ミニ・いんふぉめーしょん

目 次
【1】複数のCisco製品に脆弱性
【2】Trend Micro Apex OneおよびTrend Micro Apex One SaaSに複数の脆弱性
【3】トレンドマイクロ製ウイルスバスター クラウドに複数の脆弱性
【4】EC-CUBEに複数のクロスサイトスクリプティングの脆弱性
【5】IT資産管理ツール「SS1」および「らくらくPCクラウド」に複数の脆弱性
【6】web2pyの開発ツールにオープンリダイレクトの脆弱性
【7】Edgecross基本ソフトウェアWindows版に複数の脆弱性
【8】Trusted Computing GroupのTPM2.0実装に複数の脆弱性
【今週のひとくちメモ】IPAが「情報セキュリティ10大脅威 2023」解説書［組織編］を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2023/wr230308.html
https://www.jpcert.or.jp/wr/2023/wr230308.xml
============================================================================

【1】複数のCisco製品に脆弱性

情報源
CISA Cybersecurity Alerts & Advisories
Cisco Releases Security Advisory for Cisco IP Phones
https://www.cisa.gov/news-events/alerts/2023/03/02/cisco-releases-security-advisory-cisco-ip-phones

概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行したり、サービス運用妨害（DoS）攻撃を行ったりするなどの
可能性があります。

影響を受ける製品、バージョンは多岐にわたります。当該期間中は、計5件の
アドバイザリ（Critical1件、Medium4件）が新たに公開されています。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://sec.cloudapps.cisco.com/security/center/publicationListing.x

Cisco
Cisco IP Phone 6800, 7800, 7900, and 8800 Series Web UI Vulnerabilities
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ip-phone-cmd-inj-KMFynVcP

【2】Trend Micro Apex OneおよびTrend Micro Apex One SaaSに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#96221942
Trend Micro Apex OneおよびTrend Micro Apex One SaaSにおける複数の脆弱性
https://jvn.jp/vu/JVNVU96221942/

概要
Trend Micro Apex OneおよびTrend Micro Apex One SaaSには、複数の脆弱性
があります。結果として、管理サーバーにアクセス可能な第三者が悪意のある
アップロードを行い、サービス運用妨害 (DoS) 攻撃を行うなどの可能性があ
ります。

対象となる製品およびバージョンは次のとおりです。

- Trend Micro Apex One 2019
- Trend Micro Apex One SaaS

この問題は、該当する製品にトレンドマイクロ株式会社が提供するパッチを適
用することで解決します。詳細は、トレンドマイクロ株式会社が提供する情報
を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ：Trend Micro Apex One 及びTrend Micro Apex One SaaSで確認した複数の脆弱性について（2023年02月）
https://success.trendmicro.com/jp/solution/000292220

【3】トレンドマイクロ製ウイルスバスター クラウドに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#96882769
トレンドマイクロ製ウイルスバスター クラウドにおける複数の脆弱性
https://jvn.jp/vu/JVNVU96882769/

概要
トレンドマイクロ製ウイルスバスター クラウドには、複数の脆弱性がありま
す。結果として、攻撃者が権限を昇格するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- ウイルスバスター クラウド バージョン17.7
- ウイルスバスター クラウド バージョン17.0

この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正済みの
バージョンに更新することで解決します。詳細は、トレンドマイクロ株式会社
が提供する情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ：ウイルスバスター クラウドの脆弱性について(CVE-2022-30687)
https://helpcenter.trendmicro.com/ja-jp/article/tmka-11014

トレンドマイクロ株式会社
アラート/アドバイザリ：ウイルスバスター クラウドの脆弱性について(CVE-2022-34893)
https://helpcenter.trendmicro.com/ja-jp/article/tmka-11054

トレンドマイクロ株式会社
アラート/アドバイザリ：ウイルスバスター クラウドの脆弱性について(CVE-2022-35234/CVE-2022-37347/CVE-2022-37348)
https://helpcenter.trendmicro.com/ja-jp/article/tmka-11055

トレンドマイクロ株式会社
アラート/アドバイザリ：ウイルスバスター クラウドの脆弱性について(CVE-2022-48191)
https://helpcenter.trendmicro.com/ja-jp/article/tmka-11251

【4】EC-CUBEに複数のクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#04785663
EC-CUBE における複数のクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN04785663/

概要
株式会社イーシーキューブが提供するEC-CUBEには、複数のクロスサイトスク
リプティングの脆弱性があります。結果として、当該製品を使用しているサイ
トにアクセスしたユーザーのWebブラウザー上で、任意のスクリプトを実行さ
れるなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- EC-CUBE 4系
- EC-CUBE 4.2.0
- EC-CUBE 4.1.0から4.1.2-p1
- EC-CUBE 4.0.0から4.0.6-p2
- EC-CUBE 3系
- EC-CUBE 3.0.0から3.0.18-p5
- EC-CUBE 2系
- EC-CUBE 2.17.0から2.17.2
- EC-CUBE 2.13.0から2.13.5
- EC-CUBE 2.12.0から2.12.6
- EC-CUBE 2.11.0から2.11.5

この問題は、該当する製品を株式会社イーシーキューブが提供する修正済みの
バージョンに更新することで解決します。詳細は、株式会社イーシーキューブ
が提供する情報を参照してください。

関連文書 (日本語)
株式会社イーシーキューブ
EC-CUBE4系におけるクロスサイトスクリプティングの脆弱性(JVN#04785663)
https://www.ec-cube.net/info/weakness/weakness.php?id=87

株式会社イーシーキューブ
EC-CUBE3系におけるクロスサイトスクリプティングの脆弱性(JVN#04785663)
https://www.ec-cube.net/info/weakness/weakness.php?id=88

株式会社イーシーキューブ
EC-CUBE2系におけるクロスサイトスクリプティングの脆弱性(JVN#04785663)
https://www.ec-cube.net/info/weakness/weakness.php?id=89

【5】IT資産管理ツール「SS1」および「らくらくPCクラウド」に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#57224029
IT 資産管理ツール「SS1」および「らくらくPCクラウド」における複数の脆弱性
https://jvn.jp/jp/JVN57224029/

概要
株式会社ディー・オー・エスが提供する「SS1」および「らくらくPCクラウド」
には、複数の脆弱性があります。結果として、遠隔の第三者がSYSTEM権限で任
意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- SS1 Ver.13.0.0.40およびそれ以前
- らくらくPCクラウド エージェント Ver.2.1.8およびそれ以前

この問題は、該当する製品を株式会社ディー・オー・エスが提供する修正済み
のバージョンに更新することで解決します。詳細は、株式会社ディー・オー・
エスが提供する情報を参照してください。

関連文書 (日本語)
株式会社ディー・オー・エス
弊社製品「SS1」「らくらくPCクラウド」の脆弱性に関するお知らせ
https://www.dos-osaka.co.jp/news/2023/03/230301.html

【6】web2pyの開発ツールにオープンリダイレクトの脆弱性

情報源
Japan Vulnerability Notes JVN#78253670
web2py の開発ツールにおけるオープンリダイレクトの脆弱性
https://jvn.jp/jp/JVN78253670/

概要
web2pyのadmin開発ツールには、オープンリダイレクトの脆弱性があります。
結果として、web2pyの利用者が細工されたURLにアクセスすることで、任意の
Webサイトにリダイレクトされる可能性があります。

対象となる製品およびバージョンは次のとおりです。

- web2py 2.23.1より前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

【7】Edgecross基本ソフトウェアWindows版に複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#96890975
Edgecross 基本ソフトウェア Windows版における複数の脆弱性
https://jvn.jp/vu/JVNVU96890975/

概要
一般社団法人Edgecrossコンソーシアムが提供するEdgecross基本ソフトウェア
Windows版には、複数の脆弱性があります。結果として、マネジメントシェル
のサービスを明示的に停止していない場合、遠隔の第三者がサービス運用妨害
（DoS）攻撃を行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Edgecross基本ソフトウェアWindows版 ECP-BS1-W 1.10から1.26までのバージョン
- 開発者用Edgecross基本ソフトウェアWindows版 ECP-BS1-W-D 1.10から1.26までのバージョン

この問題は、該当する製品を一般社団法人Edgecrossコンソーシアムが提供す
る修正済みのバージョンに更新することで解決します。詳細は、一般社団法人
Edgecrossコンソーシアムが提供する情報を参照してください。

関連文書 (日本語)
一般社団法人Edgecrossコンソーシアム
Edgecross 基本ソフトウェア Windows 版における複数の脆弱性
https://www.edgecross.org/ja/data-download/pdf/ECD-TE10-0005-01-JA.pdf

【8】Trusted Computing GroupのTPM2.0実装に複数の脆弱性

情報源
CERT/CC Vulnerability Note VU#782720
TCG TPM2.0 implementations vulnerable to memory corruption
https://kb.cert.org/vuls/id/782720

Japan Vulnerability Notes JVNVU#95600622
Trusted Computing GroupのTPM2.0実装における複数の脆弱性
https://jvn.jp/vu/JVNVU95600622/

概要
Trusted Computing GroupのTPM2.0実装には、複数の脆弱性があります。結果
として、TPMがクラッシュさせられたり、TPM内で任意のコードが実行されたり
するなどの可能性があります。

対象となる製品は次のとおりです。

- Trusted Computing GroupのTPM2.0を実装した製品

この問題について、Trusted Computing Groupは、これらの脆弱性に対処する
ための説明を記載したErrata for TPM2.0 Library Specificationを公開して
います。ハードウェアおよびソフトウェアメーカーが提供する情報を注視し、
最新のアップデートを適用してください。

関連文書 (英語)
Trusted Computing Group
Errata for TPM Library Specification 2.0
https://trustedcomputinggroup.org/resource/errata-for-tpm-library-specification-2-0/

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○IPAが「情報セキュリティ10大脅威 2023」解説書［組織編］を公開

