<<< JPCERT/CC WEEKLY REPORT 2023-06-21 >>>
■06/11(日)〜06/17(土) のセキュリティ関連情報
目 次
【1】MOVEit TransferにSQLインジェクションの脆弱性
【2】Panasonic製AiSEG2に複数の脆弱性
【3】Apache Struts 2に複数の脆弱性
【4】Ridoc Ez Installer NXで作成したドライバーインストールパッケージを改ざん可能な脆弱性
【5】Google Chromeに複数の脆弱性
【6】複数のFortinet製品に脆弱性
【7】複数のマイクロソフト製品に脆弱性
【8】複数のアドビ製品に脆弱性
【9】複数のトレンドマイクロ製企業向け製品に脆弱性
【10】Chatworkデスクトップ版アプリ(Mac)にコードインジェクションの脆弱性
【11】キングソフト製WPS OfficeにOSコマンドインジェクションの脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
【1】MOVEit TransferにSQLインジェクションの脆弱性
情報源
概要
Progress Softwareが提供するMOVEit Transferには、SQLインジェクションの脆弱性があります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-15June2023
【2】Panasonic製AiSEG2に複数の脆弱性
情報源
概要
Panasonic製AiSEG2には、複数の脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www2.panasonic.biz/jp/densetsu/aiseg/firmup_info.html
【3】Apache Struts 2に複数の脆弱性
情報源
概要
Apache Struts 2には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://cwiki.apache.org/confluence/display/WW/S2-063
https://cwiki.apache.org/confluence/display/WW/S2-064
【4】Ridoc Ez Installer NXで作成したドライバーインストールパッケージを改ざん可能な脆弱性
情報源
概要
株式会社リコーが提供するRidoc Ez Installer NXで作成したドライバーインストールパッケージには、インストール時に実行するプログラムを改ざん可能な脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新し、ドライバーインストールパッケージを再作成することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://jp.ricoh.com/security/products/vulnerabilities/vul?id=ricoh-2023-000001
【5】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2023/06/stable-channel-update-for-desktop_13.html
概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
【6】複数のFortinet製品に脆弱性
情報源
概要
Fortinetは同社製品における脆弱性に関するアドバイザリを計22件(Critical 1件、High 7件、Medium 12件、Low 2件)公開しました。対象製品は多岐にわたり、影響や対策方法は製品によって異なります。SeverityがCriticalのアドバイザリ(FG-IR-23-097)では、FortiOSおよびFortiProxyのSSL-VPNにおけるヒープバッファーオーバーフローの脆弱性(CVE-2023-27997)が修正されています。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.fortiguard.com/psirt/FG-IR-23-097
https://www.fortiguard.com/psirt-monthly-advisory/june-2023-vulnerability-advisories
【7】複数のマイクロソフト製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/06/13/microsoft-releases-june-2023-security-updates
概要
複数のマイクロソフト製品には、脆弱性があります。対象は多岐にわたります。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.jpcert.or.jp/at/2023/at230010.html
https://msrc.microsoft.com/blog/2023/06/202306-security-update/
【8】複数のアドビ製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/06/13/adobe-releases-security-updates-multiple-products
概要
複数のアドビ製品には、脆弱性があります。Adobe Experience Manager、Adobe Commerce、Adobe Animate、Adobe Substance 3D Designerが影響を受けます。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
【9】複数のトレンドマイクロ製企業向け製品に脆弱性
情報源
概要
トレンドマイクロ株式会社が提供する複数の企業向け製品には、脆弱性があります。対象となる製品は、Trend Micro Mobile Security 9.8 SP5、Apex One、Apex One SaaS、Apex Centralで、影響や対策方法は製品によって異なります。詳細は開発者が提供する情報を参照してください。
関連文書
https://success.trendmicro.com/jp/solution/000293114
https://success.trendmicro.com/jp/solution/000293115
【10】Chatworkデスクトップ版アプリ(Mac)にコードインジェクションの脆弱性
情報源
概要
Chatwork株式会社が提供するChatworkデスクトップ版アプリ(Mac)には、コードインジェクションの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
【11】キングソフト製WPS OfficeにOSコマンドインジェクションの脆弱性
情報源
概要
キングソフト株式会社が提供していた旧製品WPS Officeには、OSコマンドインジェクションの脆弱性があります。当該製品はすでにサポートを終了しており修正アップデートは提供されないため、後継製品であるWPS Office2への移行が推奨されています。詳細は開発者が提供する情報を参照してください。
関連文書
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/
前
コメント
共 有
