.0.27
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.27

The Apache Software Foundation
Fixed in Apache Tomcat 9.0.68
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.68

The Apache Software Foundation
Fixed in Apache Tomcat 8.5.83
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.83

【5】京セラドキュメントソリューションズ製の複合機およびプリンターのWebインタフェースに複数の脆弱性

情報源
Japan Vulnerability Notes JVN#46345126
京セラドキュメントソリューションズ製の複合機およびプリンターの Web インタフェースにおける複数の脆弱性
https://jvn.jp/jp/JVN46345126/

概要
京セラドキュメントソリューションズ株式会社が提供する複合機およびプリン
ターのWebインタフェースには、複数の脆弱性があります。結果として、当該
製品にアクセス可能な第三者が、推測したセッション情報を使用することで、
正規ユーザーになりすましてログインするなどの可能性があります。

影響を受ける製品は多岐にわたります。詳細は、京セラドキュメントソリュー
ションズ株式会社が提供するアドバイザリ情報を参照してください。

この問題は、該当する製品のファームウェアを最新版へアップデートすること
で解決します。詳細は、京セラドキュメントソリューションズ株式会社が提供
する情報を参照してください。

関連文書 (日本語)
京セラドキュメントソリューションズ株式会社
京セラ製複合機・プリンターのセキュリティー脆弱性について
https://www.kyoceradocumentsolutions.co.jp/support/information/info_20221101.html

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○マルウェアEmotetの感染に至るメールの配布再開に関する注意喚起

2022年11月2日より、マルウェアEmotetの感染に至るメールの配布が観測され
ています。基本的な配布手法は変わらず、メールには悪性なxlsファイルある
いはxlsファイルを含むパスワード付きのZIPファイルが添付されています。引
き続き警戒いただき、対策や対応時には注意喚起の情報をご参照ください。

参考文献 (日本語)
JPCERT/CC 注意喚起
マルウェアEmotetの感染再拡大に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220006.html

独立行政法人情報処理推進機構（IPA）
Emotet（エモテット）と呼ばれるウイルスへの感染を狙うメールについて
https://www.ipa.go.jp/security/announce/20191202.html

――――――――――――――――――――――――――――――――――――――

目 次

【1】複数のApple製品に脆弱性
【2】VMware製品に複数の脆弱性
【3】Sambaに複数の脆弱性
【4】Google Chromeに複数の脆弱性
【5】SHIRASAGIに複数の脆弱性
【6】富士ソフト製ネットワーク製品に複数の脆弱性
【今週のひとくちメモ】JPCERT/CCが2022年7月~2022年9月分の「インターネット定点観測レポート（2022年 7~9月）」「TSUBAMEレポート Overflow（2022年7~9月）」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr224301.html
https://www.jpcert.or.jp/wr/2022/wr224301.xml
============================================================================

【1】複数のApple製品に脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/10/26/apple-releases-security-updates-multiple-products

概要
複数のApple製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- iOS 15.7.1より前のバージョン
- iPadOS 15.7.1より前のバージョン
- iOS 16.1より前のバージョン
- iPadOS 16より前のバージョン
- watchOS 9.1より前のバージョン
- tvOS 16.1より前のバージョン
- macOS Big Sur 11.7.1より前のバージョン
- macOS Monterey 12.6.1より前のバージョン
- macOS Ventura 13より前のバージョン
- Safari 16.1より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Apple製品のアップデートについて（2022年10月）
https://www.jpcert.or.jp/newsflash/2022102501.html

Apple
iOS 15.7.1 および iPadOS 15.7.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213490

Apple
iOS 16.1 および iPadOS 16 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213489

Apple
watchOS 9.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213491

Apple
tvOS 16.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213492

Apple
macOS Big Sur 11.7.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213493

Apple
macOS Monterey 12.6.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213494

Apple
macOS Ventura 13 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213488

Apple
Safari 16.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213495

【2】VMware製品に複数の脆弱性

情報源
CISA Current Activity
VMware Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/10/28/vmware-releases-security-updates

概要
VMware Cloud Foundation (NSX-V)には、複数の脆弱性があります。結果とし
て、遠隔の第三者が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- VMware Cloud Foundation (NSX-V) バージョン3.x

この問題は、対象の製品をVMwareが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、VMwareが提供する情報を参照してください。

関連文書 (英語)
VMware
VMSA-2022-0027.1
https://www.vmware.com/security/advisories/VMSA-2022-0027.html

【3】Sambaに複数の脆弱性

情報源
CISA Current Activity
Samba Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/10/26/samba-releases-security-updates

概要
Sambaには、複数の脆弱性があります。結果として、部分的な権限を持つユー
ザーがすべてのファイルにアクセスできるなどの可能性があります。

対象となるバージョンは次のとおりです。

- Samba 4.17.2より前のバージョン
- Samba 4.16.6より前のバージョン
- Samba 4.15.11より前のバージョン

この問題は、SambaをThe Samba Teamが提供する修正済みのバージョンに更新
することで解決します。詳細は、The Samba Teamが提供する情報を参照してく
ださい。

関連文書 (英語)
The Samba Team
CVE-2022-3437.html:
https://www.samba.org/samba/security/CVE-2022-3437.html

The Samba Team
CVE-2022-3592.html:
https://www.samba.org/samba/security/CVE-2022-3592.html

【4】Google Chromeに複数の脆弱性

情報源
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/10/stable-channel-update-for-desktop_25.html

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 107.0.5304.62/63（Windows版）より前のバージョン
- Google Chrome 107.0.5304.62（Mac版）より前のバージョン
- Google Chrome 107.0.5304.68（Linux版）より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

【5】SHIRASAGIに複数の脆弱性

情報源
Japan Vulnerability Notes JVN#86350682
SHIRASAGI における複数の脆弱性
https://jvn.jp/jp/JVN86350682/

概要
SHIRASAGI Projectが提供するSHIRASAGIには、複数の脆弱性があります。結果
として、当該製品に管理者権限でログインしているユーザーのWebブラウザー
上で、任意のスクリプトを実行されるなどの可能性があります。

対象となるバージョンは次のとおりです。

- SHIRASAGI v1.14.4からv1.15.0
- SHIRASAGI v1.16.2より前のバージョン

この問題は、開発者が提供するアップデートを適用することで解決します。詳
細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
SHIRASAGI Project
JVN#86350682 SHIRASAGI におけるオープンリダイレクト脆弱性とクロスサイトスクリプティング脆弱性
https://www.ss-proj.org/support/928.html

【6】富士ソフト製ネットワーク製品に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#74285622
富士ソフト製ネットワーク製品における複数の脆弱性
https://jvn.jp/jp/JVN74285622/

概要
富士ソフト株式会社が提供するネットワーク製品には、複数の脆弱性がありま
す。結果として、当該製品を入手した第三者が管理コンソールのログインパス
ワードを窃取するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- +F FS040U ソフトウェアバージョン V2.3.4およびそれ以前のバージョン
- +F FS020W ソフトウェアバージョン V4.0.0およびそれ以前のバージョン
- +F FS030W ソフトウェアバージョン V3.3.5およびそれ以前のバージョン
- +F FS040W ソフトウェアバージョン V1.4.1およびそれ以前のバージョン

この問題は、富士ソフト株式会社が提供するアップデートを適用するか回避策
を適用することで解決します。詳細は、富士ソフト株式会社が提供する情報を
参照してください。

関連文書 (日本語)
富士ソフト株式会社
+F（プラスエフ）FS020W 「クロスサイトリクエストフォージェリ」の脆弱性
https://www.fsi.co.jp/mobile/plusF/news/22102804.html

富士ソフト株式会社
+F（プラスエフ）FS030W 「クロスサイトリクエストフォージェリ」の脆弱性
https://www.fsi.co.jp/mobile/plusF/news/22102803.html

富士ソフト株式会社
+F（プラスエフ）FS040W 「クロスサイトリクエストフォージェリ」の脆弱性
https://www.fsi.co.jp/mobile/plusF/news/22102802.html

富士ソフト株式会社
+F（プラスエフ）FS040U 「クロスサイトリクエストフォージェリ」および「パスワード管理不備」の脆弱性
https://www.fsi.co.jp/mobile/plusF/news/22102801.html

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CCが2022年7月~2022年9月分の「インターネット定点観測レポート（2022年 7~9月）」「TSUBAMEレポート Overflow（2022年7~9月）」を公開

JPCERT/CCでは、インターネット上に複数の観測用センサーを分散配置し、不
特定多数に向けて発信されるパケットを継続的に収集し、攻撃活動や準備活動
の捕捉に努めています。
「インターネット定点観測レポート（2022年 7~9月）」では本四半期に観測
されたパケットを中心に分析した結果、「TSUBAMEレポート Overflow（2022年
7~9月）」では海外に設置しているセンサーの観測動向の比較などを紹介して
います。

参考文献 (日本語)
JPCERT/CC
インターネット定点観測レポート（2022年 7~9月）
https://www.jpcert.or.jp/tsubame/report/report202207-09.html

JPCERT/CC
TSUBAMEレポート Overflow（2022年7~9月）
https://blogs.jpcert.or.jp/ja/2022/10/tsubame_overflow_2022-07-09.html

――――――――――――――――――――――――――――――――――――――

目 次

【1】複数のMozilla製品に脆弱性
【2】2022年10月Oracle Critical Patch Updateについて
【3】Trend Micro Apex OneおよびTrend Micro Apex One SaaSに複数の脆弱性
【4】スマートフォンアプリ「Lemon8 (レモンエイト)」にアクセス制限不備の脆弱性
【5】日本語プログラミング言語「なでしこ3」に複数の脆弱性
【今週のひとくちメモ】JPCERT/CCが2022年7月～2022年9月分の「活動四半期レポート」「インシデント報告対応レポート」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください.

https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr224201.html
https://www.jpcert.or.jp/wr/2022/wr224201.xml
============================================================================

【1】複数のMozilla製品に脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox
https://www.cisa.gov/uscert/ncas/current-activity/2022/10/20/mozilla-releases-security-updates-firefox

概要
複数のMozilla製品には、複数の脆弱性があります。結果として、遠隔の第三者
がサービス運用妨害（DoS）攻撃などを行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Firefox 106より前のバージョン
- Firefox ESR 102.4より前のバージョン

この問題は、Mozillaが提供する修正済みのバージョンに更新することで解決
します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)
Mozilla
Mozilla Foundation Security Advisory 2022-44
https://www.mozilla.org/en-US/security/advisories/mfsa2022-44/

Mozilla
Mozilla Foundation Security Advisory 2022-45
https://www.mozilla.org/en-US/security/advisories/mfsa2022-45/

【2】2022年10月Oracle Critical Patch Updateについて

情報源
CISA Current Activity
Oracle Releases October 2022 Critical Patch Update
https://www.cisa.gov/uscert/ncas/current-activity/2022/10/19/oracle-releases-october-2022-critical-patch-update

概要
Oracleから複数の製品およびコンポーネントに含まれる脆弱性に対応した
Oracle Critical Patch Update Advisoryが公開されました。

詳細は、Oracleが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
2022年10月Oracle製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2022/at220029.html

関連文書 (英語)
Oracle
Oracle Critical Patch Update Advisory - October 2022
https://www.oracle.com/security-alerts/cpuoct2022.html

【3】Trend Micro Apex OneおよびTrend Micro Apex One SaaSに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#97131578
Trend Micro Apex OneおよびTrend Micro Apex One SaaSにおける複数の脆弱性
https://jvn.jp/vu/JVNVU97131578/

概要
Trend Micro Apex OneおよびTrend Micro Apex One SaaSには、複数の脆弱性
があります。結果として、第三者が権限昇格などを行う可能性があります。

対象となるバージョンは次のとおりです。

- Trend Micro Apex One 2019
- Trend Micro Apex One SaaS

この問題は、開発者が提供するアップデートを適用することで解決します。詳
細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ：Trend Micro Apex One およびTrend Micro Apex One SaaSで確認した複数の脆弱性について（2022年10月）
https://success.trendmicro.com/jp/solution/000291648

【4】スマートフォンアプリ「Lemon8 (レモンエイト)」にアクセス制限不備の脆弱性

情報源
Japan Vulnerability Notes JVN#10921428
スマートフォンアプリ「Lemon8 (レモンエイト)」におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN10921428/

概要
ByteDance株式会社が提供するスマートフォンアプリ「Lemon8 (レモンエイト)」
には、アクセス制限不備の脆弱性が存在します。結果として、遠隔の第三者に
よって、当該製品を経由し任意のウェブサイトにアクセスさせられる可能性が
あります。

対象となるバージョンは次のとおりです。

- Android アプリ「Lemon8 (レモンエイト)」3.3.5より前のバージョン
- iOS アプリ「Lemon8 (レモンエイト)」3.3.5より前のバージョン

この問題は、開発者が提供するアップデートを適用することで解決します。詳
細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
Google Play
Lemon8 (レモンエイト)
https://play.google.com/store/apps/details?id=com.bd.nproject

APP Store
Lemon8 (レモンエイト)
https://apps.apple.com/jp/app/lemon8-%E3%83%AC%E3%83%A2%E3%83%B3%E3%82%A8%E3%82%A4%E3%83%88/id1498607143

【5】日本語プログラミング言語「なでしこ3」に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#56968681
日本語プログラミング言語「なでしこ3」における複数の脆弱性
https://jvn.jp/jp/JVN56968681/

概要
日本語プログラミング言語「なでしこ3」には、複数の脆弱性が存在します。
結果として、遠隔の第三者がOSコマンドインジェクションを実行するなどの可
能性があります。

対象となるバージョンは次のとおりです。

- なでしこ3 PC版 v3.3.74 およびそれ以前のバージョン

この問題は、開発者が提供するアップデートを適用することで解決します。詳
細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
kujirahand /nadesiko3
cnako3の圧縮解凍の問題 #1325
https://github.com/kujirahand/nadesiko3/issues/1325

kujirahand /nadesiko3
nako3editのファイルの扱いの問題 #1347
https://github.com/kujirahand/nadesiko3/issues/1347

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CCが2022年7月～2022年9月分の「活動四半期レポート」「インシデント報告対応レポート」を公開

2022年10月20日、JPCERT/CCは2022年7月～2022年9月分の「活動四半期レポート」
「インシデント報告対応レポート」を公開しました。本四半期中のJPCERT/CC
の国内外の活動に加え、JPCERT/CCが報告を受け付けたインシデントの統計や
事例などについてまとめています。参考資料としてご活用ください。

参考文献 (日本語)
JPCERT/CC
JPCERT/CC 活動四半期レポート[2022年7月1日～2022年9月30日]
https://www.jpcert.or.jp/pr/2022/PR_Report2022Q2.pdf

JPCERT/CC
JPCERT/CC インシデント報告対応レポート[2022年7月1日～2022年9月30日]
https://www.jpcert.or.jp/pr/2022/IR_Report2022Q2.pdf

――――――――――――――――――――――――――――――――――――――