ミニ・いんふぉめーしょん

目　次
【1】複数のFortinet製品に脆弱性
【2】Apache Struts 2にサービス運用妨害（DoS）の脆弱性
【3】Apache Tomcat Connectors（mod_jk）に情報漏えいの脆弱性
【4】複数のMozilla製品に脆弱性
【5】不適切なフォーマットのBGP UPDATEメッセージの処理に関するBGP実装の脆弱性
【6】複数のマイクロソフト製品に脆弱性
【7】複数のアドビ製品に脆弱性
【8】Google Chromeに複数の脆弱性
【9】Pyramidにディレクトリトラバーサルの脆弱性
【10】HPE Aruba Networking 9200・9000シリーズのArubaOSに複数の脆弱性
【11】IPAが「建設業とサイバーセキュリティ」を公開
【12】IPAが「攻撃者視点の獲得を目的としたボードゲーム：Cyber Attacker Placement」を公開
【13】Array Networks Array AGシリーズの脆弱性を悪用する複数の標的型サイバー攻撃活動に関する注意喚起
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】複数のFortinet製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/09/15/fortinet-releases-security-updates-multiple-products

概要
Fortinetは同社製品における脆弱性に関するアドバイザリを12件（High 3件を含む）公開しました。対象製品および影響は多岐にわたり、対策は製品により異なります。SeverityがHighのアドバイザリ（FG-IR-23-106）では、FortiOSおよびFortiProxyのクロスサイトスクリプティングの脆弱性（CVE-2023-29183）が修正されています。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.fortiguard.com/psirt/FG-IR-23-068

https://www.fortiguard.com/psirt/FG-IR-22-310

https://www.fortiguard.com/psirt/FG-IR-23-106

【2】Apache Struts 2にサービス運用妨害（DoS）の脆弱性
情報源
https://jvn.jp/vu/JVNVU93658064/

概要
Apache Struts 2には、サービス運用妨害（DoS）の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://cwiki.apache.org/confluence/display/WW/S2-065

【3】Apache Tomcat Connectors（mod_jk）に情報漏えいの脆弱性
情報源
https://jvn.jp/vu/JVNVU96802408/

概要
Apache Tomcat Connectors（mod_jk）には、情報漏えいの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。なお、ISAPIリダイレクターは本脆弱性の影響を受けません。詳細は開発者が提供する情報を参照してください。
関連文書
https://tomcat.apache.org/security-jk.html#Fixed_in_Apache_Tomcat_JK_Connector_1.2.49

【4】複数のMozilla製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/09/13/mozilla-releases-security-updates-multiple-products

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Thunderbirdが影響を受けます。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。Mozillaは今回修正された脆弱性を悪用する攻撃をすでに確認しているとのことです。詳細は開発者が提供する情報を参考にしてください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2023-40/

【5】不適切なフォーマットのBGP UPDATEメッセージの処理に関するBGP実装の脆弱性
情報源
https://kb.cert.org/vuls/id/347067

概要
複数のBGP（Border Gateway Protocol）実装において、特別に細工されたBGP UPDATEメッセージの処理に脆弱性が確認されており、本脆弱性の影響を受けるルーターがサービス運用妨害（DoS）状態になる可能性があります。幾つかの製品ベンダーは、この問題への緩和策や修正に関する情報を提供しています。CERT/CCは、この問題に関して製品ベンダーの対応状況を横断的に示していますので、ご確認のうえ対処をご検討ください。
関連文書
https://supportportal.juniper.net/s/article/2023-08-29-Out-of-Cycle-Security-Bulletin-Junos-OS-and-Junos-OS-Evolved-A-crafted-BGP-UPDATE-message-allows-a-remote-attacker-to-de-peer-reset-BGP-sessions-CVE-2023-4481

https://security.paloaltonetworks.com/CVE-2023-38802

【6】複数のマイクロソフト製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/09/12/microsoft-releases-september-2023-updates

概要
複数のマイクロソフト製品に関する脆弱性が公開されています。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。対象となる製品およびバージョンは多岐にわたります。マイクロソフトは今回修正された脆弱性を悪用する攻撃をすでに確認しているとのことです。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.jpcert.or.jp/at/2023/at230019.html

https://msrc.microsoft.com/blog/2023/09/202309-security-update/

【7】複数のアドビ製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/09/12/adobe-releases-security-updates-multiple-products

概要
複数のアドビ製品には、脆弱性があります。Adobe AcrobatおよびReader、Adobe Connect、Adobe Experience Managerが影響を受けます。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.jpcert.or.jp/at/2023/at230018.html

https://www.jpcert.or.jp/newsflash/2023091301.html

https://helpx.adobe.com/security/products/acrobat/apsb23-34.html

https://helpx.adobe.com/security/products/connect/apsb23-33.html

https://helpx.adobe.com/security/products/experience-manager/apsb23-43.html

【8】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_11.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。Googleは今回修正された脆弱性を悪用する攻撃をすでに確認しているとのことです。詳細は開発者が提供する情報を参照してください。
関連文書
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_12.html

【9】Pyramidにディレクトリトラバーサルの脆弱性
情報源
https://jvn.jp/jp/JVN41113329/

概要
Pylons Projectが提供するPython用のWebフレームワークPyramidには、ディレクトリトラバーサルの脆弱性があります。この問題は、Pyramidを修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://github.com/advisories/GHSA-j8g2-6fc7-q8f8

https://pypi.org/project/pyramid/2.0.2/

【10】HPE Aruba Networking 9200・9000シリーズのArubaOSに複数の脆弱性
情報源
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-014.txt

概要
HPE Aruba Networking製9200シリーズおよび9000シリーズのArubaOSには、複数の脆弱性があります。この問題は、当該製品をアップグレードすることで解決します。なお、開発者によると、すでにサポートを終了したバージョンの製品も影響を受けるものがありますが、パッチは提供されないとのことで、サポートポリシーを確認し対処することを勧めています。詳細は開発者が提供する情報を参照してください。

【11】IPAが「建設業とサイバーセキュリティ」を公開
情報源
https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2023/construction-industry-cybersecurity.html

概要
2023年9月13日、独立行政法人情報処理推進機構（IPA）は「建設業とサイバーセキュリティ」を公開しました。建設業におけるサイバーセキュリティの意識向上を目的として、建設業とサイバーセキュリティ教育、ビル設備におけるサイバーセキュリティ、と2つのテーマに取り組んだとのことです。また公開成果物として、建設業向けサイバーセキュリティ教育動画および作成手法とビル設備におけるサイバーセキュリティチェックリストおよび設問項目ガイドを作成したとのことです。

【12】IPAが「攻撃者視点の獲得を目的としたボードゲーム：Cyber Attacker Placement」を公開
情報源
https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2023/cyber-attacker-placement.html

