JPCERT コーディネーションセンター

Weekly Report 2022-03-16号

JPCERT-WR-2022-1101
JPCERT/CC
2022-03-16

<<< JPCERT/CC WEEKLY REPORT 2022-03-16 >>>

■03/06(日)〜03/12(土) のセキュリティ関連情報

目 次

【1】複数のマイクロソフト製品に脆弱性

【2】複数のアドビ製品に脆弱性

【3】複数のMozilla製品に脆弱性

【4】複数のSAP製品に脆弱性

【5】Intel製品に複数の脆弱性

【6】PTC製Axeda agentおよびAxeda Desktop Server for Windowsに複数の脆弱性

【7】WPS Office for WindowsのインストーラーにACL設定不備の脆弱性

【8】UNIVERGE WAシリーズにOSコマンドインジェクションの脆弱性

【9】複数のトレンドマイクロ製品に脆弱性

【10】Linux Kernelに権限昇格の脆弱性

【今週のひとくちメモ】JPCERT/CCが「制御システムセキュリティカンファレンス 2022」「JSAC2022」の開催レポートを公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr221101.txt
https://www.jpcert.or.jp/wr/2022/wr221101.xml

【1】複数のマイクロソフト製品に脆弱性

情報源

CISA Current Activity
Microsoft Releases March 2022 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/08/microsoft-releases-march-2022-security-updates

概要

複数のマイクロソフト製品には、複数の脆弱性があります。結果として、遠隔
の第三者が任意のコードを実行するなどの可能性があります。

対象となる製品は、多岐に渡ります。詳細はマイクロソフト株式会社が提供す
るアドバイザリ情報を参照してください。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく
ださい。

関連文書 (日本語)

マイクロソフト株式会社
2022 年 3 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2022-Mar

JPCERT/CC 注意喚起
2022年3月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2022/at220007.html

【2】複数のアドビ製品に脆弱性

情報源

CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/08/adobe-releases-security-updates-multiple-products

概要

複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Photoshop 2021
- Photoshop 2022
- Illustrator 2022
- Adobe After Effects

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2022030902.html

関連文書 (英語)

アドビ
Security update available for Adobe Photoshop | APSB22-14
https://helpx.adobe.com/security/products/photoshop/apsb22-14.html

アドビ
Security Updates Available for Adobe Illustrator | APSB22-15
https://helpx.adobe.com/security/products/illustrator/apsb22-15.html

アドビ
Security Updates Available for Adobe After Effects | APSB22-17
https://helpx.adobe.com/security/products/after_effects/apsb22-17.html

【3】複数のMozilla製品に脆弱性

情報源

CISA Current Activity
Mozilla Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/07/mozilla-releases-security-updates-multiple-products

CISA Current Activity
Mozilla Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/08/mozilla-releases-security-updates

概要

複数のMozilla製品には、脆弱性があります。結果として、第三者が製品をク
ラッシュさせるなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 98より前のバージョン
- Mozilla Firefox ESR 91.7より前のバージョン
- Mozilla Firefox Focus 97.3より前のバージョン
- Mozilla Thunderbird 91.7より前のバージョン
- Mozilla Firefox for Android 97.3より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)

Mozilla
Security Vulnerabilities fixed in Firefox 97.0.2, Firefox ESR 91.6.1, Firefox for Android 97.3.0, and Focus 97.3.0
https://www.mozilla.org/en-US/security/advisories/mfsa2022-09/

Mozilla
Security Vulnerabilities fixed in Firefox 98
https://www.mozilla.org/en-US/security/advisories/mfsa2022-10/

Mozilla
Security Vulnerabilities fixed in Firefox ESR 91.7
https://www.mozilla.org/en-US/security/advisories/mfsa2022-11/

Mozilla
Security Vulnerabilities fixed in Thunderbird 91.7
https://www.mozilla.org/en-US/security/advisories/mfsa2022-12/

【4】複数のSAP製品に脆弱性

情報源

CISA Current Activity
SAP Releases March 2022 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/08/sap-releases-march-2022-security-updates

概要

複数のSAP製品には、脆弱性があります。結果として、遠隔の第三者が任意の
コードを実行するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はSAPが提供するアドバイザリ情
報を参照してください。

この問題は、該当する製品をSAPが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、SAPが提供する情報を参照してください。

関連文書 (英語)

SAP
SAP Security Patch Day March 2022
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a

【5】Intel製品に複数の脆弱性

情報源

Japan Vulnerability Notes JVNVU#96610560
Intel製品に複数の脆弱性(2022年3月)
https://jvn.jp/vu/JVNVU96610560/

概要

Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security
Center Advisoriesが公開されました。

詳細は、Intelが提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC CyberNewsFlash
Intel製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2022030901.html

関連文書 (英語)

Intel
Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html

【6】PTC製Axeda agentおよびAxeda Desktop Server for Windowsに複数の脆弱性

情報源

CISA Current Activity
CISA Releases Security Advisory on PTC Axeda Agent and Desktop Server
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/08/cisa-releases-security-advisory-ptc-axeda-agent-and-desktop-server

概要

PTC社が提供するAxeda agentおよびAxeda Desktop Server for Windowsには、
複数の脆弱性があります。結果として、遠隔の第三者が任意のコードを実行す
るなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Axeda agentすべてのバージョン
- Axeda Desktop Server for Windowsすべてのバージョン

この問題は、該当する製品をPTCが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、PTCが提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#97043819
PTC製Axeda agentおよびAxeda Desktop Server for Windowsにおける複数の脆弱性
https://jvn.jp/vu/JVNVU97043819/

関連文書 (英語)

PTC
Security vulnerabilities identified in the Axeda agent and Axeda Desktop Server
https://www.ptc.com/en/support/article/CS363561

【7】WPS Office for WindowsのインストーラーにACL設定不備の脆弱性

情報源

Japan Vulnerability Notes JVNVU#90673830
WPS Office for Windows のインストーラにACL設定不備の脆弱性
https://jvn.jp/vu/JVNVU90673830/

概要

WPS Office Softwareが提供するWPS Office for Windowsのインストーラーに
は、ACL設定不備の脆弱性があります。結果として、一般ユーザーが管理者権
限を取得する可能性があります。

対象となるバージョンは次のとおりです。

- WPS Office for Windows v11.2.0.10258より前のバージョン

この問題は、該当する製品をWPS Office Softwareが提供するアップデートを
適用することで解決します。詳細は、WPS Office Softwareが提供する情報を
参照してください。

【8】UNIVERGE WAシリーズにOSコマンドインジェクションの脆弱性

情報源

Japan Vulnerability Notes JVN#72801744
UNIVERGE WA シリーズにおける OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN72801744/

概要

NECプラットフォームズ株式会社が提供するUNIVERGE WAシリーズ主装置には、
OSコマンドインジェクションの脆弱性があります。結果として、当該製品へア
クセス可能な第三者が、任意のコマンドを実行したり、サービス運用妨害
(DoS)攻撃を行ったりする可能性があります。

対象となるバージョンは次のとおりです。

- UNIVERGE WAシリーズ Ver8.2.11およびそれ以前

この問題は、該当する製品をNECプラットフォームズ株式会社が提供する修正
済みのバージョンに更新することで解決します。詳細は、NECプラットフォー
ムズ株式会社が提供する情報を参照してください。

関連文書 (日本語)

NECプラットフォームズ株式会社
WAシリーズにおける「OS コマンドインジェクション」の脆弱性に関するお知らせ
https://jpn.nec.com/univerge/wa/info/20220309.html

【9】複数のトレンドマイクロ製品に脆弱性

情報源

Japan Vulnerability Notes JVNVU#96777901
トレンドマイクロ製パスワードマネージャーのインストーラにおけるDLL読み込みに関する脆弱性
https://jvn.jp/vu/JVNVU96777901/

Japan Vulnerability Notes JVNVU#99391968
Trend Micro Portable Securityの管理プログラムインストーラにおけるDLL読み込みに関する脆弱性
https://jvn.jp/vu/JVNVU99391968/

概要

複数のトレンドマイクロ製品には、DLL読み込みに関する脆弱性があります。
結果として、第三者が権限昇格を行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

- パスワードマネージャー 5.x Windows版 バージョン5.0.0.1262およびそれ以前のインストーラー
- Trend Micro Portable Security 3.0
- Trend Micro Portable Security 2.0

この問題は、トレンドマイクロ株式会社が提供する最新のインストーラーを使
用するか、トレンドマイクロ株式会社が提供するパッチを適用することで解決
します。詳細は、トレンドマイクロ株式会社が提供する情報を参照してくださ
い。

関連文書 (日本語)

トレンドマイクロ株式会社
アラートアドバイザリ:パスワードマネージャーの脆弱性について (CVE-2022-26337)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10949

トレンドマイクロ株式会社
アラート/アドバイザリ:Trend Micro Portable Securityの管理プログラムインストーラにおける権限昇格の脆弱性について
https://success.trendmicro.com/jp/solution/000290532

【10】Linux Kernelに権限昇格の脆弱性

情報源

CISA Current Activity
Dirty Pipe Privilege Escalation Vulnerability in Linux
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/10/dirty-pipe-privilege-escalation-vulnerability-linux

概要

Linux Kernelには、権限昇格の脆弱性があります。結果として、第三者が管理
者に権限昇格を行う可能性があります。脆弱性には「CVE-2022-0847」が付番
されており、発見者は脆弱性を「Dirty Pipe」と呼称し、脆弱性を実証するコー
ドも公開しています。

脆弱性の発見者によると、対象となるバージョンは次のとおりです。

  - Linux Kernel 5.8以降のバージョン

各Linuxディストリビューションにおける対象バージョンは、ディストリビュー
ターの情報を参照ください。

各ディストリビューターより、本脆弱性を修正したバージョンが公開されてい
ます。各ディストリビューターの情報などを参考にバージョンアップなどの対
応を検討してください。

関連文書 (英語)

CM4all GmbH
The Dirty Pipe Vulnerability
https://dirtypipe.cm4all.com/

The MITRE Corporation
CVE-2022-0847 Detail
https://www.cve.org/CVERecord?id=CVE-2022-0847

Red Hat Customer Portal
CVE-2022-0847
https://access.redhat.com/security/cve/cve-2022-0847

Debian
CVE-2022-0847
https://security-tracker.debian.org/tracker/CVE-2022-0847

SUSE
CVE-2022-0847
https://www.suse.com/security/cve/CVE-2022-0847.html

Ubuntu
CVE-2022-0847
https://ubuntu.com/security/CVE-2022-0847

■今週のひとくちメモ

○JPCERT/CCが「制御システムセキュリティカンファレンス 2022」「JSAC2022」の開催レポートを公開

2022年3月3日、JPCERT/CCは「制御システムセキュリティカンファレンス 2022」
の開催レポートを公開しました。同年2月3日に開催した本カンファレンスは、
国内外の制御システムにおける脅威の現状や制御システムセキュリティのステー
クホルダーによる取り組みを共有し、参加者の制御システムセキュリティ対策の
向上やベストプラクティス確立の一助となることを目的に開催しています。

2022年2月28日、3月8日、JPCERT/CCは「JSAC2022」の開催レポートをそれぞれ
Day1、Day2と分けて公開しました。2022年1月27日、28日に開催した本カンファ
レンスは、日本国内のセキュリティアナリストの底上げを行うため、国内のセ
キュリティアナリストが一堂に会し、インシデント分析・対応に関連する技術
的な知見を共有することを目的に開催しています。

各開催レポートでは、講演の様子や一部講演資料などを公開しています。次回
の開催にもご期待ください。

参考文献 (日本語)

JPCERT/CC Eyes
制御システムセキュリティカンファレンス 2022 開催レポート
https://blogs.jpcert.or.jp/ja/2022/03/ics-conference2022.html

JPCERT/CC Eyes
JSAC2022開催レポート〜DAY1〜
https://blogs.jpcert.or.jp/ja/2022/02/jsac2022report1.html

JPCERT/CC Eyes
JSAC2022開催レポート〜DAY2〜
https://blogs.jpcert.or.jp/ja/2022/03/jsac2022report2.html

■JPCERT/CCからのお願い

  • 本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter