JPCERT コーディネーションセンター

Weekly Report 2023-01-12号

JPCERT-WR-2023-0112
JPCERT/CC
2023-01-12

<<< JPCERT/CC WEEKLY REPORT 2023-01-12 >>>

■01/01(日)〜01/07(土) のセキュリティ関連情報

目 次

【1】FortiADCにOSコマンドインジェクションの脆弱性

【2】Synology VPN Plus Serverに任意のコード実行の脆弱性

【3】デジタルアーツ製m-FILTERに認証不備の脆弱性

【4】Apache TomcatのJsonErrorReportValveにエスケープ処理不備の問題

【5】ruby-gitに複数のコードインジェクションの脆弱性

【今週のひとくちメモ】JASAが「2023年 情報セキュリティ十大トレンド」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2023/wr230112.txt
https://www.jpcert.or.jp/wr/2023/wr230112.xml

【1】FortiADCにOSコマンドインジェクションの脆弱性

情報源

CISA Current Activity
Fortinet Releases Security Updates for FortiADC
https://www.cisa.gov/uscert/ncas/current-activity/2023/01/04/fortinet-releases-security-updates-fortiadc

概要

FortiADCには、OSコマンドインジェクションの脆弱性があります。結果として、
当該製品のWeb GUIにアクセス可能な第三者が、任意のコードまたはコマンドを
実行する可能性があります。

対象となるバージョンは次のとおりです。

- FortiADC バージョン7.0.0から7.0.1まで
- FortiADC バージョン6.2.0から6.2.3まで
- FortiADC バージョン6.1.0から6.1.6まで
- FortiADC バージョン6.0.0から6.0.4まで
- FortiADC バージョン5.4.0から5.4.5まで

この問題は、該当製品をFortinetが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Fortinetが提供する情報を参照してください。

関連文書 (英語)

Fortinet
FortiADC - command injection in web interface
https://www.fortiguard.com/psirt/FG-IR-22-061

【2】Synology VPN Plus Serverに任意のコード実行の脆弱性

情報源

Synology
Synology-SA-22:26 VPN Plus Server
https://www.synology.com/en-us/security/advisory/Synology_SA_22_26

概要

Synology VPN Plus Serverには、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行する可能性があります。

対象となるバージョンは次のとおりです。

- VPN Plus Server for SRM 1.3 1.4.4-0635より前のバージョン
- VPN Plus Server for SRM 1.2 1.4.3-0534より前のバージョン

この問題は、該当製品をSynologyが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Synologyが提供する情報を参照してください。

【3】デジタルアーツ製m-FILTERに認証不備の脆弱性

情報源

Japan Vulnerability Notes JVN#55675303
デジタルアーツ製 m-FILTER における認証不備の脆弱性
https://jvn.jp/jp/JVN55675303/

概要

デジタルアーツ株式会社が提供するm-FILTERには、特定の条件下においてメー
ル送信時に認証不備の脆弱性があります。結果として、遠隔の第三者によって
意図しないメールを送信される可能性があります。

対象となるバージョンは次のとおりです。

- m-FILTER Ver.5.70R01より前のバージョン (Ver.5系)
- m-FILTER Ver.4.87R04より前のバージョン (Ver.4系)

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。なお、m-FILTER@Cloudについては2022年12月23日のメンテ
ナンスで修正済みとのことです。詳細は、開発者が提供する情報を参照して
ください。

関連文書 (日本語)

デジタルアーツ株式会社
m-FILTER Ver.5 (要ログイン)
https://download.daj.co.jp/support/detail/?page=version&type=6&division=12

デジタルアーツ株式会社
m-FILTER Ver.4 (要ログイン)
https://download.daj.co.jp/support/detail/?page=version&type=6&division=13

デジタルアーツ株式会社
m-FILTER@Cloud (要ログイン)
https://download.daj.co.jp/support/detail/?page=version&type=5&division=2

【4】Apache TomcatのJsonErrorReportValveにエスケープ処理不備の問題

情報源

Japan Vulnerability Notes JVNVU#92183876
Apache TomcatのJsonErrorReportValveにおけるエスケープ処理不備の問題
https://jvn.jp/vu/JVNVU92183876/

概要

Apache TomcatのJsonErrorReportValveクラスには、エスケープ処理不備の問題
があります。結果として、JSON出力を無効化されたり、操作されたりする可能
性があります。

対象となるバージョンは次のとおりです。

- Apache Tomcat 10.1.0-M1から10.1.1までのバージョン
- Apache Tomcat 9.0.40から9.0.68までのバージョン
- Apache Tomcat 8.5.83

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)

The Apache Software Foundation
[SECURITY] CVE-2022-45143 Apache Tomcat - JsonErrorReportValve injection
https://lists.apache.org/thread/yqkd183xrw3wqvnpcg3osbcryq85fkzj

The Apache Software Foundation
Fixed in Apache Tomcat 10.1.2
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.2

The Apache Software Foundation
Fixed in Apache Tomcat 9.0.69
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.69

The Apache Software Foundation
Fixed in Apache Tomcat 8.5.84
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.84

【5】ruby-gitに複数のコードインジェクションの脆弱性

情報源

Japan Vulnerability Notes JVN#16765254
ruby-git における複数のコードインジェクションの脆弱性
https://jvn.jp/jp/JVN16765254/

概要

ruby-gitには、複数のコードインジェクションの脆弱性があります。結果とし
て、任意のrubyコードを実行される可能性があります。

対象となるバージョンは次のとおりです。

- ruby-git v1.13.0より前のバージョン

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)

ruby-git
GitHub | ruby-git / ruby-git
https://github.com/ruby-git/ruby-git

ruby-git
In ls-files do not unescape file paths with eval #602
https://github.com/ruby-git/ruby-git/pull/602

■今週のひとくちメモ

○JASAが「2023年 情報セキュリティ十大トレンド」を公開

2023年1月6日、日本セキュリティ監査協会(JASA)は、「情報セキュリティ監
査人が選ぶ2023年の情報セキュリティ十大トレンド」を公開しました。
このトレンド調査は、協会の公認情報セキュリティ監査人資格認定制度により
認定を受けた情報セキュリティ監査人を対象としたアンケートにより選ばれた
ものです。
2023年のトレンドは、さまざまなITシステムが業態や規模を超えてネットワー
クでつながることにより、局所的なシステム障害が全国にまたがるネットワー
クの機能不全につながりかねないこと、また、ネットワーク化されたITシステ
ムが産業活動・国民生活を支えるインフラとなっており、そのセキュリティが
安全保障の観点からも注目されてきていることなどを懸念したトピックが上位
に挙げられています。

参考文献 (日本語)

日本セキュリティ監査協会(JASA)
監査人の警鐘- 2023年 情報セキュリティ十大トレンド
https://www.jasa.jp/seminar/sec_trend2023/

■JPCERT/CCからのお願い

  • 本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter