JPCERT コーディネーションセンター

Weekly Report 2022-06-08号

JPCERT-WR-2022-2201
JPCERT/CC
2022-06-08

<<< JPCERT/CC WEEKLY REPORT 2022-06-08 >>>

■05/29(日)〜06/04(土) のセキュリティ関連情報

目 次

【1】Confluence ServerおよびData Centerに任意のコード実行の脆弱性

【2】マイクロソフトサポート診断ツールに任意のコード実行の脆弱性

【3】複数のMozilla製品に脆弱性

【4】トレンドマイクロ製Apex OneおよびApex One SaaSに複数の脆弱性

【5】T&D Data Server および THERMO RECORDER DATA SERVERにディレクトリトラバーサルの脆弱性

【6】WordPress用プラグインModern Events Calendar Liteにクロスサイトスクリプティングの脆弱性

【今週のひとくちメモ】「Internet Week ショーケース 徳島・オンライン」開催のお知らせ

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr222201.txt
https://www.jpcert.or.jp/wr/2022/wr222201.xml

【1】Confluence ServerおよびData Centerに任意のコード実行の脆弱性

情報源

CISA Current Activity
Atlassian Releases New Versions of Confluence Server and Data Center to Address CVE-2022-26134
https://www.cisa.gov/uscert/ncas/current-activity/2022/06/03/atlassian-releases-new-versions-confluence-server-and-data-center

概要

Confluence ServerおよびData Centerには、任意のコード実行の脆弱性があり
ます。

対象となる製品およびバージョンは次のとおりです。

- Confluence ServerおよびConfluence Data Centerの次のバージョン
  - 7.4.17より前の7.4.x系
  - 7.13.7より前の7.13.x系
  - 7.14.3より前の7.14.x系
  - 7.15.2より前の7.15.x系
  - 7.16.4より前の7.16.x系
  - 7.17.4より前の7.17.x系
  - 7.18.1より前の7.18.x系

この問題は、該当する製品をAtlassianが提供する修正済みのバージョンに更
新することで解決します。詳細は、Atlassianが提供するアドバイザリ情報を
参照してください。

関連文書 (日本語)

Atlassian
Confluence Server および Data Center - CVE-2022-26134 -未認証のリモート コード実行についての重大な深刻度の脆弱性
https://ja.confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html

JPCERT/CC 注意喚起
Confluence ServerおよびData Centerの脆弱性(CVE-2022-26134)に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220015.html

【2】マイクロソフトサポート診断ツールに任意のコード実行の脆弱性

情報源

CISA Current Activity
Microsoft Releases Workaround Guidance for MSDT "Follina" Vulnerability
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/31/microsoft-releases-workaround-guidance-msdt-follina-vulnerability

概要

マイクロソフトサポート診断ツールには、第三者が細工したファイルをユー
ザーに実行または読み込ませることで、任意のコードを実行できる脆弱性が
あります。

対象となる製品およびバージョンは次のとおりです。

- Windows OS
  - Windows 11
  - Windows 10
  - Windows 8.1
  - Windows RT 8.1
  - Windows 7
  - Windows Server 2022
  - Windows Server 2019
  - Windows Server 2016
  - Windows Server 2012/2012 R2
  - Windows Server 2008/2008 R2
  - Windows Server, version 20H2 (Server Core Installation)

2022年6月8日時点で、マイクロソフト株式会社から本脆弱性の対策となる更新
プログラムは提供されていません。マイクロソフト株式会社の情報を確認し、
更新プログラムが公開された場合は速やかに適用することを推奨します。

関連文書 (日本語)

マイクロソフト株式会社
CVE-2022-30190 マイクロソフト サポート診断ツールの脆弱性に関するガイダンス
https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability-jp/

マイクロソフト株式会社
Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2022-30190

【3】複数のMozilla製品に脆弱性

情報源

CISA Current Activity
Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird
https://www.cisa.gov/uscert/ncas/current-activity/2022/06/01/mozilla-releases-security-updates-firefox-firefox-esr-and

概要

複数のMozilla製品には、複数の脆弱性があります。結果として、第三者が任
意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 101より前のバージョン
- Mozilla Firefox ESR 91.10より前のバージョン
- Mozilla Thunderbird 91.10より前のバージョン
- Mozilla Firefox for iOS 101より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)

Mozilla
Mozilla Foundation Security Advisory 2022-20
https://www.mozilla.org/en-US/security/advisories/mfsa2022-20/

Mozilla
Mozilla Foundation Security Advisory 2022-21
https://www.mozilla.org/en-US/security/advisories/mfsa2022-21/