2023年2月28日、情報処理推進機構（IPA）は「情報セキュリティ10大脅威 2023」
解説書［組織編］を公開しました。これは、IPAが昨年発生した情報セキュリ
ティにおける事案から脅威候補を選出し、情報セキュリティ関連に携わるメンバー
で審議・投票を行い、順位を決定したものに対して各脅威の解説をまとめた資
料です。個人の脅威に対する解説は後日公開予定とのことです。

参考文献 (日本語)
情報処理推進機構（IPA）
情報セキュリティ10大脅威 2023
https://www.ipa.go.jp/security/vuln/10threats2023.html

――――――――――――――――――――――――――――――――――――――

目 次

【1】VMware Carbon Black App Controlにインジェクションの脆弱性
【2】複数のCisco製品に脆弱性
【3】Apache TomcatのApache Commons FileUploadにサービス運用妨害（DoS）の脆弱性
【4】SHIRASAGIに複数のクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】特定非営利活動法人デジタル・フォレンジック研究会が「証拠保全ガイドライン 第９版」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2023/wr230301.html
https://www.jpcert.or.jp/wr/2023/wr230301.xml
============================================================================

【1】VMware Carbon Black App Controlにインジェクションの脆弱性

情報源
CISA Cybersecurity Alerts & Advisories
VMware Releases Security Updates for Carbon Black App Control
https://www.cisa.gov/news-events/alerts/2023/02/23/vmware-releases-security-updates-carbon-black-app-control

概要
VMware Carbon Black App Controlにはインジェクションの脆弱性が存在しま
す。結果として、VMware Carbon Black App Controlのアクセス権限を持つ攻
撃者が同製品の稼働するサーバOSへアクセスを行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

- VMware Carbon Black App Control 8.9.4より前の8.9系バージョン
- VMware Carbon Black App Control 8.8.6より前の8.8系バージョン
- VMware Carbon Black App Control 8.7.8より前の8.7系バージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
VMware
VMSA-2023-0004
https://www.vmware.com/security/advisories/VMSA-2023-0004.html

【2】複数のCisco製品に脆弱性

情報源
CISA Cybersecurity Alerts & Advisories
Cisco Releases Security Advisories for Multiple Products
https://www.cisa.gov/news-events/alerts/2023/02/23/cisco-releases-security-advisories-multiple-products

概要
複数のCisco製品には、脆弱性があります。結果として、攻撃者が当該
製品のユーザーの権限で意図しない操作を行うなどの可能性があります。

影響を受ける製品、バージョンは多岐にわたります。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【3】Apache TomcatのApache Commons FileUploadにサービス運用妨害（DoS）の脆弱性

情報源
Japan Vulnerability Notes JVNVU#91253151
Apache TomcatのApache Commons FileUploadにおけるサービス運用妨害（DoS）の脆弱性
https://jvn.jp/vu/JVNVU91253151/

概要
Apache TomcatにはApache Commons FileUploadによる、サービス運用妨害（DoS）
の脆弱性が存在します。結果として、遠隔の第三者が悪意のあるアップロード
を行い、サービス運用妨害 (DoS) 攻撃を行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Apache Tomcat 10.1.0-M1から10.1.4までのバージョン
- Apache Tomcat 9.0.0-M1から9.0.70までのバージョン
- Apache Tomcat 8.5.0から8.5.84までのバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
The Apache Software Foundation
Fixed in Apache Tomcat 10.1.5
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.5

The Apache Software Foundation
Fixed in Apache Tomcat 9.0.71
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.71

The Apache Software Foundation
Fixed in Apache Tomcat 8.5.85
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.85

【4】SHIRASAGIに複数のクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#18765463
SHIRASAGI における複数のクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN18765463/

概要
SHIRASAGI Projectが提供するSHIRASAGIには、複数のクロスサイトスクリプ
ティングの脆弱性が存在します。結果として、当該製品を使用しているサイ
トにアクセスしているユーザのウェブブラウザ上で、任意のスクリプトを実行
されるなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- SHIRASAGI v1.16.2 およびそれ以前

この問題は、該当する製品をSHIRASAGI Projectが提供する修正済みのバージ
ョンに更新することで解決します。詳細は、SHIRASAGI Projectが提供する情
報を参照してください。

関連文書 (日本語)
SHIRASAGI Project
SHIRASAGI におけるクロスサイト・スクリプティング脆弱性
https://www.ss-proj.org/support/938.html

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○特定非営利活動法人デジタル・フォレンジック研究会が「証拠保全ガイドライン 第９版」を公開

2023年2月20日、特定非営利活動法人デジタル・フォレンジック研究会 「証拠
保全ガイドライン」改訂ワーキンググループは「証拠保全ガイドライン 第９版
」を公開しました。本文書は我が国における電磁的証拠の保全手続きの参考と
して、さまざまな事案の特性を踏まえた知見やノウハウをまとめたものであり、
今回の改訂ではコミュニケーションツールの項目の追加などがされています。

参考文献 (日本語)
特定非営利活動法人デジタル・フォレンジック研究会
「証拠保全ガイドライン 第９版」
https://digitalforensic.jp/wp-content/uploads/2023/02/shokohoznGL9.pdf

――――――――――――――――――――――――――――――――――――――

目 次

【1】複数のマイクロソフト製品に脆弱性
【2】複数のApple製品に脆弱性
【3】複数のアドビ製品に脆弱性
【4】複数のFortinet製品に脆弱性
【5】複数のCisco製品に脆弱性
【6】複数のIntel製品に脆弱性
【7】複数のMozilla製品に脆弱性
【8】複数のCitrix製品に脆弱性
【9】ウイルスバスター ビジネスセキュリティおよびウイルスバスター ビジネスセキュリティサービスにおける複数の脆弱性
【10】Joomla!に不適切なアクセス制御の脆弱性
【11】エレコム カメラアシスタントおよびQuickFileDealerのインストーラーにおけるDLL読み込みに関する脆弱性
【12】プラネックスコミュニケーションズ製ネットワークカメラCS-WMV02Gにおける複数の脆弱性
【今週のひとくちメモ】日本セキュリティオペレーション事業者協議会が「セキュリティ対応組織の教科書 第3.0版」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2023/wr230222.html
https://www.jpcert.or.jp/wr/2023/wr230222.xml
============================================================================

【1】複数のマイクロソフト製品に脆弱性

情報源
CISA Current Activity
Microsoft Releases February 2023 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2023/02/14/microsoft-releases-february-2023-security-updates

概要
複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく
ださい。

関連文書 (日本語)
マイクロソフト株式会社
2023 年 2 月のセキュリティ更新プログラム (月例)
https://msrc.microsoft.com/blog/2023/02/202302-security-update/

JPCERT/CC 注意喚起
2023年2月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2023/at230004.html

【2】複数のApple製品に脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2023/02/14/apple-releases-security-updates-multiple-products

概要
複数のApple製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- macOS Ventura 13.2.1より前のバージョン
- iOS 16.3.1より前のバージョン
- iPadOS 16.3.1より前のバージョン
- Safari 16.3.1より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Apple製品のアップデートについて（2023年2月）
https://www.jpcert.or.jp/newsflash/2023021401.html

Apple
macOS Ventura 13.2.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213633

Apple
iOS 16.3.1 および iPadOS 16.3.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213635

Apple
Safari 16.3.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213638

【3】複数のアドビ製品に脆弱性

情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2023/02/14/adobe-releases-security-updates-multiple-products

概要
複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe After Effects
- Adobe Connect
- Adobe FrameMaker
- Adobe Bridge
- Adobe Photoshop
- Adobe InDesign
- Adobe Premiere Rush
- Adobe Animate
- Adobe Substance 3D Stager

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2023021501.html

関連文書 (英語)
アドビ
Security Updates Available for Adobe After Effects | APSB23-02
https://helpx.adobe.com/security/products/after_effects/apsb23-02.html

アドビ
Security update available for Adobe Connect | APSB23-05
https://helpx.adobe.com/security/products/connect/apsb23-05.html

アドビ
Security Updates Available for Adobe FrameMaker | APSB23-06
https://helpx.adobe.com/security/products/framemaker/apsb23-06.html

アドビ
Security Updates Available for Adobe Bridge | APSB23-09
https://helpx.adobe.com/security/products/bridge/apsb23-09.html

アドビ
Security update available for Adobe Photoshop | APSB23-11
https://helpx.adobe.com/security/products/photoshop/apsb23-11.html

アドビ
Security Update Available for Adobe InDesign | APSB23-12
https://helpx.adobe.com/security/products/indesign/apsb23-12.html

アドビ
Security Updates Available for Adobe Premiere Rush | APSB23-14
https://helpx.adobe.com/security/products/premiere_rush/apsb23-14.html

アドビ
Security updates available for Adobe Animate | APSB23-15
https://helpx.adobe.com/security/products/animate/apsb23-15.html

アドビ
Security updates available for Substance 3D Stager | APSB23-16
https://helpx.adobe.com/security/products/substance3d_stager/apsb23-16.html

【4】複数のFortinet製品に脆弱性

情報源
Fortinet
FortiWeb - Stack-based buffer overflows in Proxyd
https://www.fortiguard.com/psirt/FG-IR-21-186

Fortinet
FortiNAC - External Control of File Name or Path in keyUpload scriptlet
https://www.fortiguard.com/psirt/FG-IR-22-300

概要
複数のFortinet製品には、脆弱性があります。結果として、遠隔の第三者がシ
ステムファイルに任意の書き込みを実行するなどの可能性があります。

対象となる製品およびバージョンは多岐にわたります。

この問題は、該当する製品をFortinetが提供する修正済みのバージョンに更新
することで解決します。詳細は、Fortinetが提供する情報を参照してください。

【5】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Advisories for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2023/02/16/cisco-releases-security-advisories-multiple-products

概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。

影響を受ける製品、バージョンは多岐にわたります。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【6】複数のIntel製品に脆弱性

