<<< JPCERT/CC WEEKLY REPORT 2022-06-22 >>>
■06/12(日)〜06/18(土) のセキュリティ関連情報
目 次
【1】複数のマイクロソフト製品に脆弱性
【2】複数のアドビ製品に脆弱性
【3】複数のIntel製品に脆弱性
【4】複数のSAP製品に脆弱性
【5】複数のCisco製品に脆弱性
【6】Drupalのサードパーティライブラリに脆弱性
【7】Citrix Application Delivery Managementに脆弱性
【8】Gitlabにサーバサイドリクエストフォージェリの脆弱性
【9】GROWIに不十分なパスワード強度の脆弱性
【今週のひとくちメモ】経済産業省が「サイバーセキュリティ体制構築・人材確保の手引き」(第2.0版)を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr222401.txt
https://www.jpcert.or.jp/wr/2022/wr222401.xml
【1】複数のマイクロソフト製品に脆弱性
情報源
CISA Current Activity
Microsoft Releases June 2022 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/06/14/microsoft-releases-june-2022-security-updates
概要
複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三 者が任意のコードを実行するなどの可能性があります。 対象となる製品は、多岐にわたります。詳細はマイクロソフト株式会社が提供 するアドバイザリ情報を参照してください。 この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく ださい。
関連文書 (日本語)
マイクロソフト株式会社
2022 年 6 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2022-JunJPCERT/CC 注意喚起
2022年6月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2022/at220016.html
【2】複数のアドビ製品に脆弱性
情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/06/14/adobe-releases-security-updates-multiple-products
概要
複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー ドを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Adobe Animate - Adobe Bridge - Adobe Illustrator - Adobe InCopy - Adobe InDesign - Adobe RoboHelp Server この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す ることで解決します。詳細は、アドビが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2022061502.html
関連文書 (英語)
アドビ
Security updates available for Adobe Animate | APSB22-24
https://helpx.adobe.com/security/products/animate/apsb22-24.htmlアドビ
Security Updates Available for Adobe Bridge | APSB22-25
https://helpx.adobe.com/security/products/bridge/apsb22-25.htmlアドビ
Security Updates Available for Adobe Illustrator | APSB22-26
https://helpx.adobe.com/security/products/illustrator/apsb22-26.htmlアドビ
Security Update Available for Adobe InCopy | APSB22-29
https://helpx.adobe.com/security/products/incopy/apsb22-29.htmlアドビ
Security Update Available for Adobe InDesign | APSB22-30
https://helpx.adobe.com/security/products/indesign/apsb22-30.htmlアドビ
Security hotfix available for RoboHelp Server | APSB22-31
https://helpx.adobe.com/security/products/robohelp-server/apsb22-31.html
【3】複数のIntel製品に脆弱性
情報源
Japan Vulnerability Notes JVNVU#94721039
Intel製品に複数の脆弱性(2022年6月)
https://jvn.jp/vu/JVNVU94721039/
概要
Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security Center Advisoriesが公開されました。 詳細は、Intelが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Intel製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2022061501.html
関連文書 (英語)
Intel
Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html
【4】複数のSAP製品に脆弱性
情報源
CISA Current Activity
SAP Releases June 2022 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/06/14/sap-releases-june-2022-security-updates
概要
複数のSAP製品には、脆弱性があります。結果として、第三者がシステムを制 御するなどの可能性があります。 対象となる製品は、多岐にわたります。詳細はSAPが提供するアドバイザリ情 報を参照してください。 この問題は、該当する製品をSAPが提供する修正済みのバージョンに更新する ことで解決します。詳細は、SAPが提供する情報を参照してください。
関連文書 (英語)
SAP
SAP Security Patch Day June 2022
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a
【5】複数のCisco製品に脆弱性
情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/06/16/cisco-releases-security-updates-multiple-products
概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が任意 のコードを実行するなどの可能性があります。 対象となる製品は、多岐にわたります。詳細や最新の情報については、Cisco が提供するアドバイザリ情報を参照してください。 この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Ciscoが提供する情報を参照してください。
関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.xCisco
Cisco Email Security Appliance and Cisco Secure Email and Web Manager External Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sma-esa-auth-bypass-66kEcxQDCisco
Cisco Small Business RV110W, RV130, RV130W, and RV215W Routers Remote Command Execution and Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sb-rv-overflow-s2r82P9v
【6】Drupalのサードパーティライブラリに脆弱性
情報源
CISA Current Activity
Drupal Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/06/13/drupal-releases-security-updates
概要
Drupalが使用するサードパーティライブラリGuzzleには、脆弱性があります。 結果として、遠隔の第三者がWebサイトを制御するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Drupal 9.4.0-rc2より前の9.4系バージョン - Drupal 9.3.16より前の9.3系バージョン - Drupal 9.2.21より前の9.2系バージョン なお、Drupal 9.2系より前の9系のバージョンはサポートが終了しており、今 回のセキュリティに関する情報は提供されていません。また、Drupal 7系は本 脆弱性の影響を受けないとのことです。 この問題は、Drupalを開発者が提供する修正済みのバージョンに更新すること で解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (英語)
Drupal
Drupal core - Moderately critical - Third-party libraries - SA-CORE-2022-011
https://www.drupal.org/sa-core-2022-011
【7】Citrix Application Delivery Managementに脆弱性
情報源
CISA Current Activity
Citrix Releases Security Updates for Application Delivery Management
https://www.cisa.gov/uscert/ncas/current-activity/2022/06/14/citrix-releases-security-updates-application-delivery-management
概要
Citrix Application Delivery Management(ADM)のサーバーおよびエージェ ントには、脆弱性があります。結果として、第三者によって管理者パスワード がリセットされ、デバイスにSSH接続されるなどの可能性があります。 対象となるバージョンは次のとおりです。 - Citrix ADM 13.1-21.53より前の13.1系バージョン - Citrix ADM 13.0-85.19より前の13.0系バージョン なお、Citrix ADM 12.1系はサポートが終了しており、今回のセキュリティに 関する情報は提供されていません。 この問題は、該当する製品をCitrixが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Citrixが提供する情報を参照してください。
関連文書 (英語)
Citrix
Citrix Application Delivery Management Security Bulletin for CVE-2022-27511 and CVE-2022-27512
https://support.citrix.com/article/CTX460016/citrix-application-delivery-management-security-bulletin-for-cve202227511-and-cve202227512
【8】Gitlabにサーバサイドリクエストフォージェリの脆弱性
情報源
Japan Vulnerability Notes JVN#93667442
Gitlab におけるサーバサイドリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN93667442/
概要
Gitlabには、サーバーサイドリクエストフォージェリの脆弱性があります。結 果として、GitLabインスタンスのネットワーク内で、第三者が任意のHTTP/H TTPSまたはgitリクエストを行う可能性があります。 対象となるバージョンは次のとおりです。 - Gitlab 14.7 から 14.7.1 より前のバージョン - Gitlab 14.6 から 14.6.4 より前のバージョン - Gitlab 10.5 から 14.5.4 より前のバージョン この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (英語)
GitLab
GitLab Security Release: 14.7.1, 14.6.4, and 14.5.4 | Blind SSRF Through Project Import
https://about.gitlab.com/releases/2022/02/03/security-release-gitlab-14-7-1-released/#blind-ssrf-through-project-import
【9】GROWIに不十分なパスワード強度の脆弱性
情報源
Japan Vulnerability Notes JVNVU#96438711
Growiにおける不十分なパスワード強度の脆弱性
https://jvn.jp/vu/JVNVU96438711/
概要
GROWIには、不十分なパスワード強度の脆弱性があります。結果として、パス ワード総当たり攻撃により不正にログインされる可能性があります。 対象となるバージョンは次のとおりです。 - GROWI v5.0.0より前のバージョン この問題は、該当する製品を株式会社WESEEKが提供する修正済みのバージョン に更新することで解決します。詳細は、株式会社WESEEKが提供する情報を参照 してください。
関連文書 (日本語)
株式会社WESEEK
GROWI 脆弱性対応のお知らせ (JVNVU#96438711)
https://weseek.co.jp/ja/news/2022/06/14/growi-weak-password-requirements/
■今週のひとくちメモ
○経済産業省が「サイバーセキュリティ体制構築・人材確保の手引き」(第2.0版)を公開
経済産業省は、企業がサイバーセキュリティ経営ガイドラインに基づいて組織 体制を構築し、必要な人材を確保するためのポイントをまとめた『サイバーセ キュリティ体制構築・人材確保の手引き』をリニューアルし、第2.0版として 公開しました。第2.0版では、第1.1版(2021年4月公開)をもとに、読みやす さを重視しポイントをしぼって検討手順を明確化するとともに、業務遂行にあ たってセキュリティを意識し、必要かつ十分なセキュリティ対策を実現できる 能力を身につけるあるいは身につけている状態をさす「プラス・セキュリティ」 を踏まえ、一部内容の更新・拡充を行っています。
参考文献 (日本語)
経済産業省
「サイバーセキュリティ体制構築・人材確保の手引き」(第2.0版)をとりまとめました
https://www.meti.go.jp/policy/netsecurity/tebiki_taisei_jinzai.html
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/
前
コメント
共 有
