JPCERT コーディネーションセンター

Weekly Report 2023-03-08号

JPCERT-WR-2023-0308
JPCERT/CC
2023-03-08

<<< JPCERT/CC WEEKLY REPORT 2023-03-08 >>>

■02/26(日)〜03/04(土) のセキュリティ関連情報

目 次

【1】複数のCisco製品に脆弱性

【2】Trend Micro Apex OneおよびTrend Micro Apex One SaaSに複数の脆弱性

【3】トレンドマイクロ製ウイルスバスター クラウドに複数の脆弱性

【4】EC-CUBEに複数のクロスサイトスクリプティングの脆弱性

【5】IT資産管理ツール「SS1」および「らくらくPCクラウド」に複数の脆弱性

【6】web2pyの開発ツールにオープンリダイレクトの脆弱性

【7】Edgecross基本ソフトウェアWindows版に複数の脆弱性

【8】Trusted Computing GroupのTPM2.0実装に複数の脆弱性

【今週のひとくちメモ】IPAが「情報セキュリティ10大脅威 2023」解説書[組織編]を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2023/wr230308.txt
https://www.jpcert.or.jp/wr/2023/wr230308.xml

【1】複数のCisco製品に脆弱性

情報源

CISA Cybersecurity Alerts & Advisories
Cisco Releases Security Advisory for Cisco IP Phones
https://www.cisa.gov/news-events/alerts/2023/03/02/cisco-releases-security-advisory-cisco-ip-phones

概要

複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行したり、サービス運用妨害(DoS)攻撃を行ったりするなどの
可能性があります。

影響を受ける製品、バージョンは多岐にわたります。当該期間中は、計5件の
アドバイザリ(Critical1件、Medium4件)が新たに公開されています。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)

Cisco
Cisco Security Advisories
https://sec.cloudapps.cisco.com/security/center/publicationListing.x

Cisco
Cisco IP Phone 6800, 7800, 7900, and 8800 Series Web UI Vulnerabilities
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ip-phone-cmd-inj-KMFynVcP

【2】Trend Micro Apex OneおよびTrend Micro Apex One SaaSに複数の脆弱性

情報源

Japan Vulnerability Notes JVNVU#96221942
Trend Micro Apex OneおよびTrend Micro Apex One SaaSにおける複数の脆弱性
https://jvn.jp/vu/JVNVU96221942/

概要

Trend Micro Apex OneおよびTrend Micro Apex One SaaSには、複数の脆弱性
があります。結果として、管理サーバーにアクセス可能な第三者が悪意のある
アップロードを行い、サービス運用妨害 (DoS) 攻撃を行うなどの可能性があ
ります。

対象となる製品およびバージョンは次のとおりです。

 - Trend Micro Apex One 2019
 - Trend Micro Apex One SaaS

この問題は、該当する製品にトレンドマイクロ株式会社が提供するパッチを適
用することで解決します。詳細は、トレンドマイクロ株式会社が提供する情報
を参照してください。

関連文書 (日本語)

トレンドマイクロ株式会社
アラート/アドバイザリ:Trend Micro Apex One 及びTrend Micro Apex One SaaSで確認した複数の脆弱性について(2023年02月)
https://success.trendmicro.com/jp/solution/000292220

【3】トレンドマイクロ製ウイルスバスター クラウドに複数の脆弱性

情報源

Japan Vulnerability Notes JVNVU#96882769
トレンドマイクロ製ウイルスバスター クラウドにおける複数の脆弱性
https://jvn.jp/vu/JVNVU96882769/

概要

トレンドマイクロ製ウイルスバスター クラウドには、複数の脆弱性がありま
す。結果として、攻撃者が権限を昇格するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- ウイルスバスター クラウド バージョン17.7
- ウイルスバスター クラウド バージョン17.0

この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正済みの
バージョンに更新することで解決します。詳細は、トレンドマイクロ株式会社
が提供する情報を参照してください。

関連文書 (日本語)

トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスター クラウドの脆弱性について(CVE-2022-30687)
https://helpcenter.trendmicro.com/ja-jp/article/tmka-11014

トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスター クラウドの脆弱性について(CVE-2022-34893)
https://helpcenter.trendmicro.com/ja-jp/article/tmka-11054

トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスター クラウドの脆弱性について(CVE-2022-35234/CVE-2022-37347/CVE-2022-37348)
https://helpcenter.trendmicro.com/ja-jp/article/tmka-11055

トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスター クラウドの脆弱性について(CVE-2022-48191)
https://helpcenter.trendmicro.com/ja-jp/article/tmka-11251

【4】EC-CUBEに複数のクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#04785663
EC-CUBE における複数のクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN04785663/

概要

株式会社イーシーキューブが提供するEC-CUBEには、複数のクロスサイトスク
リプティングの脆弱性があります。結果として、当該製品を使用しているサイ
トにアクセスしたユーザーのWebブラウザー上で、任意のスクリプトを実行さ
れるなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

 - EC-CUBE 4系
  - EC-CUBE 4.2.0
  - EC-CUBE 4.1.0から4.1.2-p1
  - EC-CUBE 4.0.0から4.0.6-p2
 - EC-CUBE 3系
  - EC-CUBE 3.0.0から3.0.18-p5
 - EC-CUBE 2系
  - EC-CUBE 2.17.0から2.17.2
  - EC-CUBE 2.13.0から2.13.5
  - EC-CUBE 2.12.0から2.12.6
  - EC-CUBE 2.11.0から2.11.5

この問題は、該当する製品を株式会社イーシーキューブが提供する修正済みの
バージョンに更新することで解決します。詳細は、株式会社イーシーキューブ
が提供する情報を参照してください。