情報源
Japan Vulnerability Notes JVNVU#91223897
Intel製品に複数の脆弱性（2023年2月）
https://jvn.jp/vu/JVNVU91223897/

概要
Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security
Center Advisoriesが公開されました。

詳細は、Intelが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Intel製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2023021502.html

関連文書 (英語)
Intel
Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html

【7】複数のMozilla製品に脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox 110 and Firefox ESR
https://www.cisa.gov/uscert/ncas/current-activity/2023/02/14/mozilla-releases-security-updates-firefox-110-and-firefox-esr

概要
複数のMozilla製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 110より前のバージョン
- Mozilla Firefox ESR 102.8より前のバージョン
- Mozilla Thunderbird 102.8より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)
Mozilla
Mozilla Foundation Security Advisory 2023-05
https://www.mozilla.org/en-US/security/advisories/mfsa2023-05/

Mozilla
Mozilla Foundation Security Advisory 2023-06
https://www.mozilla.org/en-US/security/advisories/mfsa2023-06/

Mozilla
Mozilla Foundation Security Advisory 2023-07
https://www.mozilla.org/en-US/security/advisories/mfsa2023-07/

【8】複数のCitrix製品に脆弱性

情報源
CISA Current Activity
Citrix Releases Security Updates for Workspace Apps, Virtual Apps and Desktops
https://www.cisa.gov/uscert/ncas/current-activity/2023/02/14/citrix-releases-security-updates-workspace-apps-virtual-apps-and

概要
複数のCitrix製品には、脆弱性があります。結果として、ローカルのユーザー
が書き込み権限のないディレクトリにログファイルを書き込むなどの可能性が
あります。

対象となる製品およびバージョンは次のとおりです。

- Citrix Workspace App for Linux 2302より前のバージョン
- Citrix Workspace App for Windows 2212より前のバージョン
- Citrix Workspace App for Windows 2203 LTSR CU2より前のバージョン
- Citrix Workspace App for Windows 1912 LTSR CU7 Hotfix 2 (19.12.7002)より前のバージョン
- Citrix Virtual Apps and Desktops 2212より前のバージョン
- Citrix Virtual Apps and Desktops 2203 LTSR CU2より前のバージョン
- Citrix Virtual Apps and Desktops 1912 LTSR CU6より前のバージョン

この問題は、該当する製品をCitrixが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Citrixが提供する情報を参照してください。

関連文書 (英語)
Citrix
Citrix Workspace app for Linux Security Bulletin for CVE-2023-24486
https://support.citrix.com/article/CTX477618/citrix-workspace-app-for-linux-security-bulletin-for-cve202324486

Citrix
Citrix Workspace app for Windows Security Bulletin for CVE-2023-24484 & CVE-2023-24485
https://support.citrix.com/article/CTX477617/citrix-workspace-app-for-windows-security-bulletin-for-cve202324484-cve202324485

Citrix
Citrix Virtual Apps and Desktops Security Bulletin for CVE-2023-24483
https://support.citrix.com/article/CTX477616/citrix-virtual-apps-and-desktops-security-bulletin-for-cve202324483

【9】ウイルスバスター ビジネスセキュリティおよびウイルスバスター ビジネスセキュリティサービスにおける複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#91848962
ウイルスバスター ビジネスセキュリティおよびウイルスバスター ビジネスセキュリティサービスにおける複数の脆弱性
https://jvn.jp/vu/JVNVU91848962/

概要
トレンドマイクロ株式会社から、ウイルスバスター ビジネスセキュリティお
よびウイルスバスター ビジネスセキュリティサービス向けのアップデートが
公開されました。

対象となる製品およびバージョンは次のとおりです。

- ウイルスバスター ビジネスセキュリティ 10.0 SP1
- ウイルスバスター ビジネスセキュリティサービス 6.7

この問題は、開発者が提供するパッチを適用することで解決します。なお、ウ
イルスバスター ビジネスセキュリティサービスは2022年11月21日のメンテナン
スで修正済みとのことです。詳細は開発者が提供する情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ：ウイルスバスター ビジネスセキュリティ および ウイルスバスター ビジネスセキュリティサービスで確認された複数の脆弱性について（2023年2月）
https://success.trendmicro.com/jp/solution/000292212

【10】Joomla!に不適切なアクセス制御の脆弱性

情報源
Joomla!
Security Announcements [20230201] - Core - Improper access check in webservice endpoints
https://developer.joomla.org/security-centre/894-20230201-core-improper-access-check-in-webservice-endpoints.html

概要
Joomla!には、不適切なアクセス制御の脆弱性が存在します。結果として、Web
サービスのエンドポイントに認証なしでアクセスされる可能性があります。

対象となるバージョンは次のとおりです。

- Joomla! CMS 4.0.0から4.2.7まで

この問題は、開発者が提供するパッチを適用することで解決します。詳細は開
発者が提供する情報を参照してください。

関連文書 (英語)
Joomla!
Joomla 4.2.8 Security Release
https://www.joomla.org/announcements/release-news/5878-joomla-4-2-8-security-release.html

【11】エレコム カメラアシスタントおよびQuickFileDealerのインストーラーにおけるDLL読み込みに関する脆弱性

情報源
Japan Vulnerability Notes JVN#60263237
「エレコム カメラアシスタント」および「QuickFileDealer」のインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN60263237/

概要
エレコム株式会社が提供するエレコム カメラアシスタントおよびQuickFileDealer
のインストーラーには、DLL読み込みに関する脆弱性が存在します。結果とし
て、第三者が任意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- エレコム カメラアシスタント 1.00
- QuickFileDealer Ver.1.2.1およびそれ以前

この問題は、開発者が提供する修正したインストーラーを使用することで解決
します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
エレコム株式会社
Windowsソフトウェア セキュリティ向上のためのアップデートのお願い
https://www.elecom.co.jp/news/security/20230214-01/

【12】プラネックスコミュニケーションズ製ネットワークカメラCS-WMV02Gにおける複数の脆弱性

情報源
Japan Vulnerability Notes JVN#98612206
プラネックスコミュニケーションズ製 ネットワークカメラ CS-WMV02G における複数の脆弱性
https://jvn.jp/jp/JVN98612206/

概要
プラネックスコミュニケーションズ株式会社が提供するCS-WMV02Gには、複数
の脆弱性が存在します。結果として、遠隔の第三者が任意のスクリプトを実行
する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- CS-WMV02Gすべてのバージョン

プラネックスコミュニケーションズ株式会社によると、当該製品のサポートは
すでに終了しているため、恒久的な対策として、製品の使用を停止してくださ
い。詳細は、プラネックスコミュニケーションズ株式会社が提供する情報を参
照してください。

関連文書 (日本語)
プラネックスコミュニケーションズ株式会社
テクニカルサポート終了（販売終了）製品一覧
https://www.planex.co.jp/support/support_end_list.shtml

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○日本セキュリティオペレーション事業者協議会が「セキュリティ対応組織の教科書 第3.0版」を公開

2023年2月13日、日本セキュリティオペレーション事業者協議会は「セキュリ
ティ対応組織の教科書 第3.0版」を公開しました。本文書はセキュリティに関
わる業務を広範に整理したものであり、2021年10月に「ITU-T勧告 X.1060」が
公開されたことに伴い、内容が改訂されました。

参考文献 (日本語)
日本セキュリティオペレーション事業者協議会
活動紹介
https://isog-j.org/output/2023/Textbook_soc-csirt_v3.html

日本セキュリティオペレーション事業者協議会
セキュリティ対応組織の教科書 第3.0版 (2023年2月)
https://isog-j.org/output/2023/Textbook_soc-csirt_v3.0.pdf

――――――――――――――――――――――――――――――――――――――

目 次

【1】OpenSSLに複数の脆弱性
【2】Google Chromeに複数の脆弱性
【3】日本電気製「PC設定ツール」に重要な機能に対する認証の欠如の脆弱性
【4】図研エルミック製KASAGOに不十分なランダム値の使用の脆弱性
【5】スマートフォンアプリ「一蘭公式アプリ」にサーバー証明書の検証不備の脆弱性
【今週のひとくちメモ】IPAが「ビジネスメール詐欺（BEC）対策特設ページ」を更新

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2023/wr230215.html
https://www.jpcert.or.jp/wr/2023/wr230215.xml
============================================================================

【1】OpenSSLに複数の脆弱性

情報源
CISA Current Activity
OpenSSL Releases Security Advisory
https://www.cisa.gov/uscert/ncas/current-activity/2023/02/09/openssl-releases-security-advisory

概要
OpenSSLには、X.509 GeneralNameにおけるX.400のアドレス処理において型の
取り違えが生じるなど、複数の脆弱性があります。結果として、第三者がサー
ビス運用妨害（DoS）攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- OpenSSL 3.0.8より前の3.0系のバージョン
- OpenSSL 1.1.1tより前の1.1.1系のバージョン
- OpenSSL 1.0.2zgより前の1.0.2系のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#91213144
OpenSSLに複数の脆弱性
https://jvn.jp/vu/JVNVU91213144/

関連文書 (英語)
OpenSSL
OpenSSL Security Advisory [7th February 2023]
https://www.openssl.org/news/secadv/20230207.txt

【2】Google Chromeに複数の脆弱性

情報源
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2023/02/stable-channel-update-for-desktop.html

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 110.0.5481.77より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

【3】日本電気製「PC設定ツール」に重要な機能に対する認証の欠如の脆弱性

情報源
Japan Vulnerability Notes JVN#60320736
日本電気製「PC設定ツール」における重要な機能に対する認証の欠如の脆弱性
https://jvn.jp/jp/JVN60320736/

概要
日本電気株式会社が提供する「PC設定ツール」には、重要な機能に対する認
証の欠如の脆弱性があります。結果として、当該製品がインストールされた
コンピューターの標準ユーザーが、管理者権限でレジストリを変更する可能
性があります。

対象となるバージョンは次のとおりです。

- 10.1.26.0およびそれ以前のバージョン (「PC設定ツール」に含まれる 10.x.x.x系)
- 11.0.22.0およびそれ以前のバージョン (「PC設定ツール2.0」に含まれる 11.x.x.x系)

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
日本電気株式会社
PC設定ツールおける入力値検証の不備に関する脆弱性
https://jpn.nec.com/security-info/secinfo/nv23-001.html

【4】図研エルミック製KASAGOに不十分なランダム値の使用の脆弱性

情報源
Japan Vulnerability Notes JVNVU#99551468
図研エルミック製KASAGOにおける不十分なランダム値の使用の脆弱性
https://jvn.jp/vu/JVNVU99551468/

概要
図研エルミック株式会社が提供する組み込み用TCP/IPプロトコルスタックKASAGO
では、TCP初期シーケンス番号の生成時に十分なランダム値が使用されていま
せん。結果として、第三者にTCP初期シーケンス番号（ISN）を特定され、既存
のTCP接続を乗っ取られたり、将来のTCP接続を偽装されたりする可能性があり
ます。

対象となる製品およびバージョンは次のとおりです。

- KASAGO IPv6/v4 Dual Ver6.0.1.34より前のバージョン
- KASAGO IPv4 Ver6.0.1.34より前のバージョン
- KASAGO IPv4 Light Ver6.0.1.34より前のバージョン
- KASAGO mobile IPv6 Ver6.0.1.34より前のバージョン

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
図研エルミック株式会社
KASAGO製品における脆弱性に関するお知らせ
https://www.elwsc.co.jp/news/6352

【5】スマートフォンアプリ「一蘭公式アプリ」にサーバー証明書の検証不備の脆弱性

情報源
Japan Vulnerability Notes JVN#11257333
スマートフォンアプリ「一蘭公式アプリ」におけるサーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN11257333/

概要
ビートレンド株式会社が開発し、株式会社一蘭が提供するスマートフォンア
プリ「一蘭公式アプリ」には、サーバー証明書の検証不備の脆弱性があります。
結果として、第三者が中間者攻撃による暗号通信の盗聴を行う可能性があり
ます。

対象となる製品およびバージョンは次のとおりです。

- iOS アプリ「一蘭公式アプリ」3.1.0より前のバージョン
- Android アプリ「一蘭公式アプリ」3.1.0より前のバージョン

この問題は、ビートレンド株式会社が提供する修正済みのバージョンに更新
することで解決します。詳細は、ビートレンド株式会社が提供する情報を参
照してください。

関連文書 (日本語)
Google Play
一蘭公式アプリ
https://play.google.com/store/apps/details?id=jp.co.ichiran.app&hl=ja

APP Store
一蘭公式アプリ
https://apps.apple.com/jp/app/一蘭公式アプリ/id1118806170

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○IPAが「ビジネスメール詐欺（BEC）対策特設ページ」を更新

2023年2月9日、IPAは「ビジネスメール詐欺（BEC）対策特設ページ」を更新
し、これまで寄せられた質問および想定される質問を整理してまとめた「ビジ
ネスメール詐欺 FAQ」を追加しました。本ページでは、ビジネスメール詐欺
の対策に必要となる情報を集約しています。

参考文献 (日本語)
情報処理推進機構（IPA）
ビジネスメール詐欺（BEC）対策特設ページ
https://www.ipa.go.jp/security/bec/

情報処理推進機構（IPA）
ビジネスメール詐欺 FAQ
https://www.ipa.go.jp/security/bec/bec_faq.html

――――――――――――――――――――――――――――――――――――――

目 次

【1】VMware vRealize Operationsにクロスサイトリクエストフォージェリの脆弱性
【2】複数のCisco製品に脆弱性
【3】DrupalのApigee Edgeモジュールに脆弱性
【4】富士フイルムビジネスイノベーション製ドライバー配布ツールに復元可能な形式でのパスワード保存の脆弱性
【5】三菱電機製GOT2000シリーズおよびGT SoftGOT2000のGOT Mobile機能に複数の脆弱性
【6】ジェイテクトエレクトロニクス製Screen Creator Advance 2に複数の脆弱性
【7】Androidアプリ「スシロー」にログファイルからの情報漏えいの脆弱性
【今週のひとくちメモ】JPCERT/CCが「ICS脆弱性分析レポート ― 2022年度上期 ―」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2023/wr230208.html
https://www.jpcert.or.jp/wr/2023/wr230208.xml
============================================================================

【1】VMware vRealize Operationsにクロスサイトリクエストフォージェリの脆弱性

情報源
CISA Current Activity
VMware Releases Security Update for VMware vRealize Operations
https://www.cisa.gov/uscert/ncas/current-activity/2023/02/01/vmware-releases-security-update-vmware-vrealize-operations

概要
VMware vRealize Operationsには、クロスサイトリクエストフォージェリの脆
弱性があります。結果として、攻撃者が当該製品のユーザーの権限で意図しな
い操作を行う可能性があります。

対象となるバージョンは次のとおりです。

- VMware vRealize Operations（vROps）8.6系のバージョン

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、VMwareが提供する情報を参照してください。

関連文書 (英語)
VMware
VMSA-2023-0002
https://www.vmware.com/security/advisories/VMSA-2023-0002.html

【2】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Advisories for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2023/02/02/cisco-releases-security-advisories-multiple-products

概要
複数のCisco製品には、脆弱性があります。結果として、当該製品のユーザー
が製品が動作しているOS上でroot権限で任意のコマンドを実行するなどの可能
性があります。

影響を受ける製品、バージョンは多岐にわたります。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。なお、一部の製品はサポート終了のため、修正済みのバー
ジョンは提供されていません。詳細は、Ciscoが提供する情報を参照してくださ
い。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【3】DrupalのApigee Edgeモジュールに脆弱性

情報源
CISA Current Activity
Drupal Releases Security Update to Address a Vulnerability in Apigee Edge
https://www.cisa.gov/uscert/ncas/current-activity/2023/02/02/drupal-releases-security-update-address-vulnerability-apigee-edge

概要
DrupalのApigee Edgeモジュールには、不適切なアクセス制御の脆弱性があり
ます。

対象となるモジュールおよびバージョンは次のとおりです。

- Drupal 9系向けApigee Edgeモジュール 2.0.8より前の2.0系のバージョン
- Drupal 9系向けApigee Edgeモジュール 8.x-1.27より前の8.x-1系のバージョン

この問題は、開発者が提供する修正済みのバージョンに更新することで解決し
ます。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
Drupal
Apigee Edge - Moderately critical - Access bypass - SA-CONTRIB-2023-005
https://www.drupal.org/sa-contrib-2023-005

【4】富士フイルムビジネスイノベーション製ドライバー配布ツールに復元可能な形式でのパスワード保存の脆弱性

情報源
Japan Vulnerability Notes JVN#22830348
富士フイルムビジネスイノベーション製ドライバー配布ツールにおける復元可能な形式でのパスワード保存の脆弱性
https://jvn.jp/jp/JVN22830348/

概要
富士フイルムビジネスイノベーション製のドライバー配布ツールには、復元可
能な形式でのパスワード保存の脆弱性があります。結果として、当該製品の設
定ファイルを入手した第三者が、暗号化された管理者の認証情報を復号する可
能性があります。

対象となるバージョンは次のとおりです。

- ドライバー配布ツール v2.2.3およびそれ以前のバージョン

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
富士フイルムビジネスイノベーション株式会社
弊社ソフトウェア ドライバー配布ツールにおける脆弱性のお知らせ
https://www.fujifilm.com/fb/company/news/notice/2023/0131_announce.html

【5】三菱電機製GOT2000シリーズおよびGT SoftGOT2000のGOT Mobile機能に複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#91222434
三菱電機製GOT2000シリーズおよびGT SoftGOT2000のGOT Mobile機能における複数の脆弱性
https://jvn.jp/vu/JVNVU91222434/

概要
三菱電機株式会社が提供するGOT2000シリーズおよびGT SoftGOT2000のGOT Mobile
機能には、複数の脆弱性があります。結果として、クリックジャッキングによ
り、ユーザーの意図しない操作が実行されるなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- GOT2000シリーズで「GOT Mobile 機能」を使用している場合
- GT27モデル 01.14.000から01.47.000まで
- GT25モデル 01.14.000から01.47.000まで
- GT SoftGOT2000で「GOT Mobile 機能」を使用している場合
- 1.265Bから1.285Xまで

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
三菱電機株式会社
GOT2000 シリーズ及び GT SoftGOT2000 の GOT Mobile 機能における意図しない操作へ誘導される脆弱性並びに情報漏えい及びなりすましの脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2022-021.pdf

【6】ジェイテクトエレクトロニクス製Screen Creator Advance 2に複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#98917488
ジェイテクトエレクトロニクス製Screen Creator Advance 2における複数の脆弱性
https://jvn.jp/vu/JVNVU98917488/

概要
株式会社ジェイテクトエレクトロニクスが提供するScreen Creator Advance 2
には、複数の脆弱性があります。結果として、細工されたScreen Creator Advance 2
のプロジェクトファイルをユーザーが開くことで、情報が漏えいしたり、任意
のコードが実行されたりする可能性があります。

対象となるバージョンは次のとおりです。

- Screen Creator Advance 2 Ver.0.1.1.4 Build01およびそれ以前

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
株式会社ジェイテクトエレクトロニクス
Screen Creator Advance 2 の脆弱性情報
https://www.electronics.jtekt.co.jp/jp/topics/2023020313454/

【7】Androidアプリ「スシロー」にログファイルからの情報漏えいの脆弱性

情報源
Japan Vulnerability Notes JVN#84642320
Android アプリ「スシロー」におけるログファイルからの情報漏えいの脆弱性
https://jvn.jp/jp/JVN84642320/

概要
Androidアプリ「スシロー」には、ログファイルからの情報漏えいの脆弱性が
あります。結果として、第三者が当該製品のログファイルからユーザーIDおよ
びパスワードを取得する可能性があります。

対象となるバージョンは次のとおりです。

- スシロー Ver.4.0.31
- タイスシロー Ver.1.0.0
- 香港壽司郎 Ver.3.0.2
- Singapore Sushiro Ver.2.0.0
- 台灣壽司郎 Ver.2.0.1

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
株式会社あきんどスシロー
スシロー
https://play.google.com/store/apps/details?id=jp.co.akindo_sushiro.sushiroapp

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CCが「ICS脆弱性分析レポート ― 2022年度上期 ―」を公開

2023年2月2日、JPCERT/CCは「ICS脆弱性分析レポート ― 2022年度上期 ―」
を公開しました。本文書は、2022年度上期に公表されたICS関連製品の脆弱性
情報の中から特徴的なものをピックアップし、その内容やICS全体への影響な
どを解説しています。ICSユーザー組織のセキュリティ担当者がICS関連製品の
脆弱性情報を認識、理解する上での参考情報としてご活用ください。

参考文献 (日本語)
JPCERT/CC
ICS脆弱性分析レポート ― 2022年度上期 ―
https://www.jpcert.or.jp/ics/ICS_VulsAnalysisReport2022H1.pdf

――――――――――――――――――――――――――――――――――――――

目 次

【1】複数のApple製品に脆弱性
【2】VMware vRealize Log Insightに複数の脆弱性
【3】ISC BIND 9に複数の脆弱性
【4】Google Chromeに複数の脆弱性
【5】pgAdmin 4にディレクトリトラバーサルの脆弱性
【6】EasyMailにクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】IPAが「情報セキュリティ10大脅威 2023」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2023/wr230201.html
https://www.jpcert.or.jp/wr/2023/wr230201.xml
============================================================================

【1】複数のApple製品に脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2023/01/24/apple-releases-security-updates-multiple-products

概要
複数のApple製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Safari 16.3より前のバージョン
- iOS 12.5.7より前の12系バージョン
- iOS 15.7.3より前の15系バージョン
- iOS 16.3より前の16系バージョン
- iPadOS 15.7.3より前の15系バージョン
- iPadOS 16.3より前の16系バージョン
- macOS Big Sur 11.7.3より前のバージョン
- macOS Monterey 12.6.3より前のバージョン
- macOS Ventura 13.2より前のバージョン
- watchOS 9.3より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Apple製品のアップデートについて（2022年12月）
https://www.jpcert.or.jp/newsflash/2022121401.html

Apple
Safari 16.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213600

Apple
iOS 12.5.7 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213597

Apple
iOS 15.7.3 および iPadOS 15.7.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213598

Apple
iOS 16.3 および iPadOS 16.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213606

Apple
macOS Big Sur 11.7.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213603

Apple
macOS Monterey 12.6.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213604

Apple
macOS Ventura 13.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213605

Apple
watchOS 9.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213599

【2】VMware vRealize Log Insightに複数の脆弱性

情報源
CISA Current Activity
VMware Releases Security Updates for VMware vRealize Log Insight
https://www.cisa.gov/uscert/ncas/current-activity/2023/01/25/vmware-releases-security-updates-vmware-vrealize-log-insight

概要
VMware vRealize Log Insightには、複数の脆弱性があります。結果として、
遠隔の第三者が、認証なしで任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。詳細はVMwareが提供する情報を参照してく
ださい。

- VMware vRealize Log Insight
- VMware Cloud Foundation (VMware vRealize Log Insight)

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
るか、回避策を適用することで解決します。詳細は、VMwareが提供する情報を
参照してください。

関連文書 (英語)
VMware
VMSA-2023-0001
https://www.vmware.com/security/advisories/VMSA-2023-0001.html

【3】ISC BIND 9に複数の脆弱性

情報源
CISA Current Activity
ISC Releases Security Advisories for Multiple Versions of BIND 9
https://www.cisa.gov/uscert/ncas/current-activity/2023/01/27/isc-releases-security-advisories-multiple-versions-bind-9

概要
ISC BIND 9には、複数の脆弱性があります。結果として、遠隔の第三者がnamed
を異常終了させるなどの可能性があります。

対象となるバージョンは脆弱性によって異なります。詳細は、開発者が提供す
る情報を参照してください。

この問題は、該当する製品をISCが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、ISCが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
ISC BIND 9における複数の脆弱性について（2023年1月）
https://www.jpcert.or.jp/newsflash/2023012601.html

日本レジストリサービス（JPRS）
（緊急）BIND 9.xの脆弱性（メモリ不足の発生）について（CVE-2022-3094）- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2023-01-26-bind9-vuln-dynamic-update.html

日本レジストリサービス（JPRS）
（緊急）BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2022-3736）- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2023-01-26-bind9-vuln-serve-stale-rrsig.html

日本レジストリサービス（JPRS）
（緊急）BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2022-3924）- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2023-01-26-bind9-vuln-serve-stale-softquota.html

Japan Vulnerability Notes JVNVU#98318144
ISC BINDにおける複数の脆弱性
https://jvn.jp/vu/JVNVU98318144

関連文書 (英語)
Internet Systems Consortium, Inc.（ISC）
CVE-2022-3094: An UPDATE message flood may cause named to exhaust all available memory
https://kb.isc.org/docs/cve-2022-3094

Internet Systems Consortium, Inc.（ISC）
CVE-2022-3488: BIND Supported Preview Edition named may terminate unexpectedly when processing ECS options in repeated responses to iterative queries
https://kb.isc.org/docs/cve-2022-3488

Internet Systems Consortium, Inc.（ISC）
CVE-2022-3736: named configured to answer from stale cache may terminate unexpectedly while processing RRSIG queries
https://kb.isc.org/docs/cve-2022-3736

Internet Systems Consortium, Inc.（ISC）
CVE-2022-3924: named configured to answer from stale cache may terminate unexpectedly at recursive-clients soft quota
https://kb.isc.org/docs/cve-2022-3924

【4】Google Chromeに複数の脆弱性

情報源
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2023/01/stable-channel-update-for-desktop_24.html

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 109.0.5414.119より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

【5】pgAdmin 4にディレクトリトラバーサルの脆弱性

情報源
Japan Vulnerability Notes JVN#01398015
pgAdmin 4 におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN01398015/

概要
pgAdmin 4には、ディレクトリトラバーサルの脆弱性があります。結果として
当該製品のユーザーが、別のユーザーの設定を変更したり、データベースを書
き換えたりする可能性があります。

対象となるバージョンは次のとおりです。

- pgAdmin 4 v6.19より前のバージョン

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
pgAdmin
pgAdmin users who are authenticated can access each other's directories and files by providing relative paths #5734
https://github.com/pgadmin-org/pgadmin4/issues/5734

【6】EasyMailにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#05288621
EasyMail におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN05288621

概要
株式会社ファーストネットジャパンが提供するEasyMailには、クロスサイトス
クリプティングの脆弱性があります。結果として、当該製品を使用しているサ
イトにアクセスしたユーザーのウェブブラウザー上で、任意のスクリプトを実
行される可能性があります。

対象となるバージョンは次のとおりです。

- EasyMail 2.00.130およびそれ以前のバージョン

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
株式会社ファーストネットジャパン
ダウンロード | 無料のメールフォーム作成ツール「EasyMail(イージーメール) 」
https://www.mubag.com/download/

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○IPAが「情報セキュリティ10大脅威 2023」を公開

2023年1月25日、IPAは「情報セキュリティ10大脅威 2023」を公開しました。
「情報セキュリティ10大脅威 2023」は、2022年に発生した社会的に影響が大
きかったと考えられる情報セキュリティにおける事案から「10大脅威選考会」
が脅威候補に対して審議・投票を行い、決定したものです。

参考文献 (日本語)
情報処理推進機構（IPA）
情報セキュリティ10大脅威 2023
https://www.ipa.go.jp/security/vuln/10threats2023.html

――――――――――――――――――――――――――――――――――――――

目 次

【1】Firefoxに複数の脆弱性
【2】Cisco Unified Communications ManagerにSQLインジェクションの脆弱性
【3】Drupalに複数の脆弱性
【4】2023年1月Oracle Critical Patch Updateについて
【5】Apache HTTP Serverに複数の脆弱性
【6】WordPress用プラグインWelcart e-Commerceにディレクトリトラバーサルの脆弱性
【7】Pgpool-IIに情報漏えいの脆弱性
【8】TP-Link製ルーターに複数の脆弱性
【9】Netcomm製ルーターに複数の脆弱性
【今週のひとくちメモ】JPCERT/CCが2022年10月～2022年12月分の「活動四半期レポート」「インシデント報告対応レポート」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2023/wr230125.html
https://www.jpcert.or.jp/wr/2023/wr230125.xml
============================================================================

【1】Firefoxに複数の脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox
https://www.cisa.gov/uscert/ncas/current-activity/2023/01/18/mozilla-releases-security-updates-firefox

概要
Firefoxには、複数の脆弱性があります。結果として、遠隔の第三者が任意の
ファイルを読み取るなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 109より前のバージョン
- Mozilla Firefox ESR 102.7より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)
Mozilla
Mozilla Foundation Security Advisory 2023-01
https://www.mozilla.org/en-US/security/advisories/mfsa2023-01/

Mozilla
Mozilla Foundation Security Advisory 2023-02
https://www.mozilla.org/en-US/security/advisories/mfsa2023-02/

【2】Cisco Unified Communications ManagerにSQLインジェクションの脆弱性

情報源
CISA Current Activity
Cisco Releases Security Advisory for Unified CM and Unified CM SME
https://www.cisa.gov/uscert/ncas/current-activity/2023/01/20/cisco-releases-security-advisory-unified-cm-and-unified-cm-sme

概要
Cisco Unified Communications Managerには脆弱性があります。結果として、
遠隔の第三者がデータベースのデータの読み取りや変更、権限を昇格するなど
の可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Cisco Unified CM および Unified CM SME ファームウェアバージョン11.5(1)およびそれ以前
- Cisco Unified CM および Unified CM SME ファームウェアバージョン12.5(1)およびそれ以前
- Cisco Unified CM および Unified CM SME ファームウェアバージョン14およびそれ以前