概要
2023年9月13日、独立行政法人情報処理推進機構（IPA）は「攻撃者視点の獲得を目的としたボードゲーム：Cyber Attacker Placement」を公開しました。セキュリティを題材にしたボードゲームは各団体などで作成されている中で、攻撃を題材にしたボードゲームを作成したとのことです。

【13】Array Networks Array AGシリーズの脆弱性を悪用する複数の標的型サイバー攻撃活動に関する注意喚起
情報源
https://www.jpcert.or.jp/at/2023/at230020.html

概要
2023年9月14日、JPCERT/CCはArray Networks Array AGシリーズの脆弱性を悪用する複数の標的型サイバー攻撃活動に関する注意喚起を公開しました。2022年5月以降、サイバーセキュリティ協議会の活動などを通じて、Array Networks Array AGシリーズの脆弱性を悪用したと思われる複数の標的型サイバー攻撃を断続的に確認しています。複数の攻撃グループ／攻撃活動が本製品の脆弱性を悪用していると考えられ、また、国内のみならず海外拠点も標的となっているため、自組織の海外拠点における対策や侵害有無の調査も推奨します。

目　次
【1】複数のCisco製品に脆弱性
【2】「direct」デスクトップ版アプリ Mac版にアクセス制限不備の脆弱性
【3】F-RevoCRMに複数の脆弱性
【4】PMailServerおよびPMailServer2付属CGIに複数の脆弱性
【5】SHIRASAGIに複数の脆弱性
【6】JAIPA Cloud Conference 2023開催のお知らせ
【7】複数のApple製品に脆弱性
【8】Barracuda Email Security Gateway（ESG）の脆弱性（CVE-2023-2868）を悪用する継続的な攻撃活動に関する注意喚起
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】複数のCisco製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/09/07/cisco-releases-security-advisories-multiple-products

概要
Ciscoは同社製品における脆弱性に関するアドバイザリを計6件（Critical 1件、High 1件、Medium 4件）公開しました。対象は多岐にわたります。影響を受ける製品、バージョンなどの詳細は、開発者が提供する情報を参照してください。その内、Cisco ASAおよびFTDソフトウェアのブルートフォース攻撃に対する脆弱性（CVE-2023-20269）について、Ciscoは同脆弱性を悪用する攻撃をすでに確認しているとのことです。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ravpn-auth-8LyfCkeC

【2】「direct」デスクトップ版アプリ Mac版にアクセス制限不備の脆弱性
情報源
https://jvn.jp/jp/JVN42691027/

概要
株式会社L is Bが提供する「direct」デスクトップ版アプリ Mac版には、アクセス制限不備の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://status.direct4b.com/2023/08/31/2023083101/

【3】F-RevoCRMに複数の脆弱性
情報源
https://jvn.jp/jp/JVN78113802/

概要
シンキングリード株式会社が提供するF-RevoCRMには、複数の脆弱性があります。この問題は、当該製品にパッチを適用することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://f-revocrm.jp/2023/08/9394/

【4】PMailServerおよびPMailServer2付属CGIに複数の脆弱性
情報源
https://jvn.jp/jp/JVN92720882/

概要
A.K.I Softwareが提供するPMailServerおよびPMailServer2付属のCGIには、複数の脆弱性があります。この問題は、当該製品に更新ファイルを適用することで解決します。開発者によると、PMailServerはすでに開発を終了しているため、更新ファイルは提供されず、該当製品でのCGI使用停止、または後継製品PMailServer2への移行が推奨されています。詳細は開発者が提供する情報を参照してください。
関連文書
https://akisoftware.com/Vulnerability202301.html

【5】SHIRASAGIに複数の脆弱性
情報源
https://jvn.jp/jp/JVN82758000/

概要
SHIRASAGIには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.ss-proj.org/support/954.html

【6】JAIPA Cloud Conference 2023開催のお知らせ
情報源
https://cloudconference.jaipa.or.jp/

概要
2023年9月21日、一般社団法人 日本インターネットプロバイダー協会 クラウド部会は「JAIPA Cloud Conference 2023」を開催します。クラウドサービスプロバイダー（IaaS/PaaS/SaaS）、システムインテグレーター、ソリューションベンダーなどが参加し、クラウド業界の未来について知見を深めるイベントです。JPCERT/CCはJAIPA Cloud Conference 2023を後援しています。参加費は無料で、参加には事前の申し込みが必要です。

【7】複数のApple製品に脆弱性
情報源
https://www.jpcert.or.jp/newsflash/2023090801.html

概要
複数のApple製品には、脆弱性があります。対象は多岐にわたります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。Appleは今回修正された脆弱性を悪用する攻撃をすでに確認しているとのことです。詳細は開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/HT201222

【8】Barracuda Email Security Gateway（ESG）の脆弱性（CVE-2023-2868）を悪用する継続的な攻撃活動に関する注意喚起
情報源
https://www.jpcert.or.jp/at/2023/at230017.html

概要
2023年9月5日、JPCERT/CCはBarracuda Email Security Gateway（ESG）の脆弱性（CVE-2023-2868）を悪用する継続的な攻撃活動に関する注意喚起を公開しました。同脆弱性を悪用する攻撃活動については、2023年5月以降、Barracuda NetworksおよびMandiantから複数の情報が公表されており、本脆弱性の影響を受けて侵害されている可能性のあるユーザー組織には通知が行われていることがすでに公表されていますが、一連の修正対応後も特定のユーザー組織では新たなバックドアが設置されたり、ネットワーク上で横展開したりするなど、攻撃者が永続性を確保しようとする継続的な攻撃活動が確認されているとのことです。影響を受ける製品を利用しており、特に、5月以降に一連の通知を受け取っている組織においては、Barracuda Networksなどが提供する最新の情報や関連情報をご確認の上、速やかに追加の侵害調査などをご検討ください。
関連文書
https://www.barracuda.com/company/legal/esg-vulnerability

目　次
【1】複数のJuniper Networks製品に脆弱性
【2】複数のMozilla製品に脆弱性
【3】複数のVMware製品に脆弱性
【4】Google Chromeに解放済みメモリ使用の脆弱性
【5】Apache Tomcatにオープンリダイレクトの脆弱性
【6】フィッシング対策セミナー 2023（オンライン）開催のご案内
【7】JPCERT/CCがブログ「「能動的サイバー防御」は効果があるのか？ 注目が集まるoffensiveなオペレーションの考察 」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】複数のJuniper Networks製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/08/30/juniper-networks-releases-security-advisory-junos-os-and-junos-os-evolved

概要
Junos OSおよびJunos OS Evolvedには脆弱性があり、サービス運用妨害（DoS）攻撃を受ける可能性があります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://supportportal.juniper.net/s/article/2023-08-29-Out-of-Cycle-Security-Bulletin-Junos-OS-and-Junos-OS-Evolved-A-crafted-BGP-UPDATE-message-allows-a-remote-attacker-to-de-peer-reset-BGP-sessions-CVE-2023-4481

