<<< JPCERT/CC WEEKLY REPORT 2023-03-23 >>>

■03/12(日)〜03/18(土) のセキュリティ関連情報

目　次

【1】複数のマイクロソフト製品に脆弱性

【2】複数のMozilla製品に脆弱性

【3】複数のアドビ製品に脆弱性

【4】Drupalに不適切なアクセス制御の脆弱性

【5】TP-LINK製T2600G-28SQにおける脆弱なSSHホスト鍵使用

【今週のひとくちメモ】JPCERT/CCが「JSAC2023」の開催レポートを公開

【1】複数のマイクロソフト製品に脆弱性

情報源

CISA Cybersecurity & Alerts Advisories
Microsoft Releases March 2023 Security Updates
https://www.cisa.gov/news-events/alerts/2023/03/14/microsoft-releases-march-2023-security-updates

概要

複数のマイクロソフト製品には、脆弱性があります。結果として、第三者が
任意のコードを実行するなどの可能性があります。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく
ださい。

関連文書 (日本語)

マイクロソフト株式会社
2023 年 3 月のセキュリティ更新プログラム (月例)
https://msrc.microsoft.com/blog/2023/03/202303-security-update/

JPCERT/CC 注意喚起
2023年3月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2023/at230005.html

【2】複数のMozilla製品に脆弱性

情報源

CISA Cybersecurity & Alerts Advisories
Mozilla Releases Security Updates for Firefox 111, Firefox ESR 102.9, and Thunderbird 102.9
https://www.cisa.gov/news-events/alerts/2023/03/14/mozilla-releases-security-updates-firefox-111-firefox-esr-1029-and-thunderbird-1029

概要

複数のMozilla製品には、脆弱性があります。結果として、遠隔の第三者がス
プーフィング攻撃などを行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

 - Mozilla Firefox 111より前のバージョン
 - Mozilla Firefox ESR 102.9より前のバージョン
 - Mozilla Thunderbird 102.9より前のバージョン

この問題は、Mozillaが提供する修正済みのバージョンに更新することで解決
します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)

Mozilla
Mozilla Foundation Security Advisory 2023-09
https://www.mozilla.org/en-US/security/advisories/mfsa2023-09/

Mozilla
Mozilla Foundation Security Advisory 2023-10
https://www.mozilla.org/en-US/security/advisories/mfsa2023-10/

Mozilla
Mozilla Foundation Security Advisory 2023-11
https://www.mozilla.org/en-US/security/advisories/mfsa2023-11/

【3】複数のアドビ製品に脆弱性

情報源

CISA Cybersecurity & Alerts Advisories
Adobe Releases Security Updates for Multiple Products
https://www.cisa.gov/news-events/alerts/2023/03/14/adobe-releases-security-updates-multiple-products

概要

複数のアドビ製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe Commerce
- Adobe Experience Manager
- Adobe Illustrator
- Adobe Dimension
- Adobe Creative Cloud Desktop Application
- Adobe Substance 3D Stager
- Adobe Photoshop
- Adobe ColdFusion

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2023031501.html

関連文書 (英語)

アドビ
Security update available for Adobe Commerce | APSB23-17
https://helpx.adobe.com/security/products/magento/apsb23-17.html

アドビ
Security updates available for Adobe Experience Manager | APSB23-18
https://helpx.adobe.com/security/products/experience-manager/apsb23-18.html

アドビ
Security Updates Available for Adobe Illustrator | APSB23-19
https://helpx.adobe.com/security/products/illustrator/apsb23-19.html

アドビ
Security updates available for Dimension | APSB23-20
https://helpx.adobe.com/security/products/dimension/apsb23-20.html

アドビ
Security update available for Adobe Creative Cloud Desktop Application | APSB23-21
https://helpx.adobe.com/security/products/creative-cloud/apsb23-21.html

アドビ
Security updates available for Substance 3D Stager | APSB23-22
https://helpx.adobe.com/security/products/substance3d_stager/apsb23-22.html

