Sambaには、複数の脆弱性があります。結果として、攻撃者がドメインの管理
者権限を取得するなどの可能性があります。

影響を受けるバージョンは多岐にわたります。詳細は、The Samba Teamが提供
するアドバイザリ情報を参照してください。

この問題は、SambaをThe Samba Teamが提供する修正済みのバージョンに更新
することで解決します。詳細は、The Samba Teamが提供する情報を参照してく
ださい。

【2】複数のMozilla製品に脆弱性

情報源

Mozilla
Mozilla Foundation Security Advisories
https://www.mozilla.org/en-US/security/advisories/

概要

複数のMozilla製品には、脆弱性があります。結果として、攻撃者が任意の
コードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 103より前のバージョン
- Mozilla Firefox ESR 91.12より前のバージョン
- Mozilla Firefox ESR 102.1より前のバージョン
- Mozilla Thunderbird 91.12より前のバージョン
- Mozilla Thunderbird 102.1より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

【3】SonicWall Global Management SystemおよびAnalyticsにSQLインジェクションの脆弱性

情報源

SonicWall
Unauthenticated SQL Injection in SonicWall GMS and Analytics
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2022-0007

概要

SonicWall Global Management SystemおよびAnalyticsには、SQLインジェク
ションの脆弱性があります。結果として、遠隔の第三者がデータベースを不正
に操作する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- SonicWall Global Management System 9.3.1-SP2-Hotfix1およびそれ以前
- SonicWall Analytics 2.5.0.3-2520およびそれ以前

この問題は、SonicWallが提供するパッチを適用することで解決します。詳細
は、SonicWallが提供する情報を参照してください。

【4】複数のCitrix製品に脆弱性

情報源

Citrix
Citrix ADC and Citrix Gateway Security Bulletin for CVE-2022-27509
https://support.citrix.com/article/CTX457836/

概要

複数のCitrix製品には、データの信頼性確認が不十分である脆弱性があります。
結果として、攻撃者が特別に細工したURLを用意し、不正なWebサイトにリダイ
レクトさせる可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Citrix ADCおよびCitrix Gateway 13.1-24.38より前の13.1系のバージョン
- Citrix ADCおよびCitrix Gateway 13.0-86.17より前の13.0系のバージョン
- Citrix ADCおよびCitrix Gateway 12.1-65.15より前の12.1系のバージョン
- Citrix ADC 12.1-FIPS 12.1-55.282より前のバージョン
- Citrix ADC 12.1-NDcPP 12.1-55.282より前のバージョン

この問題は、該当する製品をCitrixが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Citrixが提供する情報を参照してください。

【5】ニンテンドーWi-Fiネットワークアダプタに複数の脆弱性

情報源

Japan Vulnerability Notes JVNVU#17625382
ニンテンドーWi-Fiネットワークアダプタ WAP-001 における複数の脆弱性
https://jvn.jp/jp/JVN17625382/

概要

任天堂株式会社が提供するニンテンドーWi-FiネットワークアダプタWAP-001
には、複数の脆弱性が存在します。結果として、当該製品の管理画面にログイ
ン可能なユーザーが任意のコードやOSコマンドを実行するなどの可能性があり
ます。

対象となる製品およびバージョンは次のとおりです。

- ニンテンドーWi-FiネットワークアダプタWAP-001すべてのバージョン

当該製品のサポートはすでに終了しているため、開発者によると恒久的な対策
として、製品の使用を中止するようアナウンスされています。詳細は、開発者
が提供する情報を参照してください。

【6】「JUSTオンラインアップデート for J-License」における実行ファイルのパスが引用符で囲まれていない脆弱性

情報源

Japan Vulnerability Notes JVNVU#57073973
「JUSTオンラインアップデート for J-License」が特定のプログラムを起動する際に実行ファイルのパスが引用符で囲まれていない脆弱性
https://jvn.jp/jp/JVN57073973/

概要

複数の法人ユーザー向けジャストシステム製品に同梱されている「JUSTオンラ
インアップデート for J-License」は、特定のプログラムを実行する際に実行
ファイルのパスが引用符で囲まれていない脆弱性が存在します。結果として、
攻撃者が当該Windowsサービスの実行権限で不正なファイルを実行する可能性
があります。

対象となる製品は多岐に渡ります。詳細は株式会社ジャストシステムが提供す
る情報を参照してください。

この問題は、株式会社ジャストシステムが提供する修正済みのバージョンに更
新することで解決します。詳細は、株式会社ジャストシステムが提供する情報
を参照してください。

【7】「Hulu/フールー」iOSアプリにサーバー証明書の検証不備の脆弱性

情報源

Japan Vulnerability Notes JVN#81563390
iOS アプリ「Hulu / フールー」におけるサーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN81563390/

概要

HJホールディングス株式会社が提供する「Hulu/フールー」iOSアプリには、
サーバー証明書の検証不備の脆弱性があります。結果として、悪意のある第三
者が中間者攻撃による暗号通信の盗聴を行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

- iOSアプリ「Hulu/フールー」バージョン3.0.81より前のバージョン

この問題は、HJホールディングス株式会社が提供する修正済みのバージョンに
更新することで解決します。詳細は、HJホールディングス株式会社が提供する
情報を参照してください。

【8】WordPress用プラグインNewsletterにクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#77850327
WordPress 用プラグイン Newsletter におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN77850327/

概要

WordPress用プラグインNewsletterには、クロスサイトスクリプティングの脆
弱性が存在します。結果として、当該プラグインを使用しているWordPressに
管理者権限でログインしているユーザーのWebブラウザー上で、任意のスクリ
プトを実行される可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Newsletter 7.4.5より前のバージョン

この問題は、開発者が提供する修正済みのバージョンに更新することで解決し
ます。詳細は、開発者が提供する情報を参照してください。

■今週のひとくちメモ

○JPCERT/CCが「サイバー政策動向を知ろう Watch! Cyber World vol.3 | 中国の法整備」を公開

2022年7月29日、JPCERT/CCは「サイバー政策動向を知ろう Watch! Cyber
World vol.3 | 中国の法整備」をJPCERT/CC Eyesで公開しました。JPCERT/CC
は、サイバーセキュリティ政策に関する諸外国の動向調査として政府機関、国
際機関、企業などのニュースの収集を行っています。
vol.3となる今回は、中国におけるサイバーセキュリティ関連の法整備に関し
て解説しています。

参考文献 (日本語)

JPCERT/CC Eyes
サイバー政策動向を知ろう Watch! Cyber World vol.3 | 中国の法整備
https://blogs.jpcert.or.jp/ja/2022/07/cyberworld3.html

■JPCERT/CCからのお願い

本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2022-08-03号

<<< JPCERT/CC WEEKLY REPORT 2022-08-03 >>>

■07/24(日)〜07/30(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

○JPCERT/CCが「サイバー政策動向を知ろう Watch! Cyber World vol.3 | 中国の法整備」を公開

参考文献 (日本語)

■JPCERT/CCからのお願い

目　次