<<< JPCERT/CC WEEKLY REPORT 2022-07-13 >>>

■07/03(日)〜07/09(土) のセキュリティ関連情報

目　次

【1】複数のCisco製品に脆弱性

【2】OpenSSLに複数の脆弱性

【3】Google Chromeに複数の脆弱性

【4】Passage Driveにデータ検証不備の脆弱性

【5】サイボウズ Garoon に複数の脆弱性

【6】LiteCartにクロスサイトスクリプティングの脆弱性

【今週のひとくちメモ】オフィスと自宅のWi-Fi接続端末をサイバースパイから守る

【1】複数のCisco製品に脆弱性

情報源

CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/07/07/cisco-releases-security-updates-multiple-products

概要

複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が任意
のファイルを上書きするなどの可能性があります。

影響度CriticalおよびHighの脆弱性情報に記載されている製品は次のとおりです。

- Cisco Expressway Series software and Cisco TelePresence VCS software
- Cisco SSM On-Prem and Cisco SSM Satellite

上記製品以外にも、影響度Mediumの複数の脆弱性情報が公開されています。詳
細はCiscoが提供する情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供するアドバイザリ情報を参照して
ください。

関連文書 (英語)

Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【2】OpenSSLに複数の脆弱性

情報源

CISA Current Activity
OpenSSL Releases Security Update
https://www.cisa.gov/uscert/ncas/current-activity/2022/07/06/openssl-releases-security-update

概要

OpenSSLには、複数の脆弱性が存在します。結果として、遠隔の第三者が任意
のコード実行を行う可能性などがあります。

対象となるバージョンは次のとおりです。

- OpenSSL 1.1.1qより前の1.1.1系のバージョン
- OpenSSL 3.0.5より前の3.0系のバージョン

この問題は、OpenSSLをOpenSSL Projectが提供する修正済みのバージョンに更
新することで解決します。詳細は、OpenSSL Projectが提供する情報を参照し
てください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#96381485
OpenSSLに複数の脆弱性
https://jvn.jp/vu/JVNVU96381485/

関連文書 (英語)

OpenSSL
OpenSSL Security Advisory [5 July 2022]
https://www.openssl.org/news/secadv/20220705.txt

【3】Google Chromeに複数の脆弱性

情報源

CISA Current Activity
Google Releases Security Update for Chrome
https://www.cisa.gov/uscert/ncas/current-activity/2022/07/05/google-releases-security-update-chrome

概要

Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 103.0.5060.114より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/07/stable-channel-update-for-desktop.html

【4】Passage Driveにデータ検証不備の脆弱性

情報源

Japan Vulnerability Notes JVN#23766146
Passage Drive にデータ検証不備の脆弱性
https://jvn.jp/jp/JVN23766146/

概要

横河レンタ・リース株式会社製のPassage Driveには、プロセス間通信におけ
るデータ検証不備の脆弱性が存在します。結果として、当該製品が動作する
WindowsシステムのLocalSystem権限で、任意のOSコマンドを実行される可能性
があります。

対象となるバージョンは次のとおりです。

- Passage Drive v1.4.0 から v1.5.1.0 までのバージョン
- Passage Drive for Box v1.0.0

この問題について、横河レンタ・リース株式会社より修正済みのバージョンの
提供が提供されています。詳細は、横河レンタ・リース株式会社が提供する情
報を参照してください。

関連文書 (日本語)

横河レンタ・リース株式会社
[Passage Drive]Passage Drive 任意のコード実行の脆弱性に関するご報告
https://www.yrl.com/fwp_support/info/a1hrbt0000002037.html

【5】サイボウズ Garoon に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#14077132
サイボウズ Garoon に複数の脆弱性
https://jvn.jp/jp/JVN14077132/

概要

サイボウズ株式会社が提供するサイボウズ Garoonには、複数の脆弱性があり
ます。結果として、当該製品にログイン可能なユーザーが、ファイル情報を
改ざんしたりファイルを削除したりするなどの可能性があります。

対象となるバージョンは次のとおりです。

- サイボウズ Garoon 4.0.0から5.9.1までのバージョン

この問題は、サイボウズ Garoonを開発者が提供する修正済みのバージョンに
更新することで解決します。詳細は、開発者が提供する情報を参照してくださ
い。

関連文書 (日本語)

サイボウズ株式会社
パッケージ版 Garoon 脆弱性に関するお知らせ
https://cs.cybozu.co.jp/2022/007682.html

【6】LiteCartにクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#32625020
LiteCart におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN32625020/

概要

LiteCart には、クロスサイトスクリプティングの脆弱性が存在します。
結果として、当該製品を使用しているサイトにアクセスしているユーザのWeb
ブラウザ上で、任意のスクリプトを実行される可能性があります。

対象となるバージョンは次のとおりです。

- LiteCart 2.4.2より前のバージョン

この問題について、開発者より修正済みのバージョンが提供されています。詳
細は、開発者が提供する情報を参照してください。

関連文書 (英語)

GitHub
litecart /litecart
https://github.com/litecart/litecart

■今週のひとくちメモ

○オフィスと自宅のWi-Fi接続端末をサイバースパイから守る

昨年から今年にかけて、Wi-Fiで正規のアクセスポイントを偽装して、標的ユ
ーザに自ら設定した偽のアクセスポイントを経由させることで、重要情報を搾
取する事案が多数発生しています。本コラムでは、当該事案の具体例と共に、
被害を軽減する対策について紹介しています。

参考文献 (日本語)

デジタル・フォレンジック研究会
オフィスと自宅のWi-Fi接続端末をサイバースパイから守る
https://digitalforensic.jp/2022/07/04/columu724/

■JPCERT/CCからのお願い