アドビ
Security update available for Adobe Photoshop | APSB23-23
https://helpx.adobe.com/security/products/photoshop/apsb23-23.html

アドビ
Security updates available for Adobe ColdFusion | APSB23-25
https://helpx.adobe.com/security/products/coldfusion/apsb23-25.html

【4】Drupalに不適切なアクセス制御の脆弱性

情報源

CISA Current Activity
Drupal Releases Security Advisory to Address Vulnerability in Drupal Core
https://www.cisa.gov/news-events/alerts/2023/03/17/drupal-releases-security-advisory-address-vulnerability-drupal-core

概要

Drupalの複数のバージョンには、不適切なアクセス制御の脆弱性があります。
攻撃者がDrupalの管理者ユーザーのブラウザ上でクロスサイトスクリプティン
グを成功させた場合、本脆弱性を悪用して機微な情報にアクセスが可能となり、
さらなる攻撃に悪用される可能性があります。

対象となるバージョンは次のとおりです。

- Drupal 10.0.5より前の10.0系のバージョン
- Drupal 9.5.5より前の9.5系のバージョン
- Drupal 9.4.12より前の9系のバージョン
- Drupal 8系すべてのバージョン
- Drupal 7.95より前の7系のバージョン

なお、8系および9.4より前の9系のバージョンはEOLを迎えていることがアナ
ウンスされております。

この問題は、開発者が提供する修正済みのバージョンに更新することで解決し
ます。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)

Drupal
Drupal core - Moderately critical - Access bypass - SA-CORE-2023-004
https://www.drupal.org/sa-core-2023-004

【5】TP-LINK製T2600G-28SQにおける脆弱なSSHホスト鍵使用

情報源

Japan Vulnerability Notes JVN#62420378
TP-Link 製 T2600G-28SQ における脆弱な SSH ホスト鍵使用
https://jvn.jp/jp/JVN62420378/

概要

TP-Linkが提供するT2600G-28SQには、脆弱なSSHホスト鍵が使用されています。
結果として、悪意のある第三者が偽のデバイスを用意し、管理者に接続させる
ことで、当該製品に接続する際の認証情報を取得する可能性があります。

対象となるバージョンは次のとおりです。

- T2600G-28SQ「T2600G-28SQ(UN)_V1_1.0.6 Build 20230227」より前のファームウェア

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)

ティーピーリンクジャパン株式会社
T2600G-28SQ のコンテンツ | TP-Link 日本
https://www.tp-link.com/jp/support/download/t2600g-28sq/#Firmware

■今週のひとくちメモ

○JPCERT/CCが「JSAC2023」の開催レポートを公開

JPCERT/CCは、2023年1月25日、26日にJSAC2023を開催しました。本カンファレ
ンスは、技術情報を共有し、日本国内のセキュリティアナリストの底上げを目
的に開催しており、6回目となりました。今回のJSAC2023では、2日間で12件の
講演、2件のワークショップ、7件のLightning talkを行いました。講演資料の
一部はJSACのWebサイトに公開、掲載しております。開催レポートでは、本カ
ンファレンスの様子をお伝えしています。

参考文献 (日本語)

JPCERT/CC Eyes
JSAC2023 開催レポート〜DAY 1〜
https://blogs.jpcert.or.jp/ja/2023/03/jsac2023day1.html

JPCERT/CC Eyes
JSAC2023 開催レポート〜DAY 2〜
https://blogs.jpcert.or.jp/ja/2023/03/jsac2023day2.html

JPCERT/CC Eyes
JSAC2023 開催レポート〜DAY 2 Workshop〜
https://blogs.jpcert.or.jp/ja/2023/03/jsac2023day2-workshop.html

JSAC2023
JSAC2023 - Time Table -
https://jsac.jpcert.or.jp/timetable.html

■JPCERT/CCからのお願い