<<< JPCERT/CC WEEKLY REPORT 2022-07-21 >>>
■07/10(日)〜07/16(土) のセキュリティ関連情報
目 次
【1】複数のCitrix製品に情報漏えいの問題
【2】複数のSAP製品に脆弱性
【3】複数のマイクロソフト製品に脆弱性
【4】複数のアドビ製品に脆弱性
【5】DjangoのExtract関数およびTrunc関数にSQLインジェクションの脆弱性
【6】複数のIntel製品に脆弱性
【今週のひとくちメモ】JPCERT/CCが「なぜ、SSL-VPN製品の脆弱性は放置されるのか “サプライチェーン”攻撃という言葉の陰で見過ごされている攻撃原因について」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr222801.txt
https://www.jpcert.or.jp/wr/2022/wr222801.xml
【1】複数のCitrix製品に情報漏えいの問題
情報源
CISA Current Activity
Citrix Releases Security Updates for Hypervisor
https://www.cisa.gov/uscert/ncas/current-activity/2022/07/12/citrix-releases-security-updates-hypervisor
概要
複数のCitrix製品には、AMD CPUハードウェアの脆弱性の影響で情報が漏えい する問題があります。結果として、ゲストVM上の第三者がホスト上のRAMメモ リの内容を推測する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Citrix Hypervisor 8.2 CU1 LTSR - Citrix XenServer 7.1 CU2 LTSR この問題は、該当する製品にCitrixが提供するhotfixを適用することで解決し ます。詳細は、Citrixが提供する情報を参照してください。
関連文書 (英語)
Citrix
Citrix Hypervisor Security Bulletin for CVE-2022-23825 and CVE-2022-29900
https://support.citrix.com/article/CTX461397/citrix-hypervisor-security-bulletin-for-cve202223816-and-cve202223825
【2】複数のSAP製品に脆弱性
情報源
CISA Current Activity
SAP Releases July 2022 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/07/12/sap-releases-july-2022-security-updates
概要
複数のSAP製品には、脆弱性があります。結果として、遠隔の第三者が情報を 窃取するなどの可能性があります。 対象となる製品は、多岐にわたります。詳細はSAPが提供するアドバイザリ情 報を参照してください。 この問題は、該当する製品をSAPが提供する修正済みのバージョンに更新する ことで解決します。詳細は、SAPが提供する情報を参照してください。
関連文書 (英語)
SAP
SAP Security Patch Day - July 2022
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a
【3】複数のマイクロソフト製品に脆弱性
情報源
CISA Current Activity
Microsoft Releases July 2022 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/07/12/microsoft-releases-july-2022-security-updates
概要
複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三 者が任意のコードを実行するなどの可能性があります。 対象となる製品は、多岐にわたります。詳細はマイクロソフト株式会社が提供 するアドバイザリ情報を参照してください。 この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく ださい。
関連文書 (日本語)
マイクロソフト株式会社
2022 年 7 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2022-JulJPCERT/CC 注意喚起
2022年7月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2022/at220018.html
【4】複数のアドビ製品に脆弱性
情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/07/12/adobe-releases-security-updates-multiple-products
概要
複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー ドを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Adobe Acrobat - Adobe Acrobat Reader - Adobe RoboHelp - Adobe Character Animator - Adobe Photoshop この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す ることで解決します。詳細は、アドビが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC 注意喚起
Adobe AcrobatおよびReaderの脆弱性(APSB22-32)に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220017.htmlJPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2022071302.html
関連文書 (英語)
アドビ
Security update available for Adobe Acrobat and Reader | APSB22-32
https://helpx.adobe.com/security/products/acrobat/apsb22-32.htmlアドビ
Security update available for RoboHelp | APSB22-10
https://helpx.adobe.com/security/products/robohelp/apsb22-10.htmlアドビ
Security Updates Available for Adobe Character Animator | APSB22-34
https://helpx.adobe.com/security/products/character_animator/apsb22-34.htmlアドビ
Security update available for Adobe Photoshop | APSB22-35
https://helpx.adobe.com/security/products/photoshop/apsb22-35.html
【5】DjangoのExtract関数およびTrunc関数にSQLインジェクションの脆弱性
情報源
Japan Vulnerability Notes JVN#12610194
Django の Extract 関数および Trunc 関数における SQL インジェクションの脆弱性
https://jvn.jp/jp/JVN12610194/
概要
Django Software Foundationが提供するDjangoのExtract関数およびTrunc関数 には、SQLインジェクションの脆弱性があります。結果として、Djangoを利用 して構築されたWebサイト内のデータを攻撃者が改ざんしたり、消去したりす る可能性があります。 対象となるバージョンは次のとおりです。 - Djangoメイン開発ブランチ - Django 4.1 (現在ベータ版) - Django 4.0 - Django 3.2 この問題は、Djangoを開発者が提供する修正済みのバージョンに更新すること で解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (英語)
Django Software Foundation
Django security releases issued: 4.0.6 and 3.2.14
https://www.djangoproject.com/weblog/2022/jul/04/security-releases/
【6】複数のIntel製品に脆弱性
情報源
Japan Vulnerability Notes JVNVU#93756594
Intel製品に複数の脆弱性(2022年7月)
https://jvn.jp/vu/JVNVU93756594/
概要
Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security Center Advisoriesが公開されました。 詳細は、Intelが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Intel製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2022071301.html
関連文書 (英語)
Intel
Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html
■今週のひとくちメモ
○JPCERT/CCが「なぜ、SSL-VPN製品の脆弱性は放置されるのか “サプライチェーン”攻撃という言葉の陰で見過ごされている攻撃原因について」を公開
2022年7月14日、JPCERT/CCは「なぜ、SSL-VPN製品の脆弱性は放置されるのか “サプライチェーン”攻撃という言葉の陰で見過ごされている攻撃原因につい て」をJPCERT/CC Eyesで公開しました。侵入型ランサムウェア攻撃被害に遭う ケースを「大企業のサプライチェーン」の観点ではなく、主な侵入原因である SSL-VPN製品の脆弱性放置の問題というインシデント対応側の観点から解説し ています。
参考文献 (日本語)
JPCERT/CC Eyes
なぜ、SSL-VPN製品の脆弱性は放置されるのか “サプライチェーン”攻撃という言葉の陰で見過ごされている攻撃原因について
https://blogs.jpcert.or.jp/ja/2022/07/ssl-vpn.html
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/