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco Security Advisory
Cisco Unified Communications Manager SQL Injection Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-sql-rpPczR8n

【3】Drupalに複数の脆弱性

情報源
CISA Current Activity
Drupal Releases Security Advisories to Address Multiple Vulnerabilities
https://www.cisa.gov/uscert/ncas/current-activity/2023/01/20/drupal-releases-security-advisories-address-multiple

概要
Drupalには複数の脆弱性があります。結果として、コンテンツの編集権限を持
つ攻撃者が、アクセスを許可されていないメディアアイテムのメタデータを
閲覧するなどの可能性があります。

対象となるバージョンおよびモジュールは次のとおりです。

- Drupal 8.0.0以上9.4.10より前のバージョン
- Drupal 9.5.0以上9.5.2より前のバージョン
- Drupal 10.0.0以上10.0.2より前のバージョン
- Entity Browser 8.x-2.9より前のバージョン
- Media Library Block 1.0以上1.0.4より前のバージョン
- Media Library Form API Element 2.0以上2.0.6より前のバージョン
- Media Library Form API Element 8.x-1系のすべてのバージョン

この問題は、Drupalが提供する修正済みのバージョンに更新することで解決し
ます。詳細は、Drupalが提供する情報を参照してください。

関連文書 (英語)
Drupal
Drupal core - Moderately critical - Information Disclosure - SA-CORE-2023-001
https://www.drupal.org/sa-core-2023-001

Drupal
Entity Browser - Moderately critical - Information Disclosure - SA-CONTRIB-2023-002
https://www.drupal.org/sa-contrib-2023-002

Drupal
Media Library Block - Moderately critical - Information Disclosure - SA-CONTRIB-2023-003
https://www.drupal.org/sa-contrib-2023-003

Drupal
Media Library Form API Element - Moderately critical - Information Disclosure - SA-CONTRIB-2023-004
https://www.drupal.org/sa-contrib-2023-004

【4】2023年1月Oracle Critical Patch Updateについて

情報源
JPCERT/CC 注意喚起
2023年1月Oracle製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2023/at230003.html

概要
Oracleから複数の製品およびコンポーネントに含まれる脆弱性に対応した
Oracle Critical Patch Update Advisoryが公開されました。

詳細は、Oracleが提供する情報を参照してください。

関連文書 (英語)
Oracle Corporation
Oracle Critical Patch Update Advisory - January 2023
https://www.oracle.com/security-alerts/cpujan2023.html

【5】Apache HTTP Serverに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#99928083
Apache HTTP Server 2.4における複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU99928083/

概要
Apache HTTP Server 2.4系には、複数の脆弱があります。結果として、攻撃者
によって、プロセスをクラッシュされるなどの可能性があります。

対象となるバージョンは次のとおりです。

Apache HTTP Server 2.4.54およびそれ以前

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
The Apache Software Foundation
Apache HTTP Server 2.4.55 Released
https://downloads.apache.org/httpd/Announcement2.4.html

【6】WordPress用プラグインWelcart e-Commerceにディレクトリトラバーサルの脆弱性

情報源
Japan Vulnerability Notes JVN#31073333
WordPress 用プラグイン Welcart e-Commerce におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN31073333/

概要
コルネ株式会社が提供するWordPress用プラグインWelcart e-Commerceには、
ディレクトリトラバーサルの脆弱性があります。結果として、遠隔の第三者に
よって、サーバー上の任意のファイルを閲覧される可能性があります。

対象となるバージョンは次のとおりです。

Welcart e-Commerce 2.6.0 から 2.8.5 まで

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
Welcart
Welcart 2.8.6 をリリースしました【脆弱性の修正】
https://www.welcart.com/archives/17865.html

【7】Pgpool-IIに情報漏えいの脆弱性

情報源
Japan Vulnerability Notes JVN#72418815
Pgpool-II における情報漏えいの脆弱性
https://jvn.jp/jp/JVN72418815/

概要
PgPool Global Development Groupが提供するPgpool-IIには、情報漏えいの脆
弱性があります。結果として、取得した認証情報でログインした攻撃者によっ
て、データベース内の情報を改ざんされるなどの可能性があります。

対象となるバージョンは多岐にわたります。

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するか
回避策を適用することで解決します。詳細は、開発者が提供する情報を参照し
てください。

関連文書 (日本語)
PgPool Global Development Group
Pgpool-II 4.4.2, 4.3.5, 4.2.12, 4.1.15, 4.0.22 がリリースされました (2023/01/23)
https://www.pgpool.net/mediawiki/jp/index.php/%E3%83%A1%E3%82%A4%E3%83%B3%E3%83%9A%E3%83%BC%E3%82%B8#What.27s_new

【8】TP-Link製ルーターに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#97719125
TP-Link製ルータにおける複数の脆弱性
https://jvn.jp/vu/JVNVU97719125/

概要
TP-Link製ルーターには、複数の脆弱性があります。結果として、遠隔の第三者
によって、任意のコードを実行されたりするなどの可能性があります。

対象となる製品は次のとおりです。

- TL-WR710N V1 ファームウェア 151022 (公開日 2015-10-22)
- Archer C5 V2 ファームウェア 160201 (公開日 2016-02-01)

2023年1月25日時点では、本脆弱性に対するアップデートは提供されていません。

関連文書 (英語)
TP-Link
Download for TL-WR710N V1
https://www.tp-link.com/us/support/download/tl-wr710n/#Firmware

TP-Link
Download for Archer C5 V2
https://www.tp-link.com/us/support/download/archer-c5/#Firmware

【9】Netcomm製ルーターに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#98520511
Netcomm製ルータにおける複数の脆弱性
https://jvn.jp/vu/JVNVU98520511/

概要
Netcommが提供するルーターには、複数の脆弱性が存在あります。結果として、
攻撃者によって、任意のコードを実行される可能性があります。なお、本脆弱
性の実証コードが公開されていることを確認しています。

対象となる製品は次のとおりです。

- NF20
- NF20MESH
- NL1902

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
NetComm Wireless
Firmware
https://support.netcommwireless.com/products/NF20#Firmware

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CCが2022年10月～2022年12月分の「活動四半期レポート」「インシデント報告対応レポート」を公開

2023年1月19日、JPCERT/CCは2022年10月～2022年12月分の「活動四半期レポート」
「インシデント報告対応レポート」を公開しました。本四半期中のJPCERT/CC
の国内外の活動に加え、JPCERT/CCが報告を受け付けたインシデントの統計や
事例などについてまとめています。参考資料としてご活用ください。

参考文献 (日本語)
JPCERT/CC
JPCERT/CC 活動四半期レポート［2022年10月1日～2022年12月31日］
https://www.jpcert.or.jp/pr/2023/PR_Report2022Q3.pdf

JPCERT/CC
JPCERT/CC インシデント報告対応レポート［2022年10月1日～2022年12月31日］
https://www.jpcert.or.jp/pr/2023/IR_Report2022Q3.pdf

――――――――――――――――――――――――――――――――――――――

目 次

【1】複数のマイクロソフト製品に脆弱性
【2】Windows 8.1サポートは2023年1月10日に終了しました
【3】複数のアドビ製品に脆弱性
【4】複数のJuniper Networks製品に脆弱性
【5】DrupalのPrivate Taxonomy Termsモジュールに脆弱性
【6】Google Chromeに複数の脆弱性
【7】OpenAM Web Policy Agent(OpenAMコンソーシアム版)にパストラバーサル脆弱性
【8】TP-Link SG105PEに認証回避の脆弱性
【9】pgAdmin 4にオープンリダイレクトの脆弱性
【10】Intel製oneAPIツールキットに権限昇格の脆弱性
【11】CLUSTERPRO Xに複数の脆弱性
【12】MAHO-PBX NetDevancerシリーズに複数の脆弱性
【13】ピクセラ製PIX-RT100に複数の脆弱性
【今週のひとくちメモ】JPCERT/CCが「Malware Analysis Operations（MAOps）の自動化」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2023/wr230118.html
https://www.jpcert.or.jp/wr/2023/wr230118.xml
============================================================================

【1】複数のマイクロソフト製品に脆弱性

情報源
CISA Current Activity
Microsoft Releases January 2023 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2023/01/10/microsoft-releases-january-2023-security-updates

概要
複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく
ださい。

関連文書 (日本語)
マイクロソフト株式会社
2023 年 1 月のセキュリティ更新プログラム (月例)
https://msrc-blog.microsoft.com/2023/1/10/202301-security-update/

JPCERT/CC 注意喚起
2023年1月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2023/at230002.html

【2】Windows 8.1サポートは2023年1月10日に終了しました

情報源
マイクロソフト株式会社
Windows 8.1サポートは 2023 年 1 月 10 日に終了しました
https://prod.support.services.microsoft.com/ja-jp/windows/windows-8-1%E3%82%B5%E3%83%9D%E3%83%BC%E3%83%88%E3%81%AF-2023-%E5%B9%B4-1-%E6%9C%88-10-%E6%97%A5%E3%81%AB%E7%B5%82%E4%BA%86%E3%81%97%E3%81%BE%E3%81%99-3cfd4cde-f611-496a-8057-923fba401e93

概要
Windows 8.1は2023年1月10日にサポートが終了しました。この時点で、テクニ
カルアシスタンスとソフトウェア更新プログラムは提供されなくなります。Windows 8.1
を実行しているデバイスがある場合は、より最新のサービスおよびサポートさ
れているWindowsリリースにアップグレードすることをお勧めします。デバイ
スがWindowsのより最新のリリースを実行するための技術的な要件を満たして
いない場合は、デバイスをWindows 11をサポートするデバイスに置き換えるこ
とをお勧めします。

また、同社が提供するWindows 7 ESU、Windows Server 2008 ESU、Windows Server 2008 R2 ESU
のサポートも終了しました。

関連文書 (日本語)
情報処理推進機構（IPA）
Windows 8.1 のサポート終了に伴う注意喚起
https://www.ipa.go.jp/security/announce/win8_1_eos.html

【3】複数のアドビ製品に脆弱性

情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2023/01/10/adobe-releases-security-updates-multiple-products

概要
複数のアドビ製品には、脆弱性があります。結果として、攻撃者が用意した悪
意のあるコンテンツをユーザーが開いた場合、任意のコードが実行されるなど
の可能性があります。

対象となる製品は次のとおりです。

- Adobe Acrobat
- Adobe Acrobat Reader
- Adobe InDesign
- Adobe InCopy
- Adobe Dimension

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
Adobe AcrobatおよびReaderの脆弱性（APSB23-01）に関する注意喚起
https://www.jpcert.or.jp/at/2023/at230001.html

JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2023011101.html

関連文書 (英語)
アドビ
Security update available for Adobe Acrobat and Reader | APSB23-01
https://helpx.adobe.com/security/products/acrobat/apsb23-01.html

アドビ
Security Update Available for Adobe InDesign | APSB23-07
https://helpx.adobe.com/security/products/indesign/apsb23-07.html

アドビ
Security Update Available for Adobe InCopy | APSB23-08
https://helpx.adobe.com/security/products/incopy/apsb23-08.html

アドビ
Security updates available for Dimension | APSB23-10
https://helpx.adobe.com/security/products/dimension/apsb23-10.html

【4】複数のJuniper Networks製品に脆弱性

情報源
CISA Current Activity
Juniper Networks Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2023/01/12/juniper-networks-releases-security-updates-multiple-products

概要
複数のJuniper Networks製品には、脆弱性があります。結果として、遠隔の第
三者がサービス運用妨害（DoS）攻撃を行うなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はJuniper Networksが提供するア
ドバイザリ情報を参照してください。

この問題は、該当する製品をJuniper Networksが提供する修正済みのバージョン
に更新することで解決します。詳細は、Juniper Networksが提供する情報を参
照してください。

関連文書 (英語)
Juniper Networks
Juniper Support Portal Search Results - Security Advisories
https://supportportal.juniper.net/s/global-search/%40uri?#f:ctype=[Security Advisories]

【5】DrupalのPrivate Taxonomy Termsモジュールに脆弱性

情報源
CISA Current Activity
Drupal Releases Security Update to Address Vulnerability in Private Taxonomy Terms
https://www.cisa.gov/uscert/ncas/current-activity/2023/01/12/drupal-releases-security-update-address-vulnerability-private

概要
DrupalのPrivate Taxonomy Termsモジュールには、taxonomy overview pageと
overview formに対して適切にパーミッションを実施しない脆弱性があります。

対象となるモジュールおよびバージョンは次のとおりです。

- Drupal 8系向けのPrivate Taxonomy Terms 8.x-2.6より前のバージョン

この問題は、開発者が提供する修正済みのバージョンに更新することで解決し
ます。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
Drupal
Private Taxonomy Terms - Moderately critical - Access bypass - SA-CONTRIB-2023-001
https://www.drupal.org/sa-contrib-2023-001

【6】Google Chromeに複数の脆弱性

情報源
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2023/01/stable-channel-update-for-desktop.html

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 109.0.5414.74（Linux版）より前のバージョン
- Google Chrome 109.0.5414.74/.75（Windows版）より前のバージョン
- Google Chrome 109.0.5414.87（Mac版）より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

【7】OpenAM Web Policy Agent(OpenAMコンソーシアム版)にパストラバーサル脆弱性

情報源
Japan Vulnerability Notes JVNVU#91740661
OpenAM Web Policy Agent (OpenAMコンソーシアム版)におけるパストラバーサル脆弱性
https://jvn.jp/vu/JVNVU91740661/

概要
OpenAM Web Policy Agent（OpenAMコンソーシアム版）には、パストラバーサ
ルの脆弱性があります。結果として、第三者がドキュメントルート外のファイ
ルにアクセスする可能性があります。また、アクセスを許可されていない第三
者が、保護されたリソースにアクセスする可能性があります。

対象となるバージョンは次のとおりです。

- OpenAM Web Policy Agent（OpenAMコンソーシアム版）バージョン 4.1.0

この問題は、該当製品に開発者が提供する情報をもとにパッチを適用すること
で解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
OpenAMコンソーシアム
web-agentsリポジトリ
https://github.com/openam-jp/web-agents

OpenAMコンソーシアム
issue#3: CVE-2023-22320
https://github.com/openam-jp/web-agents/issues/3

【8】TP-Link SG105PEに認証回避の脆弱性

情報源
Japan Vulnerability Notes JVN#78481846
TP-Link SG105PE における認証回避の脆弱性
https://jvn.jp/jp/JVN78481846/

概要
TP-Link SG105PEには、認証回避の脆弱性があります。結果として、悪意のあ
る第三者が特定の条件下で、管理者の権限で情報を閲覧したり、設定を変更し
たりする可能性があります。

対象となるバージョンは次のとおりです。

- TP-Link SG105PE 「TL-SG105PE(UN) 1.0_1.0.0 Build 20221208」より前のファームウェア

この問題は、該当製品を開発者が提供する情報をもとに、ファームウェアを最
新版へアップデートすることで解決します。詳細は、開発者が提供する情報を
参照してください。

関連文書 (日本語)
TP-Link
TL-SG105PE V1 のコンテンツ
https://www.tp-link.com/jp/support/download/tl-sg105pe/v1/#Firmware

TP-Link
イージースマートスイッチ | TL-SG105PE
https://www.tp-link.com/jp/business-networking/easy-smart-switch/tl-sg105pe/

【9】pgAdmin 4にオープンリダイレクトの脆弱性

情報源
Japan Vulnerability Notes JVN#03832974
pgAdmin 4 におけるオープンリダイレクトの脆弱性
https://jvn.jp/jp/JVN03832974/

概要
pgAdmin Projectが提供するpgAdmin 4には、オープンリダイレクトの脆弱性が
あります。結果として、細工されたURLにアクセスすることで、任意のウェブ
サイトにリダイレクトされる可能性があります。

対象となるバージョンは次のとおりです。

- pgAdmin 4 v6.14より前のバージョン

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
pgAdmin Project
pgAdmin - PostgreSQL Tools
https://www.pgadmin.org/

pgAdmin Project
GitHub pgadmin-org / pgadmin4
https://github.com/pgadmin-org/pgadmin4

pgAdmin Project
Open URL Redirect Vulnerability #5343
https://github.com/pgadmin-org/pgadmin4/issues/5343

【10】Intel製oneAPIツールキットに権限昇格の脆弱性

情報源
Japan Vulnerability Notes JVNVU#94327726
Intel製oneAPIツールキットにおける権限昇格の脆弱性
https://jvn.jp/vu/JVNVU94327726/

概要
Intelから権限昇格の脆弱性に対応したoneAPIツールキット向けのアップデー
トが公開されました。

対象となる製品およびバージョンは次のとおりです。

- Intel oneAPI DPC++/C++ Compiler 2022.2.1より前のバージョン
- Intel C++ Compiler Classic 2021.8より前のバージョン

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Intel製品に関する脆弱性について
https://www.jpcert.or.jp/newsflash/2023011102.html

関連文書 (英語)
Intel Corporation
INTEL-SA-00773: Intel oneAPI Toolkit software Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00773.html

Intel Corporation
Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html

【11】CLUSTERPRO Xに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#937040474
CLUSTERPRO Xにおける複数の脆弱性
https://jvn.jp/vu/JVNVU93704047/

概要
日本電気株式会社が提供するCLUSTERPRO Xには、複数の脆弱性があります。結
果として、遠隔の第三者が既存ファイルを上書きし、任意のコードを実行する
可能性があります。

対象となるバージョンは多岐にわたります。

この問題は、該当製品に開発者が提供する修正パッチを適用するか回避策を適
用することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
日本電気株式会社
CLUSTERPRO X に複数の脆弱性
https://jpn.nec.com/security-info/secinfo/nv22-014.html

【12】MAHO-PBX NetDevancerシリーズに複数の脆弱性

情報源
Japan Vulnerability Notes JVN#99957889
MAHO-PBX NetDevancerシリーズにおける複数の脆弱性
https://jvn.jp/jp/JVN99957889/

概要
株式会社まほろば工房が提供するMAHO-PBX NetDevancerシリーズには、複数の
脆弱性があります。結果として、遠隔の第三者が任意のOSコマンドを実行する
などの可能性があります。

対象となるバージョンは次のとおりです。

- MAHO-PBX NetDevancer Lite/Uni/Pro/Cloud Ver.1.11.00より前のバージョン
- MAHO-PBX NetDevancer VSG Lite/Uni Ver.1.11.00より前のバージョン
- MAHO-PBX NetDevancer MobileGate Home/Office Ver.1.11.00より前のバージョン

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
株式会社まほろば工房
MAHO-PBX NetDevancerにおける複数の脆弱性につきまして
https://www.ate-mahoroba.jp/netdevancer/download/JVN99957889.pdf

【13】ピクセラ製PIX-RT100に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#57296685
ピクセラ製 PIX-RT100 における複数の脆弱性
https://jvn.jp/jp/JVN57296685/

概要
株式会社ピクセラが提供するPIX-RT100には、複数の脆弱性があります。結果
として、隣接ネットワーク上の第三者が、ドキュメント化されていないTelnet
サービスまたはSSHサービスを介して当該製品にアクセスする可能性がありま
す。

対象となるバージョンは次のとおりです。

- PIX-RT100 バージョン RT100_TEQ_2.1.1_EQ101およびRT100_TEQ_2.1.2_EQ101

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
株式会社ピクセラ
PIX-RT100 アップデート
https://www.pixela.co.jp/products/network/pix_rt100/update.html