【2】複数のMozilla製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/08/30/mozilla-releases-security-updates-firefox-and-firefox-esr

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Thunderbirdが影響を受けます。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参考にしてください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2023-34/

https://www.mozilla.org/en-US/security/advisories/mfsa2023-35/

https://www.mozilla.org/en-US/security/advisories/mfsa2023-36/

https://www.mozilla.org/en-US/security/advisories/mfsa2023-38/

【3】複数のVMware製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/08/30/vmware-releases-security-updates-aria-operations-networks

概要
VMware Aria Operations for NetworksおよびVMware Toolsには、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.vmware.com/security/advisories/VMSA-2023-0018.html

https://www.vmware.com/security/advisories/VMSA-2023-0019.html

【4】Google Chromeに解放済みメモリ使用の脆弱性
情報源
https://chromereleases.googleblog.com/2023/08/stable-channel-update-for-desktop_29.html

概要
Google Chromeには、解放済みメモリ使用の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【5】Apache Tomcatにオープンリダイレクトの脆弱性
情報源
https://jvn.jp/vu/JVNVU93446549/

概要
Apache Tomcatには、オープンリダイレクトの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.0-M11

https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.13

https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.80

https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.93

【6】フィッシング対策セミナー 2023（オンライン）開催のご案内
情報源
https://www.antiphishing.jp/news/event/antiphishing_seminar2023.html

概要
2023年11月10日、フィッシング対策協議会は「フィッシング対策セミナー 2023（オンライン）」を開催します。フィッシング詐欺に関わる法執行機関、金融機関、EC関連事業者からの有識者を招き、最新のフィッシング詐欺の傾向や対策についてご紹介いたします。また、協議会の会員組織によるフィッシング対策サービスや各種の解決策も紹介予定です。

【7】JPCERT/CCがブログ「「能動的サイバー防御」は効果があるのか？ 注目が集まるoffensiveなオペレーションの考察 」を公開
情報源
https://blogs.jpcert.or.jp/ja/2023/08/effectiveness-of-active-cyber-defense.html

概要
2023年8月29日、JPCERT/CCはブログ「「能動的サイバー防御」は効果があるのか？ 注目が集まるoffensiveなオペレーションの考察 」を公開しました。JPCERT/CCが昨年9月に「『積極的サイバー防御』（アクティブ・サイバー・ディフェンス）とは何か ?より具体的な議論に向けて必要な観点について?」で公開したものの中でoffensiveなオペレーションについて、その手段や効果について考察しています。

目　次
【1】メールフォームプロCGIに正規表現を用いたサービス運用妨害 (ReDoS) の脆弱性
【2】すかいらーくアプリにアクセス制限不備の脆弱性
【3】Google Chromeに複数の脆弱性
【4】Rakuten WiFi Pocketに認証不備の脆弱性
【5】WordPress用プラグインAdvanced Custom Fieldsにクロスサイトスクリプティングの脆弱性
【6】JPCERT/CCがブログ「MalDoc in PDF - 検知回避を狙って悪性なWordファイルをPDFファイルへ埋め込む手法 -」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】メールフォームプロCGIに正規表現を用いたサービス運用妨害 (ReDoS) の脆弱性
情報源
https://jvn.jp/jp/JVN86484824/

概要
シンクグラフィカが提供するメールフォームプロCGIには、正規表現を用いたサービス運用妨害（ReDoS）の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.synck.com/blogs/news/newsroom/detail_1691668841.html

【2】すかいらーくアプリにアクセス制限不備の脆弱性
情報源
https://jvn.jp/jp/JVN03447226/

概要
スマートフォンアプリ「すかいらーくアプリ」には、アクセス制限不備の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://play.google.com/store/apps/details?id=jp.co.skylark.app.gusto

https://apps.apple.com/jp/app/%E3%81%99%E3%81%8B%E3%81%84%E3%82%89%E3%83%BC%E3%81%8F%E3%82%A2%E3%83%97%E3%83%AA/id906930478

【3】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2023/08/chrome-desktop-stable-update.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【4】Rakuten WiFi Pocketに認証不備の脆弱性
情報源
https://jvn.jp/jp/JVN55217369/

概要
楽天モバイル株式会社が提供するRakuten WiFi Pocketの管理画面には、認証不備の脆弱性があります。当該製品のサポートは終了しており、修正アップデートが提供される予定はありません。開発者は代替製品への移行を推奨しています。詳細は、開発者が提供する情報を確認してください。
関連文書
https://network.mobile.rakuten.co.jp/product/internet/rakuten-wifi-pocket/support/

【5】WordPress用プラグインAdvanced Custom Fieldsにクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN98946408/

概要
WordPress用プラグインAdvanced Custom Fieldsには、クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.advancedcustomfields.com/blog/acf-6-1-8/

【6】JPCERT/CCがブログ「MalDoc in PDF - 検知回避を狙って悪性なWordファイルをPDFファイルへ埋め込む手法 -」を公開
情報源
https://blogs.jpcert.or.jp/ja/2023/08/maldocinpdf.html

概要
2023年8月22日、JPCERT/CCはブログ「MalDoc in PDF - 検知回避を狙って悪性なWordファイルをPDFファイルへ埋め込む手法 -」を公開しました。JPCERT/CCが7月に発生した攻撃で確認した、検知回避を狙って悪性なWordファイルをPDFファイルへ埋め込む新しいテクニックについて、詳細とその対策を解説しています。

目　次
【1】Junos OSに複数の脆弱性
【2】Proselfに複数の脆弱性
【3】Confluence ServerおよびConfluence Data Centerにサードパーティ製品依存の脆弱性
【4】複数のCisco製品に脆弱性
【5】EC-CUBE 2系にクロスサイトスクリプティングの脆弱性
【6】Google Chromeに複数の脆弱性
【7】Pythonのurllib.parseに空白文字で始まるURLの解析が失敗する問題
【8】JPCERT/CCが「TSUBAMEレポート Overflow（2023年4-6月）」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】Junos OSに複数の脆弱性
情報源
https://supportportal.juniper.net/s/article/2023-08-Out-of-Cycle-Security-Bulletin-Junos-OS-SRX-Series-and-EX-Series-Multiple-vulnerabilities-in-J-Web-can-be-combined-to-allow-a-preAuth-Remote-Code-Execution?language=en_US

概要
SRXシリーズおよびEXシリーズに搭載されたJunos OSには、複数の脆弱性があります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【2】Proselfに複数の脆弱性
情報源
https://jvn.jp/jp/JVN19661362/

概要
株式会社ノースグリッドが提供するProselfには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.proself.jp/information/149/

https://www.proself.jp/information/150/

https://www.jpcert.or.jp/at/2023/at230014.html

【3】Confluence ServerおよびConfluence Data Centerにサードパーティ製品依存の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/08/17/atlassian-releases-security-update-confluence-server-and-data-center

概要
AtlassianはConfluence ServerおよびConfluence Data Centerにおける脆弱性に関するアドバイザリを公開しました。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://confluence.atlassian.com/security/security-bulletin-august-15-2023-1276870882.html

【4】複数のCisco製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/08/17/cisco-releases-security-advisories-multiple-products

概要
Ciscoは同社製品における脆弱性に関するアドバイザリを計17件（High 5件、Medium 12件）公開しました。影響を受ける製品、バージョンなど詳細は、開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x

【5】EC-CUBE 2系にクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN46993816/

概要
株式会社イーシーキューブが提供するEC-CUBE 2系には、クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品に修正ファイルを適用することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.ec-cube.net/info/weakness/20230727/

【6】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2023/08/stable-channel-update-for-desktop_15.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【7】Pythonのurllib.parseに空白文字で始まるURLの解析が失敗する問題
情報源
https://kb.cert.org/vuls/id/127587

概要
Pythonのurllib.parseコンポーネントには、空白文字で始まるURLの解析に問題があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細はPython Software Foundationが提供する情報を参照してください。
関連文書
https://github.com/python/cpython/issues/102153

【8】JPCERT/CCが「TSUBAMEレポート Overflow（2023年4-6月）」を公開
情報源
https://blogs.jpcert.or.jp/ja/2023/08/tsubame_overflow_2023-04-06.html

概要
2023年8月16日、JPCERT/CCは「TSUBAMEレポート Overflow（2023年4-6月）」に関するブログを公開しました。2023年4-6月の観測結果として、海外に設置しているセンサーの観測動向の比較や、その他の活動などについて紹介しています。
関連文書
https://www.jpcert.or.jp/tsubame/report/report202304-06.html

目　次
【1】エレコム製およびロジテック製ネットワーク機器に複数の脆弱性
【2】Citrix HypervisorおよびXenServerに複数の脆弱性
【3】複数のIntel製品に脆弱性
【4】Trend Micro Apex Centralにサーバーサイドリクエストフォージェリの脆弱性
【5】Androidアプリ「リクナビNEXT」にアクセス制限不備の脆弱性
【6】複数のアドビ製品に脆弱性
【7】複数のマイクロソフト製品に脆弱性
【8】Fortinet製Forti OSにスタックベースのバッファーオーバーフローの脆弱性
【9】FFRI yaraiおよびFFRI yarai Home and Business Editionに例外条件の不適切な処理の脆弱性
【10】JPCERT/CCがカスタマイズ可能なマルウェア検知ツールYAMAを公開
【11】JPCERT/CCがブログ「なぜ被害公表時に原因を明示するのか／しないのか 個別被害公表と事案全体のコーディネーションの観点から 」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】エレコム製およびロジテック製ネットワーク機器に複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU91630351/

概要
エレコム株式会社およびロジテック株式会社が提供するネットワーク機器には、複数の脆弱性があります。影響を受ける製品、バージョンは多岐にわたります。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.elecom.co.jp/news/security/20230810-01/

【2】Citrix HypervisorおよびXenServerに複数の脆弱性
情報源
https://support.citrix.com/article/CTX569353/citrix-hypervisor-security-bulletin-for-cve202320569-cve202334319-and-cve202240982

概要
Citrix HypervisorおよびXenServerには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【3】複数のIntel製品に脆弱性
情報源
https://jvn.jp/vu/JVNVU99796803/

概要
Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security Center Advisoriesが公開されました。詳細は、Intelが提供する情報を参照してください。
関連文書
https://www.intel.com/content/www/us/en/security-center/default.html

https://www.jpcert.or.jp/newsflash/2023080902.html

【4】Trend Micro Apex Centralにサーバーサイドリクエストフォージェリの脆弱性
情報源
https://jvn.jp/vu/JVNVU98367862/

概要
トレンドマイクロ株式会社が提供するTrend Micro Apex Centralには、サーバーサイドリクエストフォージェリの脆弱性があります。この問題は、当該製品にパッチを適用することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://success.trendmicro.com/jp/solution/000294212

【5】Androidアプリ「リクナビNEXT」にアクセス制限不備の脆弱性
情報源
https://jvn.jp/jp/JVN84820712/

概要
株式会社リクルートが提供するAndroidアプリ「リクナビNEXT」には、アクセス制限不備の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【6】複数のアドビ製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/08/08/adobe-releases-security-updates-multiple-products

概要
複数のアドビ製品には、脆弱性があります。Adobe AcrobatおよびReader、Adobe Commerce、Adobe Dimension、Adobe XMP Toolkit SDKが影響を受けます。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.jpcert.or.jp/newsflash/2023080901.html

https://www.jpcert.or.jp/at/2023/at230015.html

【7】複数のマイクロソフト製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/08/08/microsoft-releases-august-2023-security-updates

概要
複数のマイクロソフト製品に関する脆弱性が公開されています。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。対象となる製品およびバージョンは多岐にわたります。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.jpcert.or.jp/at/2023/at230016.html

https://msrc.microsoft.com/blog/2023/08/202308-security-update/

【8】Fortinet製Forti OSにスタックベースのバッファーオーバーフローの脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/08/08/fortinet-releases-security-update-fortios

概要
FortinetはForti OSの複数のバージョンに関するスタックベースのバッファーオーバーフローの脆弱性についてアドバイザリを公開しました。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.fortiguard.com/psirt/FG-IR-23-149

【9】FFRI yaraiおよびFFRI yarai Home and Business Editionに例外条件の不適切な処理の脆弱性
情報源
https://jvn.jp/jp/JVN42527152/

概要
株式会社ＦＦＲＩセキュリティが提供するFFRI yaraiおよびFFRI yarai Home and Business Edition、そのOEM製品には、例外条件の不適切な処理の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.ffri.jp/security-info/index.htm

https://www.soliton.co.jp/support/zerona_notice_2023.html

https://www.support.nec.co.jp/View.aspx?id=3140109240

https://www.sourcenext.com/support/i/2023/230718_01

https://www.skyseaclientview.net/news/230807_01/

【10】JPCERT/CCがカスタマイズ可能なマルウェア検知ツールYAMAを公開
情報源
https://blogs.jpcert.or.jp/ja/2023/08/yama.html

概要
2023年8月9日、JPCERT/CCはカスタマイズ可能なマルウェア検知ツールYAMAを公開し、ツールの特徴や使用方法について紹介するブログを公開しました。YAMAは、自身で作成したYARAルールを使用してメモリスキャンの実行を可能とする、マルウェア検知をサポートするツールです。
関連文書
https://github.com/JPCERTCC/YAMA

【11】JPCERT/CCがブログ「なぜ被害公表時に原因を明示するのか／しないのか 個別被害公表と事案全体のコーディネーションの観点から 」を公開
情報源
https://blogs.jpcert.or.jp/ja/2023/08/incident-disclosure-and-coordination.html

概要
2023年8月7日、JPCERT/CCはブログ「なぜ被害公表時に原因を明示するのか／しないのか 個別被害公表と事案全体のコーディネーションの観点から 」を公開しました。複数の省庁からメール関連システムへの不正アクセスによる情報漏えいについて被害が公表されたことを受け、JPCERT/CCが事務局として参加し、公開した「サイバー攻撃被害に係る情報の共有 公表ガイダンス」の内容に照らしながら、個別の被害公表時の情報の扱い方と、関係する組織が複数ある場合の全体のコーディネーション等について解説する内容となっています。
関連文書
https://www.jpcert.or.jp/press/2023/PR20230807_notice1.html

目　次
【1】FUJITSU Software Infrastructure Manager（ISM）に重要な情報の平文保存の脆弱性
【2】Google Chromeに複数の脆弱性
【3】複数のMozilla製品に脆弱性
【4】セイコーエプソン製プリンターのWeb Configにサービス運用妨害（DoS）の脆弱性
【5】OpenSSLのDH_check()関数におけるDHキーとパラメータのチェックに過剰な時間がかかる問題
【6】オムロン製CJシリーズおよびCS/CJシリーズのEtherNet/IPユニットにおけるサービス運用妨害（DoS）の脆弱性
【7】オムロン製CX-Programmerに複数の脆弱性
【8】IPAが「夏休みにおける情報セキュリティに関する注意喚起」を公開
【9】IPAが「インターネット境界に設置された装置に対するサイバー攻撃」に関する注意喚起を公開
【10】Proselfの認証バイパスおよびリモートコード実行の脆弱性に関する注意喚起
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】FUJITSU Software Infrastructure Manager（ISM）に重要な情報の平文保存の脆弱性
情報源
https://jvn.jp/jp/JVN38847224/

概要
富士通株式会社が提供するFUJITSU Software Infrastructure Manager（ISM）には、重要な情報の平文保存の脆弱性があります。この問題は、当該製品にパッチを適用することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.fujitsu.com/jp/products/software/infrastructure-software/infrastructure-software/serverviewism/enhancement/v280-061/

【2】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2023/08/stable-channel-update-for-desktop.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【3】複数のMozilla製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/08/02/mozilla-releases-security-updates-firefox-and-firefox-esr

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Thunderbirdが影響を受けます。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参考にしてください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2023-29/

https://www.mozilla.org/en-US/security/advisories/mfsa2023-30/

https://www.mozilla.org/en-US/security/advisories/mfsa2023-31/

https://www.mozilla.org/en-US/security/advisories/mfsa2023-32/

https://www.mozilla.org/en-US/security/advisories/mfsa2023-33/

【4】セイコーエプソン製プリンターのWeb Configにサービス運用妨害（DoS）の脆弱性
情報源
https://jvn.jp/jp/JVN61337171/

概要
セイコーエプソン株式会社が提供するプリンターのWeb Configには、サービス運用妨害（DoS）の脆弱性があります。この問題に関して、ファームウェア提供予定はないとし、ワークアラウンドの適用を強く推奨しています。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.epson.jp/support/misc_t/230802_oshirase.htm

【5】OpenSSLのDH_check()関数におけるDHキーとパラメータのチェックに過剰な時間がかかる問題
情報源
https://jvn.jp/vu/JVNVU98291788/

概要
OpenSSLのDH_check()関数には、非常に大きな係数を使用しようとすると処理速度が遅くなる問題があります。この問題に対しては、OpenSSL gitリポジトリーでcommitのみが提供されていましたが、現地時間2023年8月1日に本脆弱性を修正したバージョンのOpenSSLがリリースされています。詳細はOpenSSL Projectが提供する情報を参照してください。
関連文書
https://www.openssl.org/news/secadv/20230731.txt

https://jvn.jp/vu/JVNVU95617114/

【6】オムロン製CJシリーズおよびCS/CJシリーズのEtherNet/IPユニットにおけるサービス運用妨害（DoS）の脆弱性
情報源
https://jvn.jp/vu/JVNVU92193064/

概要
オムロン株式会社が提供するCJシリーズおよびCS/CJシリーズのEtherNet/IPユニットには、サービス運用妨害（DoS）の脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.fa.omron.co.jp/product/vulnerability/OMSR-2023-006_ja.pdf

【7】オムロン製CX-Programmerに複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU93286117/

概要
オムロン株式会社が提供するCX-Programmerには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.fa.omron.co.jp/product/vulnerability/OMSR-2023-005_ja.pdf

【8】IPAが「夏休みにおける情報セキュリティに関する注意喚起」を公開
情報源
https://www.ipa.go.jp/security/anshin/heads-up/alert20230803.html

概要
2023年8月3日、独立行政法人情報処理推進機構（IPA）は「夏休みにおける情報セキュリティに関する注意喚起」を公開しました。長期休暇を取得する時期を迎えるにあたり、IPAが公開している長期休暇における情報セキュリティ対策などが案内されています。

【9】IPAが「インターネット境界に設置された装置に対するサイバー攻撃」に関する注意喚起を公開
情報源
https://www.ipa.go.jp/security/security-alert/2023/alert20230801.html

概要
2023年8月1日、独立行政法人情報処理推進機構（IPA）は「インターネット境界に設置された装置に対するサイバー攻撃について」と題して注意喚起を公開しました。昨今、企業や組織のネットワークとインターネットとの境界に設置されるセキュリティ製品の脆弱性が狙われ攻撃に利用されているとし、一般的な対策や最近の動向などが紹介されています。

【10】Proselfの認証バイパスおよびリモートコード実行の脆弱性に関する注意喚起
情報源
https://www.jpcert.or.jp/at/2023/at230014.html

概要
2023年7月20日から、株式会社ノースグリッドはオンラインストレージ構築パッケージ製品「Proself」の認証バイパスおよびリモートコード実行の脆弱性に関する情報を公開しています。すでに多くの利用組織が本件の調査や対応を進めている状況であると認識していますが、まだ本件を確認できていない利用組織が存在している可能性を危惧し、8月1日にJPCERT/CCは注意喚起を公開し、本製品の販売や提供、運用や保守などを行う利用組織に対しても問題の認識や調査、対策実施を呼びかけることにいたしました。
関連文書
https://www.proself.jp/information/149/

https://www.proself.jp/information/150/

目　次
【1】京セラドキュメントソリューションズ製複合機およびプリンターのCommand Center RX（CCRX）に複数の脆弱性
【2】富士通製リアルタイム映像伝送装置「IPシリーズ」にハードコードされた認証情報の使用の脆弱性
【3】複数のApple製品に脆弱性
【4】富士通製ネットワーク機器Si-RシリーズおよびSR-Mシリーズに認証回避の脆弱性
【5】複数のVMware製品に脆弱性
【6】Thunderbirdに複数の脆弱性
【7】Ivanti Endpoint Manager Mobile（旧: MobileIron Core）に脆弱性
【8】トレンドマイクロ製ウイルスバスター クラウドに権限昇格の脆弱性
【9】申請人プログラムにXML外部実体参照（XXE）に関する脆弱性
【10】フィッシング対策協議会がインターネットサービス利用者に対する「認証方法」に関するアンケート調査結果を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】京セラドキュメントソリューションズ製複合機およびプリンターのCommand Center RX（CCRX）に複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU98785541/

概要
京セラドキュメントソリューションズ株式会社が提供する複合機およびプリンターのWebインタフェースであるCommand Center RX（CCRX）には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。アップデートを適用するまでの間、信頼できない第三者からのアクセスを防ぐための回避策の情報も提供されています。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.kyoceradocumentsolutions.com/en/our-business/security/information/2023-07-14.html

【2】富士通製リアルタイム映像伝送装置「IPシリーズ」にハードコードされた認証情報の使用の脆弱性
情報源
https://jvn.jp/jp/JVN95727578/

概要
富士通株式会社が提供するリアルタイム映像伝送装置「IPシリーズ」には、ハードコードされた認証情報の使用の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。脆弱性の影響を軽減するための回避策の情報も提供されています。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.fujitsu.com/jp/products/network/support/2023/ip-01/

【3】複数のApple製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/07/25/apple-releases-security-updates-multiple-products

概要
複数のApple製品には、脆弱性があります。対象は多岐にわたります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。Appleは今回修正された脆弱性の一部を悪用する攻撃をすでに確認しているとのことです。詳細は開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/HT201222

https://www.jpcert.or.jp/newsflash/2023071101.html

【4】富士通製ネットワーク機器Si-RシリーズおよびSR-Mシリーズに認証回避の脆弱性
情報源
https://jvn.jp/vu/JVNVU96643580/

概要
富士通株式会社が提供するネットワーク機器Si-RシリーズおよびSR-Mシリーズには、認証回避の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。アップデートが提供されない製品については、回避策を適用することで、本脆弱性の影響を軽減することが可能です。 詳細は開発者が提供する情報を参照してください。
関連文書
https://www.fujitsu.com/jp/products/network/support/2023/fjlan-01/

【5】複数のVMware製品に脆弱性
情報源
https://www.vmware.com/security/advisories/VMSA-2023-0016.html

概要
複数のVMware製品には、脆弱性があります。VMware Tanzu Application Service for VMsおよびIsolation Segmentが影響を受けます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【6】Thunderbirdに複数の脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2023-27/

概要
Thundurbirdには、複数の脆弱性があります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参考にしてください。

【7】Ivanti Endpoint Manager Mobile（旧: MobileIron Core）に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/07/24/ivanti-releases-security-updates-endpoint-manager-mobile-epmm-cve-2023-35078

概要
Ivantiが提供するIvanti Endpoint Manager Mobile（旧: MobileIron Core）には、複数の脆弱性があります。この問題は、当該製品に修正済みのパッチを適用することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://forums.ivanti.com/s/article/CVE-2023-35078-Remote-unauthenticated-API-access-vulnerability

https://www.cisa.gov/news-events/alerts/2023/07/28/ivanti-releases-security-updates-epmm-address-cve-2023-35081

https://forums.ivanti.com/s/article/CVE-2023-35081-Arbitrary-File-Write

【8】トレンドマイクロ製ウイルスバスター クラウドに権限昇格の脆弱性
情報源
https://jvn.jp/vu/JVNVU93384719/

概要
トレンドマイクロ株式会社から、ウイルスバスタークラウド向けのアップデートが公開されました。トレンドマイクロ株式会社が提供する情報をもとに最新版へアップデートしてください。アップデートは自動的に配信・適用されるとのことです。
関連文書
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-11410

【9】申請人プログラムにXML外部実体参照（XXE）に関する脆弱性
情報源
https://jvn.jp/jp/JVN37857022/

概要
法務省が提供する申請人プログラムには、XML外部実体参照（XXE）に関する脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.moj.go.jp/MINJI/minji06_00002.html

【10】フィッシング対策協議会がインターネットサービス利用者に対する「認証方法」に関するアンケート調査結果を公開
情報源
https://www.antiphishing.jp/report/wg/authentication_20230721.html

概要
フィッシング対策協議会の認証方法調査・推進ワーキンググループは、フィッシング対策と関連の高いインターネットサービスの利用者認証についての2020年に実施した利用者へアンケート調査の追跡調査を行い、その調査結果を報告書として公開しました。

目　次
【1】複数のAtlassian製品に脆弱性
【2】GBrowseにアップロードファイルの検証不備の脆弱性
【3】複数のCisco製品に脆弱性
【4】OpenSSLのDH_check()関数にDHキーとパラメータのチェックに過剰な時間がかかる問題
【5】2023年7月Oracle Critical Patch Updateについて
【6】Citrix ADCおよびCitrix Gatewayに複数の脆弱性
【7】WordPress用プラグインTS Webfonts for さくらのレンタルサーバに複数の脆弱性
【8】Google Chromeに複数の脆弱性
【9】OpenSSLのAES-SIV実装に関連データエントリが正しく認証されない問題
【10】報告書（XBRL）作成ツールにXML外部実体参照（XXE）に関する脆弱性
【11】JPCERT/CCが2023年4月から2023年6月分の「ソフトウェア等の脆弱性関連情報に関する届出状況」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】複数のAtlassian製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/07/21/atlassian-releases-security-updates

概要
AtlassianはConfluence Server、Confluence Data CenterおよびBambooにおける脆弱性に関する新規アドバイザリを3件（いずれもHigh）公開しました。影響を受ける製品、バージョンは多岐にわたります。詳細は、開発者が提供する情報を参照してください。
関連文書
https://confluence.atlassian.com/security/security-bulletin-july-18-2023-1251417643.html

【2】GBrowseにアップロードファイルの検証不備の脆弱性
情報源
https://jvn.jp/jp/JVN35897618/

概要
Generic Model Organism Database Projectが提供するGBrowseには、アップロードファイルの検証不備の脆弱性があります。なお、本脆弱性を悪用する攻撃が確認されているとのことです。当該製品はすでにサポートを終了しており、開発者は後継製品JBrowse 2への移行を推奨しています。詳細は開発者が提供する情報を参照してください。
関連文書
http://gmod.org/wiki/GBrowse

https://jbrowse.org/jb2/

【3】複数のCisco製品に脆弱性
情報源
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-spa-web-multi-7kvPmu2F

概要
Ciscoは同社製品における脆弱性に関する新規アドバイザリを2件（いずれもMedium）公開しました。Cisco Small Business SPA500シリーズIP PhoneおよびCisco BroadWorksソフトウェアが稼働する一部製品が影響を受けます。影響を受けるバージョンなど詳細は、開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-bw-priv-esc-qTgUZOsQ

【4】OpenSSLのDH_check()関数にDHキーとパラメータのチェックに過剰な時間がかかる問題
情報源
https://jvn.jp/vu/JVNVU95617114/

概要
OpenSSLのDH_check()関数には、非常に大きな係数を使用しようとすると処理速度が遅くなる問題があります。この問題に対しては、OpenSSL gitリポジトリーでcommitが提供されています。詳細はOpenSSL Projectが提供する情報を参照してください。
関連文書
https://www.openssl.org/news/secadv/20230719.txt

https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=fc9867c1e03c22ebf56943be205202e576aabf23

https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=1fa20cf2f506113c761777127a38bce5068740eb

https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=8780a896543a654e757db1b9396383f9d8095528

【5】2023年7月Oracle Critical Patch Updateについて
情報源
https://www.cisa.gov/news-events/alerts/2023/07/18/oracle-releases-security-updates

概要
Oracleから複数の製品およびコンポーネントに含まれる脆弱性に対応したOracle Critical Patch Update Advisoryが公開されました。詳細は、Oracleが提供する情報を参照してください。
関連文書
https://www.jpcert.or.jp/at/2023/at230012.html

https://www.oracle.com/security-alerts/cpujul2023.html

【6】Citrix ADCおよびCitrix Gatewayに複数の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/07/18/citrix-releases-security-updates-netscaler-adc-and-gateway

概要
CitrixはCitrix NetScaler ADC（Citrix ADC）およびNetScaler Gateway（Citrix Gateway）における複数の脆弱性に関する情報を公開しました。これらの脆弱性の内、リモートコード実行の脆弱性（CVE-2023-3519）について、Citrixは脆弱性を悪用する攻撃を確認しているとのことです。影響を受ける製品を利用している場合、Citrixが提供する最新の情報や関連情報をご確認の上、速やかに対策の適用などをご検討ください。
関連文書
https://www.jpcert.or.jp/at/2023/at230013.html

https://www.cisa.gov/news-events/alerts/2023/07/20/cisa-releases-cybersecurity-advisory-threat-actors-exploiting-citrix-cve-2023-3519

https://support.citrix.com/article/CTX561482/citrix-adc-and-citrix-gateway-security-bulletin-for-cve20233519-cve20233466-cve20233467

【7】WordPress用プラグインTS Webfonts for さくらのレンタルサーバに複数の脆弱性
情報源
https://jvn.jp/jp/JVN90560760/

概要
さくらインターネット株式会社が提供するWordPress用プラグインTS Webfonts for さくらのレンタルサーバには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://ja.wordpress.org/plugins/ts-webfonts-for-sakura/#developers

【8】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2023/07/stable-channel-update-for-desktop.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://chromereleases.googleblog.com/2023/07/stable-channel-update-for-desktop_20.html

【9】OpenSSLのAES-SIV実装に関連データエントリが正しく認証されない問題
情報源
https://jvn.jp/vu/JVNVU92583151/

概要
OpenSSLのAES-SIV実装には、空の関連データエントリの認証要求時にこれを無視し、認証処理を行わず成功を返してしまう問題があります。この問題に対しては、OpenSSL gitリポジトリーでcommitが提供されています。詳細はOpenSSL Projectが提供する情報を参照してください。
関連文書
https://www.openssl.org/news/secadv/20230714.txt

https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=6a83f0c958811f07e0d11dfc6b5a6a98edfd5bdc

https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=00e2f5eea29994d19293ec4e8c8775ba73678598

【10】報告書（XBRL）作成ツールにXML外部実体参照（XXE）に関する脆弱性
情報源
https://jvn.jp/jp/JVN44726469/

概要
金融庁が提供する報告書（XBRL）作成ツールには、XML外部実体参照（XXE）に関する脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://submit2.edinet-fsa.go.jp/

【11】JPCERT/CCが2023年4月から2023年6月分の「ソフトウェア等の脆弱性関連情報に関する届出状況」を公開
情報源
https://www.jpcert.or.jp/pr/2023/vulnREPORT_2023q2.pdf

概要
2023年7月20日、JPCERT/CCは2023年4月から6月分の「ソフトウェア等の脆弱性関連情報に関する届出状況」を公開しました。本レポートでは、ソフトウェア製品の脆弱性、ウェブサイトの脆弱性に関する取扱状況についてまとめています。

目　次
【1】複数のJuniper Networks製品に脆弱性
【2】Cisco SD-WAN vManageソフトウェアに脆弱性
【3】複数のマイクロソフト製品に脆弱性
【4】Technicolor製TG670 DSLルータにハードコードされた認証情報の使用の脆弱性
【5】複数のFortinet製品に脆弱性
【6】Adobe InDesignおよびAdobe ColdFusionに複数の脆弱性
【7】FirefoxおよびFirefox ESRに解放済みメモリ使用の脆弱性
【8】複数のApple製品に脆弱性
【9】エレコム製無線LANルーターおよび無線LAN中継器に複数の脆弱性
【10】MOVEit Transferに複数の脆弱性
【11】IPAが「Windows Server 2012および2012 R2のサポート終了に伴う注意喚起」を公開
【12】JPCERT/CCが「標準から学ぶICSセキュリティ #4 セキュリティ更新（パッチ）管理」を公開
【13】JPCERT/CCが2023年4月-2023年6月分の「活動四半期レポート」などを公開
【14】JPCERT/CCが「開発者のWindows、macOS、Linux環境を狙ったDangerousPasswordによる攻撃」に関するブログを公開
【15】Japan Security Analyst Conference 2024（JSAC2024）のCFP募集開始
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】複数のJuniper Networks製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/07/13/juniper-releases-multiple-security-updates-juno-os

概要
Juniper Networksは同社製品における脆弱性に関するアドバイザリを計17件（Critical 2件、High 7件、Medium 8件）公開しました。対象製品は多岐にわたります。開発者が提供する情報を参考にアップデートなどの対応を実施してください。
関連文書
https://supportportal.juniper.net/s/global-search/%40uri?language=en_US#sort=%40sfcec_community_publish_date_formula__c%20descending&numberOfResults=50&f:ctype=[Security%20Advisories]

【2】Cisco SD-WAN vManageソフトウェアに脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/07/13/cisco-releases-security-update-sd-wan-vmanage-api

概要
Cisco SD-WAN vManageソフトウェアのREST API機能には、リクエスト検証不備の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vmanage-unauthapi-sphCLYPA

【3】複数のマイクロソフト製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/07/11/microsoft-releases-july-2023-security-updates

概要
複数のマイクロソフト製品には、脆弱性があります。対象は多岐にわたります。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://msrc.microsoft.com/blog/2023/07/202307-security-update/

https://www.jpcert.or.jp/at/2023/at230011.html

【4】Technicolor製TG670 DSLルータにハードコードされた認証情報の使用の脆弱性
情報源
https://kb.cert.org/vuls/id/913565

概要
Technicolorが提供するTG670 DSLルータには、ハードコードされた認証情報の使用の脆弱性があります。開発者が提供する情報を参考にアップデートなどの対応を実施してください。
関連文書
https://jvn.jp/vu/JVNVU99812895/

【5】複数のFortinet製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/07/11/fortinet-releases-security-update-fortios-and-fortiproxy

概要
Fortinetは同社製品における脆弱性に関するアドバイザリを計4件（Critical 1件、High 1件、Medium 2件）公開しました。対象製品は多岐にわたり、影響や対策方法は製品によって異なります。SeverityがCriticalのアドバイザリ（FG-IR-23-183）では、FortiOSおよびFortiProxyが影響を受けるスタックベースのバッファーオーバーフローの脆弱性（CVE-2023-33308）が修正されています。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.fortiguard.com/psirt/FG-IR-23-183

https://www.fortiguard.com/psirt-monthly-advisory/july-2023-vulnerability-advisories

【6】Adobe InDesignおよびAdobe ColdFusionに複数の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/07/11/adobe-releases-security-updates-coldfusion-and-indesign

概要
Adobe InDesignおよびAdobe ColdFusionには、複数の脆弱性があります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。なお、AdobeはAdobe ColdFusionに関するアドバイザリを複数公開しています。任意のコード実行の脆弱性（CVE-2023-38203）の概念実証に関するブログが公表されており、セキュリティ機能バイパスの脆弱性（CVE-2023-38205）は限定的な攻撃で悪用されていることを確認しているとのことです。詳細や最新の状況は開発者が提供する情報を参照してください。
関連文書
https://www.jpcert.or.jp/newsflash/2023071201.html

https://helpx.adobe.com/security/products/indesign/apsb23-38.html

https://helpx.adobe.com/security/products/coldfusion/apsb23-40.html

https://helpx.adobe.com/security/products/coldfusion/apsb23-41.html

https://helpx.adobe.com/security/products/coldfusion/apsb23-47.html

【7】FirefoxおよびFirefox ESRに解放済みメモリ使用の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/07/11/mozilla-releases-security-update-firefox-and-firefox-esr

概要
FirefoxおよびFirefox ESRには、解放済みメモリ使用の脆弱性があります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参考にしてください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2023-26/

【8】複数のApple製品に脆弱性
情報源
https://www.jpcert.or.jp/newsflash/2023071101.html

概要
複数のApple製品には、脆弱性があります。対象は多岐にわたります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。Appleは今回修正された脆弱性を悪用する攻撃をすでに確認しているとのことです。詳細は開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/HT213823

https://support.apple.com/ja-jp/HT213825

https://support.apple.com/ja-jp/HT213826

【9】エレコム製無線LANルーターおよび無線LAN中継器に複数の脆弱性
情報源
https://jvn.jp/jp/JVN05223215/

概要
エレコム株式会社が提供する無線LANルーターおよび無線LAN中継器には、複数の脆弱性があります。対象は多岐にわたります。この問題は、当該製品のファームウェアを修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.elecom.co.jp/news/security/20230711-01/

https://jvn.jp/vu/JVNVU91850798/

【10】MOVEit Transferに複数の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/07/07/progress-software-releases-service-pack-moveit-transfer-vulnerabilities

概要
Progress Softwareが提供するMOVEit Transferには、複数の脆弱性があります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://community.progress.com/s/article/MOVEit-Transfer-Service-Pack-July-2023

【11】IPAが「Windows Server 2012および2012 R2のサポート終了に伴う注意喚起」を公開
情報源
https://www.ipa.go.jp/security/security-alert/2023/win2k12_eos.html

概要
2023年7月10日、独立行政法人情報処理推進機構（IPA）は「Windows Server 2012および2012 R2のサポート終了に伴う注意喚起」を公開しました。2023年10月に、Microsoft社が提供しているOSであるWindows Server 2012および2012 R2のサポートが終了します。サポート終了後は脆弱性への修正は行われず、これらOS上で稼働しているブラウザーやテキストエディタなどのサードパーティ製ソフトウェア製品のサポートも終了することが考えられます。サポートが継続している後継または代替のOSへの移行や、ソフトウェア製品の移行や動作検証などの対策が推奨されています。

【12】JPCERT/CCが「標準から学ぶICSセキュリティ #4 セキュリティ更新（パッチ）管理」を公開
情報源
https://www.jpcert.or.jp/ics/20230713_ICSsecStandards-04.pdf

概要
2023年7月13日、JPCERT/CCは「標準から学ぶICSセキュリティ #4 セキュリティ更新（パッチ）管理」を公開しました。「標準から学ぶICSセキュリティ」は、ICSを担当されている現場の方々に向けた読み物として、国際標準IEC 62443シリーズおよびその中で定義されているセキュリティ概念を順次紹介するものです。
関連文書
https://www.jpcert.or.jp/ics/information07.html

【13】JPCERT/CCが2023年4月-2023年6月分の「活動四半期レポート」などを公開
情報源
https://www.jpcert.or.jp/pr/2023/PR_Report2023Q1.pdf

概要
2023年7月13日、JPCERT/CCは2023年4月-6月分の「活動四半期レポート」「インシデント報告対応レポート」を公開しました。本四半期中のJPCERT/CCの国内外の活動に加え、JPCERT/CCが報告を受け付けたインシデントの統計や事例などについてまとめています。参考資料としてご活用ください。
関連文書
https://www.jpcert.or.jp/pr/2023/IR_Report2023Q1.pdf

【14】JPCERT/CCが「開発者のWindows、macOS、Linux環境を狙ったDangerousPasswordによる攻撃」に関するブログを公開
情報源
https://blogs.jpcert.or.jp/ja/2023/07/dangerouspassword_dev.html

概要
2023年7月12日、JPCERT/CCは「開発者のWindows、macOS、Linux環境を狙ったDangerousPasswordによる攻撃」と題したブログをJPCERT/CC Eyesで公開しました。JPCERT/CCは、2019年6月から継続して攻撃を行っている標的型攻撃グループDangerousPasswordに関連すると思われる、暗号資産交換事業者の開発者を狙った攻撃を5月末に確認しています。この攻撃は、マシン上にPythonやNode.jsがインストールされたWindows、macOS、Linux環境をターゲットとしたものです。本ブログでは、JPCERT/CCが確認した攻撃および使用されたマルウェアについて解説します。

【15】Japan Security Analyst Conference 2024（JSAC2024）のCFP募集開始
情報源
https://twitter.com/jpcert_ac/status/1678290849799770113

概要
2023年7月10日、JPCERT/CCはJapan Security Analyst Conference（JSAC）2024の講演およびWorkshopの募集（CFP、CFW）を開始しました。一次募集の応募締切は2023年10月2日中までです。JSACは、現場のセキュリティアナリストが集い、高度化するサイバー攻撃に対抗するための情報を共有することを目的とした技術情報共有カンファレンスです。
関連文書
https://jsac.jpcert.or.jp/