Mozilla
Mozilla Foundation Security Advisory 2022-22
https://www.mozilla.org/en-US/security/advisories/mfsa2022-22/

Mozilla
Mozilla Foundation Security Advisory 2022-23
https://www.mozilla.org/en-US/security/advisories/mfsa2022-23/

【4】トレンドマイクロ製Apex OneおよびApex One SaaSに複数の脆弱性

情報源

Japan Vulnerability Notes JVN#90675050
トレンドマイクロ製Apex OneおよびApex One SaaSにおける複数の脆弱性
https://jvn.jp/vu/JVNVU90675050/

概要

Apex OneおよびApex One SaaSには、複数の脆弱性があります。結果として、
脆弱な端末にアクセスできる第三者が、昇格された権限で任意のDLLを読み込
むなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Apex One 2019
- Apex One SaaS

この問題は、該当する製品にトレンドマイクロ株式会社が提供する最新版を適
用することで解決します。なお、Apex One SaaSについては2022年3月のメンテ
ナンスで修正済みとのことです。詳細はトレンドマイクロ株式会社が提供する
情報を参照してください。

関連文書 (日本語)

トレンドマイクロ株式会社
アラート/アドバイザリ:Trend Micro Apex One で確認された複数の脆弱性について (2022年5月)
https://success.trendmicro.com/jp/solution/000291015

【5】T&D Data Server および THERMO RECORDER DATA SERVERにディレクトリトラバーサルの脆弱性

情報源

Japan Vulnerability Notes JVN#28659051
T&D Data Server および THERMO RECORDER DATA SERVER におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN28659051/

概要

T&D Data ServerおよびTHERMO RECORDER DATA SERVERには、ディレクトリ
トラバーサルの脆弱性があります。結果として、遠隔の第三者がサーバー上の
任意のファイルを閲覧する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- T&D Data Server 日本版 Ver.2.22 およびそれ以前のバージョン
- T&D Data Server 英語版 Ver.2.30 およびそれ以前のバージョン
- THERMO RECORDER DATA SERVER 日本版 Ver.2.13 およびそれ以前のバージョン
- THERMO RECORDER DATA SERVER 英語版 Ver.2.13 およびそれ以前のバージョン

この問題は、該当する製品を株式会社ティアンドデイが提供する修正済みの
バージョンに更新することで解決します。詳細は、株式会社ティアンドデイが
提供する情報を参照してください。

関連文書 (日本語)

株式会社ティアンドデイ
「T&D Data Server」「THERMO RECORDER DATA SERVER」の脆弱性発見について
https://www.tandd.co.jp/news/detail.html?id=522

【6】WordPress用プラグインModern Events Calendar Liteにクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#04155116
WordPress 用プラグイン Modern Events Calendar Lite におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN04155116/

概要

WordPress用プラグインModern Events Calendar Liteには、クロスサイトスク
リプティングの脆弱性があります。結果として、攻撃者が当該プラグインを使
用しているサイトにアクセスしているユーザーのウェブブラウザー上で、任意
のスクリプトを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Modern Events Calendar Lite 6.3.0より前のバージョン

この問題は、該当する製品をWebnusが提供する修正済みのバージョ
ンに更新することで解決します。詳細は、Webnusが提供する情報を
参照してください。

関連文書 (英語)

Webnus
Modern Events Calendar Lite
https://webnus.net/modern-events-calendar/lite/

■今週のひとくちメモ

○「Internet Week ショーケース 徳島・オンライン」開催のお知らせ

2022年6月23日より、一般社団法人日本ネットワークインフォメーションセン
ター(JPNIC)は「Internet Week ショーケース 徳島・オンライン」を、現地会
場とオンライン配信のハイブリッドで開催します。インターネットの技術者お
よびインターネット技術と社会動向に興味のある方を対象に、インターネット
基盤技術の普及や、議論の場・交流の場の提供を目的とするイベントです。
JPCERT/CCは本イベントを後援、6月23日(木)ハンズオンDayでは「インシデント
対応ハンズオン」を、6月24日(金)カンファレンスDayでは、「サイバー攻撃
2021+」を講演します。公式Webサイトにて、プログラム内容を公開しており、
参加登録の受付も開始しています。

参考文献 (日本語)

Internet Week ショーケース 徳島・オンライン
開催概要ページ
https://www.nic.ad.jp/sc-tokushima/

Internet Week ショーケース 徳島・オンライン
参加申込ページ
https://www.nic.ad.jp/sc-tokushima/apply/

■JPCERT/CCからのお願い

  • 本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter