CISA Current Activity
Oracle Releases January 2022 Critical Patch Update
https://www.cisa.gov/uscert/ncas/current-activity/2022/01/18/oracle-releases-january-2022-critical-patch-update

概要

Oracleから複数の製品及びコンポーネントに含まれる脆弱性に対応した
Oracle Critical Patch Update Advisoryが公開されました。

詳細は、Oracleが提供する情報を参照してください。

【2】ManageEngine Desktop Central及びManageEngine Desktop Central MSPに認証回避の脆弱性

情報源

CISA Current Activity
Zoho Releases Security Advisory for ManageEngine Desktop Central and Desktop Central MSP
https://www.cisa.gov/uscert/ncas/current-activity/2022/01/19/zoho-releases-security-advisory-manageengine-desktop-central-and

概要

Zohoが提供するManageEngine Desktop Central及びManageEngine Desktop
Central MSPには、認証回避の脆弱性があります。結果として、遠隔の攻撃者
が各製品のサーバーからアクセス権限のないファイルを読み出したり、任意の
zipファイルを書き込んだりする可能性があります。

対象となる製品及びバージョンは次のとおりです。

- ManageEngine Desktop Central ビルド番号10.1.2137.9より前のバージョン
- ManageEngine Desktop Central MSP ビルド番号10.1.2137.9より前のバージョン

この問題は、該当する製品をZohoが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Zohoが提供する情報を参照してください。

【3】Google Chromeに複数の脆弱性

情報源

CISA Current Activity
Google Releases Security Updates for Chrome
https://www.cisa.gov/uscert/ncas/current-activity/2022/01/20/google-releases-security-updates-chrome

概要

Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 97.0.4692.99より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

【4】複数のCisco製品に脆弱性

情報源

CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/01/20/cisco-releases-security-updates-multiple-products

概要

複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者がroot
権限で任意のコマンドを実行するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細や最新の情報については、Cisco
が提供するアドバイザリ情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

【5】Drupalにクロスサイトスクリプティングの脆弱性

情報源

CISA Current Activity
Drupal Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/01/20/drupal-releases-security-updates

概要

Drupalが使用するサードパーティライブラリjQuery UIには、複数のクロスサ
イトスクリプティングの脆弱性があります。結果として、当該製品を使用して
いるサイトにアクセスしたユーザーのウェブブラウザー上で、任意のスクリプ
トを実行される可能性があります。

対象となるバージョンは次のとおりです。

- Drupal 9.3.3より前の9.3系バージョン
- Drupal 9.2.11より前の9.2系バージョン
- Drupal 7.86より前の7系バージョン

この問題は、Drupalを開発者が提供する修正済みのバージョンに更新すること
で解決します。詳細は、開発者が提供する情報を参照してください。

【6】McAfee Agent for Windowsに複数の脆弱性

情報源

CISA Current Activity
McAfee Releases Security Update for McAfee Agent for Windows
https://www.cisa.gov/uscert/ncas/current-activity/2022/01/21/mcafee-releases-security-update-mcafee-agent-windows

概要

McAfee Agent for Windowsには、複数の脆弱性があります。結果として、第三
者がSYSTEM権限で任意のコードを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- McAfee Agent for Windows 5.7.5より前のバージョン

この問題は、McAfee Agent for WindowsをMcAfeeが提供する修正済みのバージョン
に更新することで解決します。詳細は、McAfeeが提供する情報を参照してくだ
さい。

【7】複数のF5 Networks製品に脆弱性

情報源

CISA Current Activity
F5 Releases January 2022 Quarterly Security Notification
https://www.cisa.gov/uscert/ncas/current-activity/2022/01/20/f5-releases-january-2022-quarterly-security-notification

概要

複数のF5 Networks製品には、影響度Highを含む複数の脆弱性があります。結
果として、認証済みの攻撃者が、NGINXデータプレーンインスタンス上の任意
のファイルにアクセスするなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はF5 Networksが提供するアドバ
イザリ情報を参照してください。

この問題は、該当する製品をF5 Networksが提供する修正済みのバージョンに
更新するか、回避策を適用することで解決します。詳細は、F5 Networksが提
供する情報を参照してください。

【8】GROWIにユーザー制御の鍵による認証回避の脆弱性

情報源

Japan Vulnerability Notes JVNVU#94151526
GROWIにおけるユーザ制御の鍵による認証回避の脆弱性
https://jvn.jp/vu/JVNVU94151526/

概要

GROWIには、ユーザー制御の鍵による認証回避の脆弱性があります。結果とし
て、認証のない遠隔の攻撃者が認証を回避し、ユーザーのコメントを削除する
可能性があります。

対象となるバージョンは次のとおりです。

- GROWI v4.4.7及びそれ以前のバージョン

この問題は、該当する製品を株式会社WESEEKが提供する修正済みのバージョン
に更新することで解決します。詳細は、株式会社WESEEKが提供する情報を参照
してください。

【9】キヤノン製レーザープリンター及びスモールオフィス向け複合機にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#64806328
キヤノン製レーザープリンターおよびスモールオフィス向け複合機におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN64806328/

概要

キヤノン株式会社が提供するレーザープリンター及びスモールオフィス向け複
合機には、格納型クロスサイトスクリプティングの脆弱性があります。結果と
して、当該製品の設定画面にアクセスしたユーザーのウェブブラウザー上で、
任意のスクリプトを実行される可能性があります。

対象となる製品は、多岐にわたります。詳細や最新の情報については、キヤノン
株式会社が提供するアドバイザリ情報を参照してください。

この問題は、該当する製品をキヤノン株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細はキヤノン株式会社が提供する情報を参照
してください。

【10】三菱電機製GENESIS64及びMC Works64に複数の脆弱性

情報源

Japan Vulnerability Notes JVNVU#95403720
三菱電機製GENESIS64およびMC Works64における複数の脆弱性
https://jvn.jp/vu/JVNVU95403720/

概要

三菱電機株式会社が提供するGENESIS64及びMC Works64には、複数の脆弱性が
あります。結果として、遠隔の第三者が細工したWebSocketプロトコルのパケッ
トを送信することで、認証が回避され、当該製品を不正に操作されるなどの可
能性があります。

対象となる製品及びバージョンは次のとおりです。

- GENESIS64 Version 10.97
- MC Works64 Version 4.04E及びそれ以前

この問題は、当該製品のソフトウェアを三菱電機株式会社が提供するセキュリ
ティパッチを使用して更新することで解決します。詳細は、三菱電機株式会社
が提供する情報を参照してください。

【11】php_mailformに複数のクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#16690037
php_mailform における複数のクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN16690037/

概要

エコノシス システム設計事務所が提供するphp_mailformには、複数のクロス
サイトスクリプティングの脆弱性があります。結果として、当該製品を使用し
ているユーザーのウェブブラウザー上で、任意のスクリプトを実行される可能
性があります。

対象となる製品及びバージョンは次のとおりです。

- php_mailform Version 1.40より前のバージョン

この問題は、該当する製品をエコノシス システム設計事務所が提供する修正
済みのバージョンに更新することで解決します。詳細はエコノシス システム
設計事務所が提供する情報を参照してください。

■今週のひとくちメモ

○フィッシング対策協議会が「第４回フィッシング対策勉強会」の参加申し込み受付けを開始

フィッシング対策協議会は、2月15日（火）に「第４回フィッシング対策勉強
会」をオンラインで開催します。フィッシング対策やWebサイトのセキュリティ
に興味がある方向けに参加を受付けています。
講演内容や、参加登録の手順については以下のURLからご参照ください。

参考文献 (日本語)

フィッシング対策協議会
第４回フィッシング対策勉強会
https://www.antiphishing.jp/news/event/antiphishing_4th_studygroup.html

■JPCERT/CCからのお願い

本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2022-01-26号

<<< JPCERT/CC WEEKLY REPORT 2022-01-26 >>>

■01/16(日)〜01/22(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

○フィッシング対策協議会が「第４回フィッシング対策勉強会」の参加申し込み受付けを開始

参考文献 (日本語)

■JPCERT/CCからのお願い

目　次