CISA Current Activity
Citrix Releases Security Updates for Citrix ADC, Citrix Gateway
https://www.cisa.gov/uscert/ncas/current-activity/2022/12/13/citrix-releases-security-updates-citrix-adc-citrix-gateway

概要

複数のCitrix製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行する可能性があります。

対象となる製品は次のとおりです。

- Citrix ADCおよびCitrix Gateway 13.0-58.32より前の13系のバージョン
- Citrix ADCおよびCitrix Gateway 12.1-65.25より前の12.1系のバージョン
- Citrix ADC 12.1-FIPS 12.1-55.291より前の12.1-FIPS系のバージョン
- Citrix ADC 12.1-NDcPP 12.1-55.291より前の12.1-NDcPP系のバージョン

この問題は、該当する製品をCitrixが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Citrixが提供する情報を参照してください。

【2】FortiOSにヒープベースのバッファーオーバーフローの脆弱性

情報源

CISA Current Activity
Fortinet Releases Security Updates for FortiOS
https://www.cisa.gov/uscert/ncas/current-activity/2022/12/12/fortinet-releases-security-updates-fortios

概要

FortiOSには、ヒープベースのバッファーオーバーフローの脆弱性があります。
結果として、認証されていない遠隔の第三者が任意のコードやコマンドを実行
する可能性があります。

対象となる製品は次のとおりです。

- FortiOS バージョン 7.2.0から7.2.2まで
- FortiOS バージョン 7.0.0から7.0.8まで
- FortiOS バージョン 6.4.0から6.4.10まで
- FortiOS バージョン 6.2.0から6.2.11まで
- FortiOS バージョン 6.0.0から6.0.15まで
- FortiOS バージョン 5.6.0から5.6.14まで
- FortiOS バージョン 5.4.0から5.4.13まで
- FortiOS バージョン 5.2.0から5.2.15まで
- FortiOS バージョン 5.0.0から5.0.14まで
- FortiOS-6K7K バージョン 7.0.0から7.0.7まで
- FortiOS-6K7K バージョン 6.4.0から6.4.9まで
- FortiOS-6K7K バージョン 6.2.0から6.2.11まで
- FortiOS-6K7K バージョン 6.0.0から6.0.14まで

この問題は、該当する製品をFortinetが提供する修正済みのバージョンに更新
することで解決します。詳細は、Fortinetが提供する情報を参照してください。

【3】複数のマイクロソフト製品に脆弱性

情報源

CISA Current Activity
Microsoft Releases December 2022 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/12/13/microsoft-releases-december-2022-security-updates

概要

複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく
ださい。

【4】複数のApple製品に脆弱性

情報源

CISA Current Activity
Apple Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/12/13/apple-releases-security-updates-multiple-products

概要

複数のApple製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- iOS 16.2より前のバージョン
- iOS 15.7.2より前のバージョン
- iPadOS 16.2より前のバージョン
- iPadOS 15.7.2より前のバージョン
- macOS Ventura 13.1より前のバージョン
- macOS Monterey 12.6.2より前のバージョン
- macOS Big Sur 11.7.2より前のバージョン
- tvOS 16.2より前のバージョン
- watchOS 9.2より前のバージョン
- Safari 16.2より前のバージョン
- iCloud for Windows 14.1より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

【5】複数のMozilla製品に脆弱性

情報源

CISA Current Activity
Mozilla Releases Security Updates for Thunderbird and Firefox
https://www.cisa.gov/uscert/ncas/current-activity/2022/12/13/mozilla-releases-security-updates-thunderbird-and-firefox

概要

複数のMozilla製品には、複数の脆弱性があります。結果として、攻撃者が対
象のMozilla製品をクラッシュさせるなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 108より前のバージョン
- Mozilla Firefox ESR 102.6より前のバージョン
- Mozilla Thunderbird 102.6より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

【6】Drupalの複数のモジュールに脆弱性

情報源

CISA Current Activity
Drupal Releases Security Updates to Address Vulnerabilities in H5P and File (Field) Paths
https://www.cisa.gov/uscert/ncas/current-activity/2022/12/15/drupal-releases-security-updates-address-vulnerabilities-h5p-and

概要

Drupalの複数のモジュールに脆弱性があります。結果として、攻撃者が任意の
コードを実行するなどの可能性があります。

対象となるモジュールおよびバージョンは次のとおりです。

- H5P 7.x-1.51より前のバージョン
- File (Field) Paths 7.x-1.2より前のバージョン

この問題は、Drupalが提供する修正済みのバージョンに更新することで解決し
ます。詳細は、Drupalが提供する情報を参照してください。

【7】複数のVMware製品に脆弱性

情報源

CISA Current Activity
VMware Releases Security Updates for Multiple products
https://www.cisa.gov/uscert/ncas/current-activity/2022/12/13/vmware-releases-security-updates-multiple-products

概要

複数のVMware製品には、脆弱性があります。結果として、攻撃者がコマンドを
実行するなどの可能性があります。

対象となる製品は次のとおりです。

- VMware vRealize Network Insight (vRNI) 
- VMware ESXi 
- VMware Fusion 
- VMware Cloud Foundation
- VMware Workstation 

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
るか、回避策を適用することで解決します。詳細は、VMwareが提供する情報を
参照してください。

【8】Sambaに複数の脆弱性

情報源

CISA Current Activity
Samba Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/12/16/samba-releases-security-updates

概要

Sambaには、複数の脆弱性があります。結果として、遠隔のユーザーが権限を
昇格するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Samba 4.17.4より前のバージョン
- Samba 4.16.8より前のバージョン
- Samba 4.15.13より前のバージョン

この問題は、SambaをThe Samba Teamが提供する修正済みのバージョンに更新
することで解決します。詳細は、The Samba Teamが提供する情報を参照してく
ださい。

【9】複数のアドビ製品に脆弱性

情報源

アドビ
Security updates available for Adobe Campaign Classic | APSB22-58
https://helpx.adobe.com/security/products/campaign/apsb22-58.html

アドビ
Security updates available for Adobe Experience Manager | APSB22-59
https://helpx.adobe.com/security/products/experience-manager/apsb22-59.html

アドビ
Security Updates Available for Adobe Illustrator | APSB22-60
https://helpx.adobe.com/security/products/illustrator/apsb22-60.html

概要

複数のアドビ製品には、脆弱性があります。結果として、当該製品にアクセス
したユーザーのWebブラウザー上で、任意のコードが実行されるなどの可能性
があります。

対象となる製品およびバージョンは次のとおりです。

- Adobe Campaign Classic 7.3.1およびそれ以前のバージョン
- Adobe Campaign Classic 8.3.9およびそれ以前のバージョン
- Adobe Experience Manager Cloud Service Release 2022.10.0より前のバージョン
- Adobe Experience Manager 6.5.14.0およびそれ以前のバージョン
- Adobe Illustrator 2022 26.5.1およびそれ以前のバージョン
- Adobe Illustrator 2023 27.0およびそれ以前のバージョン

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

【10】Redmineにクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#60211811
Redmine におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN60211811/

概要

Redmineには、クロスサイトスクリプティングの脆弱性があります。結果とし
て、当該製品を使用しているユーザーのWebブラウザ上で、任意のスクリプト
を実行される可能性があります。

対象となるバージョンは次のとおりです。

- Redmine すべてのバージョン

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

【11】OpenSSLのX.509ポリシー制限における二重ロックの問題

情報源

Japan Vulnerability Notes JVNVU#96155097
OpenSSLのX.509ポリシー制限における二重ロックの問題
https://jvn.jp/vu/JVNVU96155097/

概要

OpenSSLのX.509証明書に不正なポリシー制限が含まれていて、ポリシー処理が
有効な場合、書き込みロックが二重に行われる問題があります。結果として、
一部のオペレーティングシステム(最も一般的なのは Windows)では、影響を受
けるプロセスがハングし、サービス運用妨害（DoS）状態となる可能性があり
ます。

対象となるバージョンは次のとおりです。

-  OpenSSL 3.0.0から3.0.7

OpenSSL 1.1.1および1.0.2は、本脆弱性の影響を受けないとのことです。

OpenSSLによると、本脆弱性の深刻度が低であるため、修正は提供されていま
せん。ただし、開発者向けに回避策を提示しています。詳細は、OpenSSLが提
供する情報を参照してください。

【12】シャープ製デジタル複合機にコマンドインジェクションの脆弱性

情報源

Japan Vulnerability Notes JVNVU#96195138
シャープ製デジタル複合機におけるコマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU96195138/

概要

シャープ株式会社が提供する複数のデジタル複合機には、コマンドインジェク
ションの脆弱性があります。結果として、管理者権限でログイン可能な攻撃者
により、複合機のファームウェア上で任意のコマンドが実行される可能性があ
ります。

影響を受ける製品、機種名、ファームウェアバージョンは多岐にわたります。
詳しくは、開発者が提供する情報をご確認ください。

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。また、回避策が提示されています。詳細は、開発者が提供す
る情報を参照してください。

■今週のひとくちメモ

○日本シーサート協議会が「CSIRT人材の育成 Ver1.0」を公開

2022年12月13日、日本シーサート協議会は、「CSIRT人材の育成 Ver1.0」を公
開しました。
本資料では、「CSIRT人材の定義と確保 Ver.2.1」により定義されたCSIRTに必
要な役割とスキルをベースとして、その役割毎にどのように育成していくのか
という解決策、また要員不足に対しては兼任できる役割をグループ化して育成
するという解決策をWGメンバーのベストプラクティスとして集約し作成したも
のになります。CSIRT人材の育成方法について悩まれている組織のCSIRT活動の
参考にしてください。

参考文献 (日本語)

日本シーサート協議会
CSIRT人材の育成 Ver1.0
https://www.nca.gr.jp/activity/imgs/development-hr20220331.pdf

■JPCERT/CCからのお願い

本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2022-12-21号

<<< JPCERT/CC WEEKLY REPORT 2022-12-21 >>>

■12/11(日)〜12/17(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

○日本シーサート協議会が「CSIRT人材の育成 Ver1.0」を公開

参考文献 (日本語)

■JPCERT/CCからのお願い

目　次