関連文書 (日本語)

株式会社イーシーキューブ
EC-CUBE4系におけるクロスサイトスクリプティングの脆弱性(JVN#04785663)
https://www.ec-cube.net/info/weakness/weakness.php?id=87

株式会社イーシーキューブ
EC-CUBE3系におけるクロスサイトスクリプティングの脆弱性(JVN#04785663)
https://www.ec-cube.net/info/weakness/weakness.php?id=88

株式会社イーシーキューブ
EC-CUBE2系におけるクロスサイトスクリプティングの脆弱性(JVN#04785663)
https://www.ec-cube.net/info/weakness/weakness.php?id=89

【5】IT資産管理ツール「SS1」および「らくらくPCクラウド」に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#57224029
IT 資産管理ツール「SS1」および「らくらくPCクラウド」における複数の脆弱性
https://jvn.jp/jp/JVN57224029/

概要

株式会社ディー・オー・エスが提供する「SS1」および「らくらくPCクラウド」
には、複数の脆弱性があります。結果として、遠隔の第三者がSYSTEM権限で任
意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

 - SS1 Ver.13.0.0.40およびそれ以前
 - らくらくPCクラウド エージェント Ver.2.1.8およびそれ以前

この問題は、該当する製品を株式会社ディー・オー・エスが提供する修正済み
のバージョンに更新することで解決します。詳細は、株式会社ディー・オー・
エスが提供する情報を参照してください。

関連文書 (日本語)

株式会社ディー・オー・エス
弊社製品「SS1」「らくらくPCクラウド」の脆弱性に関するお知らせ
https://www.dos-osaka.co.jp/news/2023/03/230301.html

【6】web2pyの開発ツールにオープンリダイレクトの脆弱性

情報源

Japan Vulnerability Notes JVN#78253670
web2py の開発ツールにおけるオープンリダイレクトの脆弱性
https://jvn.jp/jp/JVN78253670/

概要

web2pyのadmin開発ツールには、オープンリダイレクトの脆弱性があります。
結果として、web2pyの利用者が細工されたURLにアクセスすることで、任意の
Webサイトにリダイレクトされる可能性があります。

対象となる製品およびバージョンは次のとおりです。

 - web2py 2.23.1より前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

【7】Edgecross基本ソフトウェアWindows版に複数の脆弱性

情報源

Japan Vulnerability Notes JVNVU#96890975
Edgecross 基本ソフトウェア Windows版における複数の脆弱性
https://jvn.jp/vu/JVNVU96890975/

概要

一般社団法人Edgecrossコンソーシアムが提供するEdgecross基本ソフトウェア
Windows版には、複数の脆弱性があります。結果として、マネジメントシェル
のサービスを明示的に停止していない場合、遠隔の第三者がサービス運用妨害
(DoS)攻撃を行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

 - Edgecross基本ソフトウェアWindows版 ECP-BS1-W 1.10から1.26までのバージョン
 - 開発者用Edgecross基本ソフトウェアWindows版 ECP-BS1-W-D 1.10から1.26までのバージョン

この問題は、該当する製品を一般社団法人Edgecrossコンソーシアムが提供す
る修正済みのバージョンに更新することで解決します。詳細は、一般社団法人
Edgecrossコンソーシアムが提供する情報を参照してください。

関連文書 (日本語)

一般社団法人Edgecrossコンソーシアム
Edgecross 基本ソフトウェア Windows 版における複数の脆弱性
https://www.edgecross.org/ja/data-download/pdf/ECD-TE10-0005-01-JA.pdf

【8】Trusted Computing GroupのTPM2.0実装に複数の脆弱性

情報源

CERT/CC Vulnerability Note VU#782720
TCG TPM2.0 implementations vulnerable to memory corruption
https://kb.cert.org/vuls/id/782720

Japan Vulnerability Notes JVNVU#95600622
Trusted Computing GroupのTPM2.0実装における複数の脆弱性
https://jvn.jp/vu/JVNVU95600622/

概要

Trusted Computing GroupのTPM2.0実装には、複数の脆弱性があります。結果
として、TPMがクラッシュさせられたり、TPM内で任意のコードが実行されたり
するなどの可能性があります。

対象となる製品は次のとおりです。

 - Trusted Computing GroupのTPM2.0を実装した製品

この問題について、Trusted Computing Groupは、これらの脆弱性に対処する
ための説明を記載したErrata for TPM2.0 Library Specificationを公開して
います。ハードウェアおよびソフトウェアメーカーが提供する情報を注視し、
最新のアップデートを適用してください。

関連文書 (英語)

Trusted Computing Group
Errata for TPM Library Specification 2.0
https://trustedcomputinggroup.org/resource/errata-for-tpm-library-specification-2-0/

■今週のひとくちメモ

○IPAが「情報セキュリティ10大脅威 2023」解説書[組織編]を公開

2023年2月28日、情報処理推進機構(IPA)は「情報セキュリティ10大脅威 2023」
解説書[組織編]を公開しました。これは、IPAが昨年発生した情報セキュリ
ティにおける事案から脅威候補を選出し、情報セキュリティ関連に携わるメンバー
で審議・投票を行い、順位を決定したものに対して各脅威の解説をまとめた資
料です。個人の脅威に対する解説は後日公開予定とのことです。

参考文献 (日本語)

情報処理推進機構(IPA)
情報セキュリティ10大脅威 2023
https://www.ipa.go.jp/security/vuln/10threats2023.html

■JPCERT/CCからのお願い

  • 本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter