<<< JPCERT/CC WEEKLY REPORT 2022-11-24 >>>
■11/13(日)〜11/19(土) のセキュリティ関連情報
目 次
【1】複数のMozilla製品に脆弱性
【2】Sambaにバッファオーバーフローの脆弱性
【3】Cisco Identity Services Engineに複数の脆弱性
【4】Netatalkに複数の脆弱性
【5】RICOH IPSiO SP 4210にクロスサイトスクリプティングの脆弱性
【6】Movable Typeに複数の脆弱性
【7】日立国際電気製監視システムネットワーク製品(カメラ、エンコーダ、デコーダ)に複数の脆弱性
【8】WordPress用プラグインWordPress Popular Postsに外部入力の不適切な使用に関する脆弱性
【今週のひとくちメモ】FIRSTが「PSIRT Services Framework 1.1 日本語版と PSIRT Maturity Document 1.1 日本語版」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr224601.txt
https://www.jpcert.or.jp/wr/2022/wr224601.xml
【1】複数のMozilla製品に脆弱性
情報源
CISA Current Activity
Mozilla Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/11/16/mozilla-releases-security-updates-multiple-products
概要
複数のMozilla製品には、複数の脆弱性があります。結果として、遠隔の第三 者がスプーフィング攻撃などを行う可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Mozilla Thunderbird 102.5より前のバージョン - Mozilla Firefox 107より前のバージョン - Mozilla Firefox ESR 102.5より前のバージョン この問題は、Mozillaが提供する修正済みのバージョンに更新することで解決 します。詳細は、Mozillaが提供する情報を参照してください。
関連文書 (英語)
Mozilla
Mozilla Foundation Security Advisory 2022-47
https://www.mozilla.org/en-US/security/advisories/mfsa2022-47/Mozilla
Mozilla Foundation Security Advisory 2022-48
https://www.mozilla.org/en-US/security/advisories/mfsa2022-48/Mozilla
Mozilla Foundation Security Advisory 2022-49
https://www.mozilla.org/en-US/security/advisories/mfsa2022-49/
【2】Sambaにバッファオーバーフローの脆弱性
情報源
CISA Current Activity
Samba Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/11/16/samba-releases-security-updates
概要
Sambaには、バッファオーバーフローの脆弱性があります。結果として、遠隔の 攻撃者が偽造されたPACを使用してヒープを破損する可能性があります。 対象となるバージョンは次のとおりです。 - Samba 4.17.3より前のバージョン - Samba 4.16.7より前のバージョン - Samba 4.15.12より前のバージョン この問題は、SambaをThe Samba Teamが提供する修正済みのバージョンに更新 することで解決します。詳細は、The Samba Teamが提供する情報を参照して ください。
関連文書 (英語)
The Samba Team
CVE-2022-42898.html:
https://www.samba.org/samba/security/CVE-2022-42898.html
【3】Cisco Identity Services Engineに複数の脆弱性
情報源
CISA Current Activity
Cisco Releases Security Updates for Identity Services Engine
https://www.cisa.gov/uscert/ncas/current-activity/2022/11/16/cisco-releases-security-updates-identity-services-engine
概要
Cisco Identity Services Engineには、複数の脆弱性があります。結果として、 遠隔の攻撃者がアクセス許可されていないシステムファイルへアクセスするな どの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Cisco Identity Services Engine 2.4系およびそれ以前のバージョン - Cisco Identity Services Engine 2.6系のバージョン - Cisco Identity Services Engine 2.7系のバージョン - Cisco Identity Services Engine 3.0系のバージョン - Cisco Identity Services Engine 3.1系のバージョン - Cisco Identity Services Engine 3.2系のバージョン 2022年11月24日時点で、CVE-2022-20956およびCVE-2022-20959を修正するアッ プデートが公開されていないバージョンもあります。Ciscoが公開している緩和 策を適用の上、アップデート公開後には速やかに適用することを推奨します。 詳細は、Ciscoが提供する情報を参照してください。
関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-access-contol-EeufSUCxCisco
Cisco Security Advisories
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-xss-twLnpy3M
【4】Netatalkに複数の脆弱性
情報源
Japan Vulnerability Notes JVNVU#99505355
Netatalkに複数の脆弱性
https://jvn.jp/vu/JVNVU99505355/
概要
Netatalkには、複数の脆弱性があります。結果として、遠隔の第三者によって、 認証を経ずに機微な情報を窃取されたり、root権限で任意のコードを実行され る可能性があります。 対象となるバージョンは次のとおりです。 - Netatalk 3.1.12 この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (英語)
NETATALK
Netatalk 3.1.13
https://netatalk.sourceforge.io/3.1/ReleaseNotes3.1.13.htmlCERT/CC Vulnerability Note VU#709991
Netatalk contains multiple error and memory management vulnerabilities
https://kb.cert.org/vuls/id/709991
【5】RICOH IPSiO SP 4210にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#24659622
RICOH IPSiO SP 4210 におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN24659622/
概要
株式会社リコーが提供するIPSiO SP 4210には、Web Image Monitorにクロスサ イトスクリプティングの脆弱性があります。結果として、管理者権限でログイ ンしているユーザのウェブブラウザ上で、任意のスクリプトを実行される可能 性があります。 対象となるバージョンは次のとおりです。 - IPSiO SP 4210 Web Support 1.05より前のファームウェアバージョン この問題は、該当する製品のファームウェアを最新版へアップデートすること で解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
株式会社リコー
IPSiO SP 4210用 RICOH Firmware Update Tool Ver.1.01
https://support.ricoh.com/bbv2/html/dr_ut_d/ipsio/history/w/bb/pub_j/dr_ut_d/4101044/4101044791/V101/5236968/redirect_CLUTool_DOM/history.htm
【6】Movable Typeに複数の脆弱性
情報源
Japan Vulnerability Notes JVN#37014768
Movable Type における複数の脆弱性
https://jvn.jp/jp/JVN37014768/
概要
シックス・アパート株式会社が提供するMovable Typeには、複数の脆弱性が あります。結果として、当該製品のコンテンツフィールドの編集権限を持つユ ーザによって任意のOSコマンドを実行されるなどの可能性があります。 対象となるバージョンは次のとおりです。 - Movable Type 7 r.5301およびそれ以前(Movable Type 7系) - Movable Type Advanced 7 r.5301およびそれ以前(Movable Type Advanced 7系) - Movable Type 6.8.7およびそれ以前(Movable Type 6系) - Movable Type Advanced 6.8.7およびそれ以前(Movable Type Advanced 6系) - Movable Type Premium 1.53およびそれ以前 - Movable Type Premium Advanced 1.53およびそれ以前 この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
シックス・アパート株式会社
[重要] Movable Type 7 r.5401 / Movable Type 6.8.8 / Movable Type Premium 1.54 の提供開始(セキュリティアップデート)と Movable Type 8 についてのお知らせ
https://www.sixapart.jp/movabletype/news/2022/11/16-1100.html
【7】日立国際電気製監視システムネットワーク製品(カメラ、エンコーダ、デコーダ)に複数の脆弱性
情報源
Japan Vulnerability Notes JVNVU#97968855
日立国際電気製監視システムネットワーク製品(カメラ、エンコーダ、デコーダ)における複数の脆弱性
https://jvn.jp/vu/JVNVU97968855/
概要
株式会社日立国際電気が提供する監視システムネットワーク製品(カメラ、エ ンコーダ、デコーダ)には、複数の脆弱性があります。結果として、遠隔の第 三者によって、サービス運用妨害(DoS)状態にされるなどの可能性があります。 対象となる製品およびバージョンは多岐にわたるため、開発者が提供する情報 を参照してください。 この問題は、該当する製品のファームウェアを最新版へアップデートすること で解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
株式会社日立国際電気
監視システムネットワーク製品(カメラ、デコーダ、エンコーダ)における脆弱性の対策について(CVE-2022-37680/CVE-2022-37681)
https://www.hitachi-kokusai.co.jp/products/info/vulnerable/hitachi-sec-2022-001/
【8】WordPress用プラグインWordPress Popular Postsに外部入力の不適切な使用に関する脆弱性
情報源
Japan Vulnerability Notes JVN#13927745
WordPress 用プラグイン WordPress Popular Posts における外部入力の不適切な使用に関する脆弱性
https://jvn.jp/jp/JVN13927745/
概要
Hector Cabreraが提供するWordPress用プラグインWordPress Popular Posts には、外部入力の不適切な使用に関する脆弱性があります。結果として、遠隔 の第三者によって、任意の記事の閲覧数を不正に操作される可能性があります。 対象となるバージョンは次のとおりです。 - WordPress Popular Posts 6.0.5およびそれ以前のバージョン この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
WordPressプラグイン
WordPress Popular Posts
https://ja.wordpress.org/plugins/wordpress-popular-posts/
関連文書 (英語)
cabrerahector/wordpress-popular-posts
WordPress Popular Posts
https://github.com/cabrerahector/wordpress-popular-posts/
■今週のひとくちメモ
○FIRSTが「PSIRT Services Framework 1.1 日本語版と PSIRT Maturity Document 1.1 日本語版」を公開
FIRSTは、製品やサービスを開発し提供する組織によるPSIRTの設置・継続的運 用・能力の向上を支援するためのガイドとして「PSIRT Services Framework」 を作成し公開しています。本フレームワークは、PSIRTの組織モデル、機能、 サービス、成果などを含むPSIRTのコンセプトと全体像を示し、さらに、PSIRT が果たすべき責任と、PSIRTがその活動に必要な能力を備え、組織内外との連 携によって価値を提供するために必要となる事項について説明しています。 今回、PSIRT Services Framework 1.1 日本語版と PSIRT Maturity Document 1.1 日本語版は、Software ISACと一般社団法人JPCERT コーディネーションセン ターによって翻訳された後、KONICA MINOLTA PSIRT、Mitsubishi Electric PSIRT、 Panasonic PSIRT によってレビューされ、公開されたものになります。
参考文献 (日本語)
JPCERT/CC
PSIRT Services Framework と PSIRT Maturity Document
https://www.jpcert.or.jp/research/psirtSF.html
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/
前
コメント
共 有