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CCが「Malware Analysis Operations（MAOps）の自動化」を公開

2023年1月10日、JPCERT/CCは「Malware Analysis Operations（MAOps）の自動
化」を公開しました。JPCERT/CCで行っているクラウド上でのマルウェア分析
の自動化方法について、事例をもとに紹介しています。クラウドサービスを活
用して日々のマルウェア分析の効率化に取り組む一助となれば幸いです。

参考文献 (日本語)
JPCERT/CC Eyes
Malware Analysis Operations（MAOps）の自動化
https://blogs.jpcert.or.jp/ja/2023/01/cloud_malware_analysis.html

―――――――――――――――――――――――――――――――――

目 次

【1】FortiADCにOSコマンドインジェクションの脆弱性
【2】Synology VPN Plus Serverに任意のコード実行の脆弱性
【3】デジタルアーツ製m-FILTERに認証不備の脆弱性
【4】Apache TomcatのJsonErrorReportValveにエスケープ処理不備の問題
【5】ruby-gitに複数のコードインジェクションの脆弱性
【今週のひとくちメモ】JASAが「2023年 情報セキュリティ十大トレンド」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2023/wr230112.html
https://www.jpcert.or.jp/wr/2023/wr230112.xml
============================================================================

【1】FortiADCにOSコマンドインジェクションの脆弱性

情報源
CISA Current Activity
Fortinet Releases Security Updates for FortiADC
https://www.cisa.gov/uscert/ncas/current-activity/2023/01/04/fortinet-releases-security-updates-fortiadc

概要
FortiADCには、OSコマンドインジェクションの脆弱性があります。結果として、
当該製品のWeb GUIにアクセス可能な第三者が、任意のコードまたはコマンドを
実行する可能性があります。

対象となるバージョンは次のとおりです。

- FortiADC バージョン7.0.0から7.0.1まで
- FortiADC バージョン6.2.0から6.2.3まで
- FortiADC バージョン6.1.0から6.1.6まで
- FortiADC バージョン6.0.0から6.0.4まで
- FortiADC バージョン5.4.0から5.4.5まで

この問題は、該当製品をFortinetが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Fortinetが提供する情報を参照してください。

関連文書 (英語)
Fortinet
FortiADC - command injection in web interface
https://www.fortiguard.com/psirt/FG-IR-22-061

【2】Synology VPN Plus Serverに任意のコード実行の脆弱性

情報源
Synology
Synology-SA-22:26 VPN Plus Server
https://www.synology.com/en-us/security/advisory/Synology_SA_22_26

概要
Synology VPN Plus Serverには、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行する可能性があります。

対象となるバージョンは次のとおりです。

- VPN Plus Server for SRM 1.3 1.4.4-0635より前のバージョン
- VPN Plus Server for SRM 1.2 1.4.3-0534より前のバージョン

この問題は、該当製品をSynologyが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Synologyが提供する情報を参照してください。

【3】デジタルアーツ製m-FILTERに認証不備の脆弱性

情報源
Japan Vulnerability Notes JVN#55675303
デジタルアーツ製 m-FILTER における認証不備の脆弱性
https://jvn.jp/jp/JVN55675303/

概要
デジタルアーツ株式会社が提供するm-FILTERには、特定の条件下においてメー
ル送信時に認証不備の脆弱性があります。結果として、遠隔の第三者によって
意図しないメールを送信される可能性があります。

対象となるバージョンは次のとおりです。

- m-FILTER Ver.5.70R01より前のバージョン (Ver.5系)
- m-FILTER Ver.4.87R04より前のバージョン (Ver.4系)

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。なお、m-FILTER@Cloudについては2022年12月23日のメンテ
ナンスで修正済みとのことです。詳細は、開発者が提供する情報を参照して
ください。

関連文書 (日本語)
デジタルアーツ株式会社
m-FILTER Ver.5 (要ログイン)
https://download.daj.co.jp/support/detail/?page=version&type=6&division=12

デジタルアーツ株式会社
m-FILTER Ver.4 (要ログイン)
https://download.daj.co.jp/support/detail/?page=version&type=6&division=13

デジタルアーツ株式会社
m-FILTER@Cloud (要ログイン)
https://download.daj.co.jp/support/detail/?page=version&type=5&division=2

【4】Apache TomcatのJsonErrorReportValveにエスケープ処理不備の問題

情報源
Japan Vulnerability Notes JVNVU#92183876
Apache TomcatのJsonErrorReportValveにおけるエスケープ処理不備の問題
https://jvn.jp/vu/JVNVU92183876/

概要
Apache TomcatのJsonErrorReportValveクラスには、エスケープ処理不備の問題
があります。結果として、JSON出力を無効化されたり、操作されたりする可能
性があります。

対象となるバージョンは次のとおりです。

- Apache Tomcat 10.1.0-M1から10.1.1までのバージョン
- Apache Tomcat 9.0.40から9.0.68までのバージョン
- Apache Tomcat 8.5.83

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
The Apache Software Foundation
[SECURITY] CVE-2022-45143 Apache Tomcat - JsonErrorReportValve injection
https://lists.apache.org/thread/yqkd183xrw3wqvnpcg3osbcryq85fkzj

The Apache Software Foundation
Fixed in Apache Tomcat 10.1.2
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.2

The Apache Software Foundation
Fixed in Apache Tomcat 9.0.69
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.69

The Apache Software Foundation
Fixed in Apache Tomcat 8.5.84
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.84

【5】ruby-gitに複数のコードインジェクションの脆弱性

情報源
Japan Vulnerability Notes JVN#16765254
ruby-git における複数のコードインジェクションの脆弱性
https://jvn.jp/jp/JVN16765254/

概要
ruby-gitには、複数のコードインジェクションの脆弱性があります。結果とし
て、任意のrubyコードを実行される可能性があります。

対象となるバージョンは次のとおりです。

- ruby-git v1.13.0より前のバージョン

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
ruby-git
GitHub | ruby-git / ruby-git
https://github.com/ruby-git/ruby-git

ruby-git
In ls-files do not unescape file paths with eval #602
https://github.com/ruby-git/ruby-git/pull/602

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JASAが「2023年 情報セキュリティ十大トレンド」を公開

2023年1月6日、日本セキュリティ監査協会（JASA）は、「情報セキュリティ監
査人が選ぶ2023年の情報セキュリティ十大トレンド」を公開しました。
このトレンド調査は、協会の公認情報セキュリティ監査人資格認定制度により
認定を受けた情報セキュリティ監査人を対象としたアンケートにより選ばれた
ものです。
2023年のトレンドは、さまざまなITシステムが業態や規模を超えてネットワー
クでつながることにより、局所的なシステム障害が全国にまたがるネットワー
クの機能不全につながりかねないこと、また、ネットワーク化されたITシステ
ムが産業活動・国民生活を支えるインフラとなっており、そのセキュリティが
安全保障の観点からも注目されてきていることなどを懸念したトピックが上位
に挙げられています。

参考文献 (日本語)
日本セキュリティ監査協会（JASA）
監査人の警鐘- 2023年 情報セキュリティ十大トレンド
https://www.jasa.jp/seminar/sec_trend2023/

――――――――――――――――――――――――――――――――――――――

目 次

【1】富士電機製V-SFT、TELLUSおよびV-Serverに複数の脆弱性
【今週のひとくちメモ】「サイバー攻撃被害に係る情報の共有・公表ガイダンス（案）」に関する意見募集

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2023/wr230106.html
https://www.jpcert.or.jp/wr/2023/wr230106.xml
============================================================================

【1】富士電機製V-SFT、TELLUSおよびV-Serverに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#90679513
富士電機製V-SFTおよびTELLUSにおける複数の脆弱性
https://jvn.jp/vu/JVNVU90679513/

Japan Vulnerability Notes JVNVU#92811888
富士電機製V-Serverにおける複数の脆弱性
https://jvn.jp/vu/JVNVU92811888/

概要
富士電機株式会社が提供するV-SFT、TELLUSおよびV-Serverには、複数の脆弱
性があります。結果として、ユーザーが細工されたファイルを開くことで、情
報が漏えいしたり、任意のコードが実行されたりする可能性があります。

対象となる製品およびバージョンは次のとおりです。

- V-SFT v6.1.7.0およびそれ以前
- TELLUS v4.0.12.0およびそれ以前
- V-Server v4.0.12.0およびそれ以前

この問題は、当該製品を富士電機株式会社が提供する修正済みのバージョンに
更新することで解決します。詳細は、富士電機株式会社が提供する情報を参照
してください。

関連文書 (日本語)
富士電機株式会社／発紘電機株式会社
作画ソフトV-SFT Ver.6 改善情報
https://hakko-elec.co.jp/site/download/09vsft6_inf/

富士電機株式会社／発紘電機株式会社
TELLUS and V-Server 改善情報
https://hakko-elec.co.jp/site/download/03tellus_inf/

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○「サイバー攻撃被害に係る情報の共有・公表ガイダンス（案）」に関する意見募集

サイバーセキュリティ協議会運営委員会の下に設置された「サイバー攻撃被害
に係る情報の共有・公表ガイダンス検討会」は、サイバー攻撃を受けた被害組
織がサイバーセキュリティ関係組織とサイバー攻撃被害に係る情報を共有する
際の実務上の参考となるガイダンスの策定に向けて討議を行い、2022年12月
26日、「サイバー攻撃被害に係る情報の共有・公表ガイダンス（案）」を公開
しました。2022年12月27日（火）から2023年1月30日（月）までの間、同ガイ
ダンス案について、意見を募集しています。意見募集の詳細や意見提出方法な
どは関係各省のWebページをご覧ください。

参考文献 (日本語)
JPCERT/CC
「サイバー攻撃被害に係る情報の共有・公表ガイダンス（案）」に対する意見募集を開始
https://www.jpcert.or.jp/press/2023/20230105-pubcomm-sharing_and_disclosure.html

――――――――――――――――――――――――――――――――――――――