JPCERT-WR-2023-0607
JPCERT/CC
2023-06-07
<<< JPCERT/CC WEEKLY REPORT 2023-06-07 >>>
■05/28(日)〜06/03(土) のセキュリティ関連情報
目 次
【1】MOVEit TransferにSQLインジェクションの脆弱性
【2】スマートフォンアプリ「自遊空間とくとくクーポン」にサーバ証明書の検証不備の脆弱性
【3】OpenSSLのASN.1 オブジェクト識別子変換に処理時間遅延の問題
【4】Joomlaに複数の脆弱性
【5】プリザンターにクロスサイトスクリプティングの脆弱性
【6】DataSpider Servistaにハードコードされた暗号鍵の使用の脆弱性
【7】VMwareにオープンリダイレクトの脆弱性
【8】Starletteにディレクトリトラバーサルの脆弱性
【9】IPAが「情報セキュリティ10大脅威 2023 知っておきたい用語や仕組み」を公開
【10】経済産業省が「ASM(Attack Surface Management)導入ガイダンス」を公開
【11】JPCERT/CCが「Linuxルーターを狙ったGo言語で書かれたマルウェアGobRAT」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
【1】MOVEit TransferにSQLインジェクションの脆弱性
情報源
概要
Progress Softwareが提供するMOVEit Transferには、SQLインジェクションの脆弱性があります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参考にしてください。
関連文書
https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023
【2】スマートフォンアプリ「自遊空間とくとくクーポン」にサーバ証明書の検証不備の脆弱性
情報源
概要
株式会社ランシステムが提供するスマートフォンアプリ「自遊空間とくとくクーポン」には、サーバ証明書の検証不備の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。また、回避策を実施することで影響を軽減することができます。詳細は開発者が提供する情報を参照してください。
関連文書
【3】OpenSSLのASN.1 オブジェクト識別子変換に処理時間遅延の問題
情報源
概要
OBJ_obj2txt()を直接使用するアプリケーションや、メッセージサイズの制限がないOpenSSLのサブシステム(OCSP、PKCS7/SMIME、CMS、CMP/CRMF、TS)を使用するアプリケーションにおいて、サービス運用妨害(DoS)攻撃を受ける可能性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
【4】Joomlaに複数の脆弱性
情報源
概要
Joomlaには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
【5】プリザンターにクロスサイトスクリプティングの脆弱性
情報源
概要
株式会社インプリムが提供するプリザンターには、クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新するか、パッチを適用することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
【6】DataSpider Servistaにハードコードされた暗号鍵の使用の脆弱性
情報源
概要
株式会社セゾン情報システムズが提供するDataSpider Servistaには、ハードコードされた暗号鍵の使用の脆弱性があります。この問題は、対応するパッチモジュールを適用した上で、起動設定ファイルに対して必要な手順を実施することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.hulft.com/application/files/2116/8430/2830/information_20230519.pdf
【7】VMwareにオープンリダイレクトの脆弱性
情報源
https://www.vmware.com/security/advisories/VMSA-2023-0011.html
概要
VMwareにはオープンリダイレクトの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
【8】Starletteにディレクトリトラバーサルの脆弱性
情報源
概要
Encodeが提供するStarletteには、ディレクトリトラバーサルの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://github.com/encode/starlette/security/advisories/GHSA-v5gw-mw7f-84px
【9】IPAが「情報セキュリティ10大脅威 2023 知っておきたい用語や仕組み」を公開
情報源
https://www.ipa.go.jp/security/10threats/ps6vr7000001po5u-att/yougoyashikumi_2023.pdf
概要
2023年5月30日、独立行政法人情報処理推進機構(IPA)は「情報セキュリティ10大脅威 2023 知っておきたい用語や仕組み」を公開しました。本書では、パソコンやスマートフォン、インターネットを安全に利用するための対策をとる上で、ぜひ知っておきたい用語や仕組み(技術名称やサービス名称等)をいくつかピックアップし、それらについての概要やよくある疑問点等を解説しています。
【10】経済産業省が「ASM(Attack Surface Management)導入ガイダンス」を公開
情報源
https://www.meti.go.jp/press/2023/05/20230529001/20230529001.html
概要
2023年5月29日、経済産業省は、サイバー攻撃から自社のIT資産を守るための手法として注目されている「ASM(Attack Surface Management)」について、自社のセキュリティ戦略に組み込んで適切に活用してもらえるよう、ASMの基本的な考え方や特徴、留意点などの基本情報とともに取組事例などを紹介した、「ASM(Attack Surface Management)導入ガイダンス」を公開しました。
関連文書
https://www.meti.go.jp/press/2023/05/20230529001/20230529001-a.pdf
【11】JPCERT/CCが「Linuxルーターを狙ったGo言語で書かれたマルウェアGobRAT」を公開
情報源
概要
2023年5月29日、JPCERT/CCは「Linuxルーターを狙ったGo言語で書かれたマルウェアGobRAT」と題したブログをJPCERT/CC Eyesで公開しました。本ブログでは、マルウェアGobRATの詳細やマルウェア実行までの攻撃の流れなどを解説しています。
関連文書
https://github.com/JPCERTCC/aa-tools/tree/master/GobRAT-Analysis
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/