<<< JPCERT/CC WEEKLY REPORT 2022-04-20 >>>

■04/10(日)〜04/16(土) のセキュリティ関連情報

目　次

【1】複数のマイクロソフト製品に脆弱性

【2】複数のアドビ製品に脆弱性

【3】Google Chromeに複数の脆弱性

【4】複数のCisco製品に脆弱性

【5】複数のJuniper Networks製品に脆弱性

【6】複数のCitrix製品に脆弱性

【7】Apache Struts 2に任意のコードが実行可能な脆弱性

【8】VMware Cloud Directorに任意のコードが実行可能な脆弱性

【今週のひとくちメモ】2022年1月〜2022年3月分の「活動四半期レポート」「インシデント報告対応レポート」を公開

【1】複数のマイクロソフト製品に脆弱性

情報源

CISA Current Activity
Microsoft Releases April 2022 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/04/12/microsoft-releases-april-2022-security-updates

CISA Current Activity
Microsoft Releases Advisory to Address Critical Remote Code Execution Vulnerability (CVE-2022-26809)
https://www.cisa.gov/uscert/ncas/current-activity/2022/04/13/microsoft-releases-advisory-address-critical-remote-code-execution

概要

複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はマイクロソフト株式会社が提供
するアドバイザリ情報を参照してください。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく
ださい。

関連文書 (日本語)

マイクロソフト株式会社
2022 年 4 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2022-Apr

JPCERT/CC 注意喚起
2022年4月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2022/at220010.html

【2】複数のアドビ製品に脆弱性

情報源

アドビ
Security update available for Adobe Commerce | APSB22-13
https://helpx.adobe.com/security/products/magento/apsb22-13.html

アドビ
Security update available for Adobe Acrobat and Reader | APSB22-16
https://helpx.adobe.com/security/products/acrobat/apsb22-16.html

アドビ
Security Updates Available for Adobe After Effects | APSB22-19
https://helpx.adobe.com/security/products/after_effects/apsb22-19.html

アドビ
Security update available for Adobe Photoshop | APSB22-20
https://helpx.adobe.com/security/products/photoshop/apsb22-20.html

概要

複数のアドビ製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe Acrobat
- Adobe Acrobat Reader
- Adobe Commerce
- Adobe After Effects
- Adobe Photoshop

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC 注意喚起
Adobe AcrobatおよびReaderの脆弱性（APSB22-16）に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220009.html

JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2022041301.html

【3】Google Chromeに複数の脆弱性

情報源

CISA Current Activity
Google Releases Security Updates for Chrome
https://www.cisa.gov/uscert/ncas/current-activity/2022/04/15/google-releases-security-updates-chrome

概要

Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 100.0.4896.127より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/04/stable-channel-update-for-desktop_14.html

【4】複数のCisco製品に脆弱性

情報源

CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/04/14/cisco-releases-security-updates-multiple-products

概要

複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が認証
を回避するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細や最新の情報については、Cisco
が提供するアドバイザリ情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供するアドバイザリ情報を参照して
ください。

関連文書 (英語)

Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【5】複数のJuniper Networks製品に脆弱性

情報源

CISA Current Activity
Juniper Networks Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/04/14/juniper-networks-releases-security-updates-multiple-products

概要

複数のJuniper Networks製品には、脆弱性があります。結果として、遠隔の第
三者がサービス運用妨害（DoS）攻撃を行うなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はJuniper Networksが提供するア
ドバイザリ情報を参照してください。

この問題は、該当する製品をJuniper Networksが提供する修正済みのバージョ
ンに更新することで解決します。詳細は、Juniper Networksが提供する情報を
参照してください。

関連文書 (英語)

Juniper Networks
Juniper Support Portal Search Results - Security Advisories
https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES

【6】複数のCitrix製品に脆弱性

情報源

CISA Current Activity
Citrix Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/04/12/citrix-releases-security-updates-multiple-products

概要

複数のCitrix製品には、脆弱性があります。結果として、当該製品にアクセス
したユーザーのウェブブラウザー上で、任意のスクリプトを実行されるなどの
可能性があります。

対象となる製品は、多岐にわたります。詳細はCitrixが提供する情報を参照し
てください。

この問題は、該当する製品をCitrixが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Citrixが提供する情報を参照してください。

関連文書 (英語)

Citrix
Citrix SD-WAN Security Bulletin for CVE-2022-27505 and CVE-2022-27506
https://support.citrix.com/article/CTX370550

Citrix
Citrix StoreFront Security Bulletin for CVE-2022-27503
https://support.citrix.com/article/CTX377814

Citrix
Citrix Endpoint Management (XenMobile Server) Security Bulletin for CVE-2021-44519, CVE-2021-44520, and CVE-2022-26151
https://support.citrix.com/article/CTX370551

Citrix
Citrix Gateway Plug-in for Windows Security Bulletin for CVE-2022-21827
https://support.citrix.com/article/CTX341455

【7】Apache Struts 2に任意のコードが実行可能な脆弱性

情報源

CISA Current Activity
Apache Releases Security Advisory for Struts 2
https://www.cisa.gov/uscert/ncas/current-activity/2022/04/12/apache-releases-security-advisory-struts-2

概要

The Apache Software Foundationが提供するApache Struts 2には、不適切な
入力確認に起因する任意のコードが実行可能な脆弱性があります。結果として、
遠隔の第三者が、任意のコードを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Apache Struts 2.0.0から2.5.29までのバージョン

この問題は、Apache Struts 2をThe Apache Software Foundationが提供する
修正済みのバージョンに更新することで解決します。詳細はThe Apache Software
Foundationが提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#96910606
Apache Struts 2において任意のコードを実行される脆弱性（S2-062）
https://jvn.jp/vu/JVNVU96910606/

JPCERT/CC 注意喚起
Apache Struts 2の脆弱性（S2-062）に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220011.html

関連文書 (英語)

The Apache Software Foundation
S2-062
https://cwiki.apache.org/confluence/display/WW/S2-062

【8】VMware Cloud Directorに任意のコードが実行可能な脆弱性

情報源

CISA Current Activity
VMware Releases Security Updates for Cloud Director
https://www.cisa.gov/uscert/ncas/current-activity/2022/04/15/vmware-releases-security-updates-cloud-director

概要

VMware Cloud Directorには、任意のコードが実行可能な脆弱性があります。
結果として、遠隔の第三者が該当するサーバーにアクセスする可能性がありま
す。

対象となるバージョンは次のとおりです。

- VMware Cloud Director バージョン10.3系
- VMware Cloud Director バージョン10.2系
- VMware Cloud Director バージョン10.1系

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、VMwareが提供する情報を参照してください。

関連文書 (英語)

VMware
VMSA-2022-0013
https://www.vmware.com/security/advisories/VMSA-2022-0013.html

■今週のひとくちメモ

○2022年1月〜2022年3月分の「活動四半期レポート」「インシデント報告対応レポート」を公開

2022年4月14日、JPCERT/CCは2022年1月〜2022年3月分の「活動四半期レポート」
「インシデント報告対応レポート」を公開しました。本四半期中のJPCERT/CC
の国内外の活動に加え、JPCERT/CCが報告を受け付けたインシデントの統計や
事例などについてまとめています。参考資料としてご活用ください。

参考文献 (日本語)

JPCERT/CC
JPCERT/CC 活動四半期レポート [2022年1月1日〜2022年3月31日]
https://www.jpcert.or.jp/pr/2022/PR_Report2021Q4.pdf

JPCERT/CC
JPCERT/CC インシデント報告対応レポート [2022年1月1日〜2022年3月31日]
https://www.jpcert.or.jp/pr/2022/IR_Report2021Q4.pdf

■JPCERT/CCからのお願い