JPCERT コーディネーションセンター

Weekly Report 2022-10-19号

JPCERT-WR-2022-4101
JPCERT/CC
2022-10-19

<<< JPCERT/CC WEEKLY REPORT 2022-10-19 >>>

■10/09(日)〜10/15(土) のセキュリティ関連情報

目 次

【1】複数のマイクロソフト製品に脆弱性

【2】複数のFortinet製品に認証バイパスの脆弱性

【3】複数のアドビ製品に脆弱性

【4】bingo!CMSに認証回避の脆弱性

【5】HeimdalのKerberos実装にNULLポインタ参照の脆弱性

【6】Sony Content TransferのインストーラにDLL読み込みの脆弱性

【今週のひとくちメモ】JIPDECが注意喚起「ECサイトにおける個人情報の漏えい(クレジットカード情報等)事故が増えています」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr224101.txt
https://www.jpcert.or.jp/wr/2022/wr224101.xml

【1】複数のマイクロソフト製品に脆弱性

情報源

CISA Current Activity
Microsoft Releases October 2022 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/10/11/microsoft-releases-october-2022-security-updates

概要

複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく
ださい。

関連文書 (日本語)

マイクロソフト株式会社
2022 年 10 月 のセキュリティ更新プログラム (月例)
https://msrc-blog.microsoft.com/2022/10/11/202210-security-updates/

JPCERT/CC 注意喚起
2022年10月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2022/at220028.html

【2】複数のFortinet製品に認証バイパスの脆弱性

情報源

Fortinet
FortiOS / FortiProxy / FortiSwitchManager - Authentication bypass on administrative interface
https://www.fortiguard.com/psirt/FG-IR-22-377

概要

複数のFortinet製品には、認証バイパスの脆弱性があります。結果として、遠
隔の第三者が、同製品の管理インタフェースに細工したHTTPあるいはHTTPSリ
クエストを送信し、任意の操作を行う可能性があります。
Fortinetは、本脆弱性を悪用する攻撃を確認しているとのことです。

対象となる製品およびバージョンは次のとおりです。

- FortiOS バージョン7.2.0から7.2.1まで
- FortiOS バージョン7.0.0から7.0.6まで
- FortiProxy バージョン7.2.0
- FortiProxy バージョン7.0.0から7.0.6まで
- FortiSwitchManager バージョン7.2.0
- FortiSwitchManager バージョン7.0.0

この問題は、該当する製品をFortinetが提供する修正済みのバージョンに更新
することで解決します。詳細は、Fortinetが提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC 注意喚起
Fortinet製FortiOS、FortiProxyおよびFortiSwitchManagerの認証バイパスの脆弱性(CVE-2022-40684)に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220025.html

【3】複数のアドビ製品に脆弱性

情報源

CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/10/11/adobe-releases-security-updates-multiple-products

概要

複数のアドビ製品には、脆弱性があります。結果として、攻撃者が用意した悪
意のあるコンテンツをユーザーが開いた場合、任意のコードが実行されるなど
の可能性があります。

対象となる製品は次のとおりです。

- Adobe ColdFusion
- Adobe Acrobat
- Adobe Acrobat Reader
- Adobe Commerce
- Magento Open Source
- Adobe Dimension

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC 注意喚起
Adobe AcrobatおよびReaderの脆弱性(APSB22-46)に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220027.html

JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2022101201.html

関連文書 (英語)

アドビ
Security updates available for Adobe ColdFusion | APSB22-44
https://helpx.adobe.com/security/products/coldfusion/apsb22-44.html

アドビ
Security update available for Adobe Acrobat and Reader | APSB22-46
https://helpx.adobe.com/security/products/acrobat/apsb22-46.html

アドビ
Security update available for Adobe Commerce | APSB22-48
https://helpx.adobe.com/security/products/magento/apsb22-48.html

アドビ
Security updates available for Dimension | APSB22-57
https://helpx.adobe.com/security/products/dimension/apsb22-57.html

【4】bingo!CMSに認証回避の脆弱性

情報源

Japan Vulnerability Notes JVN#74592196
bingo!CMS における認証回避の脆弱性
https://jvn.jp/jp/JVN74592196/

概要

シフトテック株式会社が提供するbingo!CMSには、認証回避の脆弱性がありま
す。結果として、遠隔の第三者が当該製品の特定の管理機能の認証を回避し、
不正なコードを含むファイルをアップロードする可能性があります。
シフトテック株式会社は、本脆弱性を悪用する攻撃を確認しているとのことで
す。

対象となるバージョンは次のとおりです。

- bingo!CMS Version1.7.4.2より前のバージョン

この問題は、開発者が提供するアップデートを適用することで解決します。詳
細は、開発者が提供する情報を参照してください。

関連文書 (日本語)

シフトテック株式会社
【重要・要対応】bingo!CMS 認証回避脆弱性に関する対応をお願いいたします
https://www.bingo-cms.jp/information/20221011.html

JPCERT/CC 注意喚起
bingo!CMSの認証回避の脆弱性(CVE-2022-42458)に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220026.html

【5】HeimdalのKerberos実装にNULLポインタ参照の脆弱性

情報源

Japan Vulnerability Notes JVNVU#93736410
HeimdalのKerberos実装にNULLポインタ参照の脆弱性
https://jvn.jp/vu/JVNVU93736410/

概要

HeimdalのKerberos実装には、NULLポインター参照の脆弱性があります。結果
として、攻撃者が特殊な細工を施したパケットを送信し、脆弱なHeimdal実装を
含むアプリケーションをクラッシュさせる可能性があります。

対象となるバージョンは次のとおりです。

- Heimdal 7.7.0およびそれ以前のバージョン

この問題は、Heimdalプロジェクトのソースコード(masterブランチ)へ2020
年2月にコミットされた修正コードを適用することで解決します。
ただし、2022年10月19日現在、Heimdalの最新の安定版である7.7.0には本脆弱
性の修正が含まれていません。詳細は、開発者が提供する情報を参照してくだ
さい。

関連文書 (英語)

Heimdal Software
Heimdal
https://github.com/heimdal/heimdal

CERT/CC Vulnerability Note VU#730793
Heimdal Kerbos vulnerable to remotely triggered NULL pointer dereference
https://kb.cert.org/vuls/id/730793

【6】Sony Content TransferのインストーラにDLL読み込みの脆弱性

情報源

Japan Vulnerability Notes JVN#40620121
Sony Content Transfer のインストーラにおける DLL 読み込みの脆弱性
https://jvn.jp/jp/JVN40620121/

概要

ソニー株式会社が提供するContent Transferのインストーラーには、DLL読み
込みに関する脆弱性が存在します。結果として、攻撃者が用意した悪意のある
DLLを読み込ませることで、インストーラーを実行している権限で、任意のコー
ドを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Content Transfer (for Windows) Ver.1.3およびそれ以前のインストーラー

開発者によると、当該製品のダウンロードサービスはすでに終了しており、使
用中の端末にインストーラーファイルが存在している場合は、当該ファイルの
削除を呼び掛けています。

関連文書 (日本語)

ソニー株式会社
Content Transfer | 音楽のソフトウェア | サポート・お問い合わせ
https://www.sony.jp/support/audiosoftware/contenttransfer/

■今週のひとくちメモ

○JIPDECが注意喚起「ECサイトにおける個人情報の漏えい(クレジットカード情報等)事故が増えています」を公開

日本情報経済社会推進協会(JIPDEC)は、ECサイトの脆弱性を広範囲に狙った
不正アクセス等による個人情報の漏えい事故が増加していることから、ECサイ
トの構築・運用における注意点などを掲げた注意喚起を公開しました。個人情
報の漏えい事故が発生した際の対応などを示しながら、適切な安全管理措置を
講じることを呼び掛けています。

参考文献 (日本語)

日本情報経済社会推進協会 (JIPDEC)
【注意喚起】ECサイトにおける個人情報の漏えい(クレジットカード情報等)事故が増えています
https://privacymark.jp/news/system/2022/1012.html

■JPCERT/CCからのお願い

  • 本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter