CISA Current Activity
Microsoft Releases May 2022 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/11/microsoft-releases-may-2022-security-updates

CISA Current Activity
Microsoft Releases Security Advisory for Azure Data Factory and Azure Synapse Pipelines
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/10/microsoft-releases-security-advisory-azure-data-factory-and-azure

概要

複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はマイクロソフト株式会社が提供
するアドバイザリ情報を参照してください。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく
ださい。

【2】複数のアドビ製品に脆弱性

情報源

CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/12/adobe-releases-security-updates-multiple-products

概要

複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe Character Animator
- Adobe ColdFusion
- Adobe InDesign
- Adobe Framemaker
- Adobe InCopy

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

【3】複数のIntel製品に脆弱性

情報源

Japan Vulnerability Notes JVNVU#93344744
Intel製品に複数の脆弱性（2022年5月）
https://jvn.jp/vu/JVNVU93344744/

概要

Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security Center
Advisoriesが公開されました。

詳細は、Intelが提供する情報を参照してください。

【4】Google Chromeに複数の脆弱性

情報源

CISA Current Activity
Google Releases Security Updates for Chrome
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/11/google-releases-security-updates-chrome

概要

Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 101.0.4951.64より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

【5】FUJITSU Network IPCOMの運用管理インタフェースに複数の脆弱性

情報源

Japan Vulnerability Notes JVN#96561229
FUJITSU Network IPCOM の運用管理インタフェースにおける複数の脆弱性
https://jvn.jp/jp/JVN96561229/

概要

富士通株式会社が提供するFUJITSU Network IPCOMの運用管理インタフェース
には、複数の脆弱性があります。結果として、遠隔の第三者が任意のOSコマン
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- IPCOM EX2シリーズ
- IPCOM EXシリーズ
- IPCOM VE2シリーズ
- IPCOM VA2/VE1シリーズ

この問題は、該当する製品を富士通株式会社が提供する修正済みのバージョン
に更新するか、回避策を適用することで解決します。詳細は、富士通株式会社
が提供する情報を参照してください。

【6】トレンドマイクロ製スマートホームスキャナーWindows版に脆弱性

情報源

Japan Vulnerability Notes JVNVU#93434935
トレンドマイクロ製スマートホームスキャナー（Windows版）のインストーラにおけるDLL読み込みに関する脆弱性
https://jvn.jp/vu/JVNVU93434935/

概要

トレンドマイクロ株式会社が提供するスマートホームスキャナーWindows版に
は脆弱性があります。結果として、第三者が不正なDLLを作成することで管理
者権限を取得する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- スマートホームスキャナーWindows版5.3.1220およびそれ以前のバージョン

この問題は、トレンドマイクロ株式会社が提供する最新のインストーラーを使
用することで解決します。詳細は、トレンドマイクロ株式会社が提供する情報
を参照してください。

【7】QNAP製ネットワークビデオレコーダー製品にコマンドインジェクションの脆弱性

情報源

Japan Vulnerability Notes JVNVU#95992089
QNAP製ネットワークビデオレコーダー製品にコマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU95992089/

概要

QNAP Systems製ネットワークビデオレコーダーであるVioStarシリーズには、
コマンドインジェクションの脆弱性があります。結果として、遠隔の第三者が
任意のコマンドを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- QNAP NVR VioStarシリーズ 5.1.6 build 20220401より前のバージョン

この問題は、該当する製品をQNAP Systemsが提供する修正済みのバージョンに
更新することで解決します。詳細は、QNAP Systemsが提供する情報を参照して
ください。

【8】GENEREX SYSTEMS製RCCMDにディレクトリトラバーサルの脆弱性

情報源

Japan Vulnerability Notes JVN#60801132
GENEREX SYSTEMS 製 RCCMD におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN60801132/

概要

GENEREX SYSTEMS製RCCMDには、ディレクトリトラバーサルの脆弱性があります。
結果として、第三者がサーバー上の任意のファイルを閲覧するなどの可能性が
あります。

対象となる製品およびバージョンは次のとおりです。

- RCCMD 4.26およびそれ以前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

【9】Qt製Windowsアプリケーションに権限昇格の脆弱性

情報源

Japan Vulnerability Notes JVNVU#92669710
Qt製Windowsアプリケーションにおける権限昇格の脆弱性
https://jvn.jp/vu/JVNVU92669710/

概要

The Qt Companyが提供するQtを使って作成されたWindowsアプリケーションに
は、qt_prfxpath値のハードコーディングに起因する権限昇格の脆弱性があり
ます。Windowsシステムの一般ユーザーがqt_prfxpathが指しているディレクト
リにファイルを用意しておくことで、当該Qtアプリの権限で任意のコードを実
行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

Qt開発環境およびデプロイツールwindeployqtを使用して作成されたアプリケーション
- Qt 5.14より前のバージョン
- windeployqt、commit:c2952ff8df1e18fe0120d8b29901b0b794afccc7以降を取り込んでいないバージョン

この問題は、該当する製品をThe Qt Companyが提供する修正済みのバージョン
に更新するか、回避策を適用することで解決します。詳細は、The Qt Company
が提供する情報を参照してください。

【10】光洋電子工業製Screen Creator Advance2に認証回避の脆弱性

情報源

Japan Vulnerability Notes JVN#50337155
光洋電子工業製 Screen Creator Advance2 における認証回避の脆弱性
https://jvn.jp/jp/JVN50337155/

概要

光洋電子工業株式会社が提供するScreen Creator Advance2には、認証回避の
脆弱性があります。結果として、第三者が保存されたデータを閲覧したり、削
除したりするなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Screen Creator Advance2 Ver.0.1.1.3 Build01より前のバージョン

この問題は、該当する製品を光洋電子工業株式会社が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、光洋電子工業株式会社が提供す
る情報を参照してください。

【11】複数の明京電機製品に脆弱性

情報源

Japan Vulnerability Notes JVN#58266015
複数の明京電機製品における複数の脆弱性
https://jvn.jp/jp/JVN58266015/

概要

複数の明京電機製品には、脆弱性があります。結果として、第三者がユーザー
のウェブブラウザー上で、任意のスクリプトを実行するなどの可能性がありま
す。

対象となる製品およびバージョンは次のとおりです。

- リブーター
  - WATCH BOOT nino RPC-M2C [販売終了製品] すべてのファームウェアバージョン
  - WATCH BOOT light RPC-M5C [販売終了製品] すべてのファームウェアバージョン
  - WATCH BOOT L-zero RPC-M4L [販売終了製品] すべてのファームウェアバージョン
  - WATCH BOOT mini RPC-M4H [販売終了製品] すべてのファームウェアバージョン
  - WATCH BOOT nino RPC-M2CS ファームウェアバージョン 1.00Aから1.00Dまで
  - WATCH BOOT light RPC-M5CS ファームウェアバージョン 1.00Aから1.00Dまで
  - WATCH BOOT L-zero RPC-M4LS ファームウェアバージョン 1.00Aから1.20Aまで
  - サイネージリブーター RPC-M4HSi ファームウェアバージョン 1.00A
- PoE リブーター
  - PoE BOOT nino PoE8M2 ファームウェアバージョン 1.00Aから1.20Aまで
- スケジューラー
  - TIME BOOT mini RSC-MT4H [販売終了製品] すべてのファームウェアバージョン
  - TIME BOOT RSC-MT8F [販売終了製品] すべてのファームウェアバージョン
  - TIME BOOT RSC-MT8FP [販売終了製品] すべてのファームウェアバージョン
  - TIME BOOT mini RSC-MT4HS ファームウェアバージョン 1.00Aから1.10Aまで
  - TIME BOOT RSC-MT8FS ファームウェアバージョン 1.00Aから1.00Eまで
- 接点コンバーター
  - POSE SE10-8A7B1 ファームウェアバージョン 1.00Aから1.20Aまで

この問題は、該当する製品のファームウェアを明京電機株式会社が提供する修
正済みのバージョンに更新すること、および回避策を適用することで解決しま
す。詳細は、明京電機株式会社が提供する情報を参照してください。

【12】EC-CUBE用プラグイン「簡単ブログ for EC-CUBE4」にクロスサイトリクエストフォージェリの脆弱性

情報源

Japan Vulnerability Notes JVN#46241173
EC-CUBE 用プラグイン「簡単ブログ for EC-CUBE4」におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN46241173/

概要

EC-CUBE用プラグイン「簡単ブログ for EC-CUBE4」には、クロスサイトリクエ
ストフォージェリの脆弱性があります。結果として、当該プラグインがインス
トールされたEC-CUBEにログインした管理者権限を持つユーザーが、細工された
ページにアクセスした場合、当該プラグインのブログ記事やカテゴリが削除さ
れる可能性があります。

対象となる製品およびバージョンは次のとおりです。

- EC-CUBE用プラグイン「簡単ブログ for EC-CUBE4」Ver.1.0.1およびそれ以前のバージョン

この問題は、該当する製品を株式会社コアモバイルが提供する修正済みのバー
ジョンに更新することで解決します。詳細は、株式会社コアモバイルが提供す
る情報を参照してください。

【13】「TRANSITS Workshop 2022 Summer開催」開催のお知らせ

情報源

日本シーサート協議会
TRANSITS Workshop 2022 Summer開催
https://www.nca.gr.jp/2022/transits-summer/index.html

概要

2022年7月13日（水）、7月15日（金）の3日間にわたり、「TRANSITS Workshop
2022 Summer開催」が開催されます。日本シーサート協議会が主催する本イベ
ントは、CSIRTの設立の促進、既存のCSIRTの対応能力向上を目的としたプロジェ
クト「TRANSITS」によるトレーニングを行い、CSIRT業務に必要な知識を身に
つけることを目的としています。JPCERT/CCは本イベントでの講演、および運
営に協力しています。

参加には事前申し込みが必要です。参加登録は申込先着順で、定員になり次第
締め切りとなります。詳しくはWebを参照してください。

■今週のひとくちメモ

○経済産業省が「OSSの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集」を拡充

2022年5月10日、経済産業省は昨年4月に公開した「OSSの利活用及びそのセキュ
リティ確保に向けた管理手法に関する事例集」を拡充し、資料を公開しました。
多くの企業がOSSを含むソフトウェアの管理手法、脆弱性対応等に課題を抱え
ている現状に対し、産業界での知見の共有を推進することを目当てとして、OSS
の管理手法等に関して参考になる取組を実施している企業へのヒアリング等の
結果を取りまとめ、OSS利活用するに当たって留意すべきポイントを整理した
資料です。今回は、2021年度もOSS利活用の取組をヒアリングした結果をまと
め、OSSの脆弱性対応など管理手法の実践が盛り込まれています。

参考文献 (日本語)

経済産業省
オープンソースソフトウェアの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集を拡充しました
https://www.meti.go.jp/press/2022/05/20220510001/20220510001.html

■JPCERT/CCからのお願い

本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2022-05-18号

<<< JPCERT/CC WEEKLY REPORT 2022-05-18 >>>

■05/08(日)〜05/14(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

○経済産業省が「OSSの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集」を拡充

参考文献 (日本語)

■JPCERT/CCからのお願い

目　次