JPCERT コーディネーションセンター

Weekly Report 2022-09-07号

JPCERT-WR-2022-3501
JPCERT/CC
2022-09-07

<<< JPCERT/CC WEEKLY REPORT 2022-09-07 >>>

■08/28(日)〜09/03(土) のセキュリティ関連情報

目 次

【1】Mozilla Thunderbirdに複数の脆弱性

【2】iOS 12に任意のコード実行の脆弱性

【3】PowerCMSにコマンドインジェクションの脆弱性

【4】シンクグラフィカ製メールフォームプロ CGIに情報漏えいの脆弱性

【5】プラネックスコミュニケーションズ製ネットワークカメラに複数の脆弱性

【6】CentreCOM AR260S V2に複数の脆弱性

【7】リコーカンタンドライバーインストーラセットアップツールにDLL読み込みに関する脆弱性

【今週のひとくちメモ】SecurityDays Fall 2022開催

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr223501.txt
https://www.jpcert.or.jp/wr/2022/wr223501.xml

【1】Mozilla Thunderbirdに複数の脆弱性

情報源

CISA Current Activity
Mozilla Releases Security Update for Thunderbird
https://www.cisa.gov/uscert/ncas/current-activity/2022/09/02/mozilla-releases-security-update-thunderbird

概要

Mozilla Thunderbirdには、複数の脆弱性があります。結果として、攻撃者が
機微な情報を取得するなどの可能性があります。

対象となる製品とバージョンは次のとおりです。

- Mozilla Thunderbird 102.2.1より前のバージョン

この問題は、Mozilla ThunderbirdをMozillaが提供する修正済みのバージョン
に更新することで解決します。詳細は、Mozillaが提供する情報を参照してく
ださい。

関連文書 (日本語)

Mozilla
Mozilla Foundation Security Advisory 2022-38
https://www.mozilla.org/en-US/security/advisories/mfsa2022-38/

【2】iOS 12に任意のコード実行の脆弱性

情報源

CISA Current Activity
Apple Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/09/01/apple-releases-security-updates-multiple-products

概要

iOS 12には、任意のコード実行の脆弱性があります。結果として、第三者が任
意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- iOS 12.5.6より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)

Apple
iOS 12.5.6 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213428

CyberNewsFlash
Apple製品のアップデートについて(2022年8月)
https://www.jpcert.or.jp/newsflash/2022081801.html

【3】PowerCMSにコマンドインジェクションの脆弱性

情報源

Japan Vulnerability Notes JVN#76024879
PowerCMS の XMLRPC API におけるコマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN76024879/

概要

PowerCMSのXMLRPC APIには、コマンドインジェクションの脆弱性があります。
結果として、遠隔の第三者が任意のOSコマンドを実行するなどの可能性があり
ます。

対象となる製品およびバージョンは次のとおりです。

- PowerCMS 6.021 およびそれ以前 (PowerCMS 6系)
- PowerCMS 5.21 およびそれ以前 (PowerCMS 5系)
- PowerCMS 4.51 およびそれ以前 (PowerCMS 4系)

なお、開発者によると、すでにサポートが終了している PowerCMS 3系以前の
バージョンも本脆弱性の影響を受けるとのことです。

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)

アルファサード株式会社
XMLRPC API におけるコマンド・インジェクションの脆弱性対策 (JVN#7602487)
https://www.powercms.jp/news/xmlrpc-api-provision-202208.html

【4】シンクグラフィカ製メールフォームプロ CGIに情報漏えいの脆弱性

情報源

Japan Vulnerability Notes JVN#34205166
シンクグラフィカ製メールフォームプロ CGI における情報漏えいの脆弱性
https://jvn.jp/jp/JVN34205166/

概要

シンクグラフィカが提供するメールフォームプロ CGIには、情報漏えいの脆弱
性があります。結果として、第三者がユーザーの機微な情報を取得する可能性
があります。

対象となる製品およびバージョンは次のとおりです。

- メールフォームプロ CGI 4.3.1 およびそれ以前

なお、開発者によると、thanksモジュールを有効にしている場合に本脆弱性の
影響を受けるとのことです。

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)

シンクグラフィカ
メールフォームプロ 情報漏洩の脆弱性 について
https://www.synck.com/blogs/news/newsroom/detail_1661907555.html

シンクグラフィカ
サンクスページへ値の引き継ぎ(v4.1.2)
https://www.synck.com/downloads/cgi-perl/mailformpro/feature_1381250709.html

【5】プラネックスコミュニケーションズ製ネットワークカメラに複数の脆弱性

情報源

Japan Vulnerability Notes JVNVU#90766406
プラネックスコミュニケーションズ製ネットワークカメラにおける複数の脆弱性
https://jvn.jp/vu/JVNVU90766406/

概要

プラネックスコミュニケーションズ株式会社が提供する「スマカメ CS-QR10」
および「スマカメ ナイトビジョン CS-QR20」には、複数の脆弱性があります。
結果として、Web管理インターフェイスにログイン可能な攻撃者が、当該製品
上で任意のOSコマンドを実行するなどの可能性があります。

対象となる製品とバージョンは次のとおりです。

- スマカメ CS-QR10 すべてのバージョン
- スマカメ ナイトビジョン CS-QR20 すべてのバージョン

当該製品のサポートは終了しており、修正アップデートは提供されません。
開発者は対策として、製品の使用停止、または管理者パスワードを変更した上
で安全性を配慮したローカルネットワーク環境での使用を推奨しています。

【6】CentreCOM AR260S V2に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#45473612
CentreCOM AR260S V2 における複数の脆弱性
https://jvn.jp/jp/JVN45473612/

概要

アライドテレシス株式会社が提供する CentreCOM AR260S V2には、複数の脆弱
性があります。結果として、遠隔の第三者が任意のOSコマンドを実行する可能
性があります。

対象となる製品とバージョンは次のとおりです。

- CentreCOM AR260S V2 ファームウェアバージョン Ver.3.3.7より前のバージョン

この問題は、当該製品を開発者が提供する修正済みのバージョンに更新し、全
てのアカウントのパスワードを変更することで解決します。詳細は、開発者が
提供する情報を参照してください。

関連文書 (日本語)

アライドテレシス株式会社
CentreCOM AR260S V2 における複数の脆弱性について
https://www.allied-telesis.co.jp/support/list/faq/vuls/20220829.html

【7】リコーカンタンドライバーインストーラセットアップツールにDLL読み込みに関する脆弱性

情報源

Japan Vulnerability Notes JVN#44721267
リコーカンタンドライバーインストーラセットアップツールにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN44721267/

概要

株式会社リコーが提供するリコーカンタンドライバーインストーラセットアッ
プツールには、DLL 読み込みに関する脆弱性があります。結果として、攻撃者
が任意のコードを実行する可能性があります。

- リコーカンタンドライバーインストーラセットアップツール Ver.2.20.3.0より前のバージョン

この問題は、開発者が提供する情報をもとに、最新のセットアップツールを使
用することで解決します。なお、本脆弱性の影響を受けるのはセットアップツー
ルの起動時のみで、すでにドライバインストーラのセットアップを完了してい
る場合、再度セットアップツールを実行する必要はありません。詳細は、開発
者が提供する情報を参照してください。

関連文書 (日本語)

株式会社リコー
リコーカンタンドライバーインストーラー
https://www.ricoh.co.jp/software/utility/dev_soft_manager

■今週のひとくちメモ

○SecurityDays Fall 2022開催

2022年10月4日-7日に東京会場、10月13日に大阪会場で、株式会社ナノオプト・
メディア主催の「SecurityDays Fall 2022」が開催されます。システムインテ
グレーター、ソリューションベンダー、学術研究機関などが参加し、最新のサ
イバー攻撃の脅威動向やセキュリティ対策などに関する知見を深めるイベント
です。参加費は無料、参加には事前の申し込みが必要です。JPCERT/CCは
SecurityDays Fall 2022を後援しています。

参考文献 (日本語)

SecurityDays
SecurityDays Fall 2022
https://f2ff.jp/secd/2022-fall

■JPCERT/CCからのお願い

  • 本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter