JPCERT コーディネーションセンター

Weekly Report 2023-11-22号

JPCERT-WR-2023-1122
JPCERT/CC
2023-11-22

<<< JPCERT/CC WEEKLY REPORT 2023-11-22 >>>

■11/12(日)〜11/18(土) のセキュリティ関連情報

目 次

【1】CLUSTERPRO Xに複数の脆弱性

【2】CubeCartに複数の脆弱性

【3】Redmineにクロスサイトスクリプティングの脆弱性

【4】Citrix Hypervisorに複数の脆弱性

【5】Apache ActiveMQにリモートコード実行の脆弱性

【6】ファースト製DVRに複数の脆弱性

【7】複数のアドビ製品に脆弱性

【8】複数のマイクロソフト製品に脆弱性

【9】複数のFortinet製品に脆弱性

【10】VMware Cloud Director Applianceに認証バイパスの脆弱性

【11】複数のIntel製品に脆弱性

【12】ASUSTeK COMPUTER製RT-AC87Uに不適切なアクセス制御の脆弱性

【13】エレコム製およびロジテック製ルーターに複数の脆弱性

【14】OSS CalendarにSQLインジェクションの脆弱性

【15】プリザンターに複数の脆弱性

【16】HOTELDRUIDにクロスサイトスクリプティングの脆弱性

【17】日本の組織を標的にした外部からアクセス可能なIT資産を狙う複数の標的型サイバー攻撃活動に関する注意喚起

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】CLUSTERPRO Xに複数の脆弱性

情報源

https://jvn.jp/vu/JVNVU98954968/

概要

日本電気株式会社が提供するCLUSTERPRO XのWebManager/Cluster WebUIには、複数の脆弱性があります。対策は当該製品のバージョンにより異なります。詳細は開発者が提供する情報を参照してください。

関連文書

https://jpn.nec.com/security-info/secinfo/nv23-009.html

【2】CubeCartに複数の脆弱性

情報源

https://jvn.jp/jp/JVN22220399/

概要

CubeCart Limitedが提供するCubeCartには、複数の脆弱性があります。対策は脆弱性により異なります。詳細は開発者が提供する情報を参照してください。

関連文書

https://forums.cubecart.com/topic/58736-cubecart-653-released-security-update/

【3】Redmineにクロスサイトスクリプティングの脆弱性

情報源

https://jvn.jp/jp/JVN13618065/

概要

Redmineには、クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

関連文書

https://www.redmine.org/projects/redmine/wiki/Security_Advisories

https://www.redmine.org/news/141

https://www.redmine.org/projects/redmine/wiki/Download

【4】Citrix Hypervisorに複数の脆弱性

情報源

https://www.cisa.gov/news-events/alerts/2023/11/16/citrix-releases-security-updates-citrix-hypervisor-0

概要

Citrix Hypervisorには複数の脆弱性があります。この問題は、当該製品に更新プログラムを適用することで解決します。詳細は開発者が提供する情報を参照してください。

【5】Apache ActiveMQにリモートコード実行の脆弱性

情報源

https://jvn.jp/vu/JVNVU98585341/

概要

Apache ActiveMQおよびApache ActiveMQ Legacy OpenWire Moduleにはリモートコード実行が可能となる脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

関連文書

https://activemq.apache.org/security-advisories.data/CVE-2023-46604

https://activemq.apache.org/news/cve-2023-46604

【6】ファースト製DVRに複数の脆弱性

情報源

https://jvn.jp/vu/JVNVU99077347/

概要

株式会社ファーストが提供するDigital Video Recorder(DVR)には、複数の脆弱性があります。対策は製品により異なります。詳細は開発者が提供する情報を参照してください。

関連文書

https://www.c-first.co.jp/wp/wp-content/uploads/2023/11/tuushin.pdf

https://www.c-first.co.jp/information/ddososhirase/

【7】複数のアドビ製品に脆弱性

情報源

https://www.cisa.gov/news-events/alerts/2023/11/14/adobe-releases-security-updates-multiple-products

概要

複数のアドビ製品に関する脆弱性が公開されています。対象となる製品およびバージョンは多岐にわたります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

関連文書

https://www.jpcert.or.jp/at/2023/at230027.html

https://www.jpcert.or.jp/newsflash/2023111501.html

【8】複数のマイクロソフト製品に脆弱性

情報源

https://www.cisa.gov/news-events/alerts/2023/11/14/microsoft-releases-november-2023-security-updates

概要

複数のマイクロソフト製品に関する脆弱性が公開されています。対象となる製品およびバージョンは多岐にわたります。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は開発者が提供する情報を参照してください。

関連文書

https://www.jpcert.or.jp/at/2023/at230028.html

【9】複数のFortinet製品に脆弱性

情報源

https://www.cisa.gov/news-events/alerts/2023/11/14/fortinet-releases-security-updates-forticlient-and-fortigate

概要

Fortinetは同社製品における脆弱性に関するアドバイザリを21件(Critical 2件 High 6件を含む)公開しました。対象製品および影響は多岐にわたり、対策は製品により異なります。詳細は開発者が提供する情報を参照してください。

関連文書

https://www.fortiguard.com/psirt/FG-IR-22-299

https://www.fortiguard.com/psirt/FG-IR-23-274

https://www.fortiguard.com/psirt/FG-IR-23-135

https://www.fortiguard.com/psirt/FG-IR-23-142

https://www.fortiguard.com/psirt/FG-IR-23-061

https://www.fortiguard.com/psirt/FG-IR-23-143

https://www.fortiguard.com/psirt/FG-IR-23-265

https://www.fortiguard.com/psirt/FG-IR-22-292

【10】VMware Cloud Director Applianceに認証バイパスの脆弱性

情報源

https://www.cisa.gov/news-events/alerts/2023/11/14/vmware-releases-security-update-cloud-director-appliance

概要

VMware Cloud Director Applianceには、認証バイパスの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

関連文書

https://www.vmware.com/security/advisories/VMSA-2023-0026.html

【11】複数のIntel製品に脆弱性

情報源

https://jvn.jp/vu/JVNVU96399390/

概要

Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security Center Advisoriesが公開されました。詳細は、Intelが提供する情報を参照してください。

関連文書

https://www.intel.com/content/www/us/en/security-center/default.html

https://www.jpcert.or.jp/newsflash/2023111502.html

【12】ASUSTeK COMPUTER製RT-AC87Uに不適切なアクセス制御の脆弱性

情報源

https://jvn.jp/vu/JVNVU96079387/

概要

ASUSTeK COMPUTER INC.が提供するRT-AC87Uには、不適切なアクセス制御の脆弱性があります。この問題は、ワークアラウンドを実施する、または後継製品に移行することで解決します。詳細は開発者が提供する情報を参照してください。

【13】エレコム製およびロジテック製ルーターに複数の脆弱性

情報源

https://jvn.jp/vu/JVNVU94119876/

概要

エレコム株式会社およびロジテック株式会社が提供するルーターには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新、ワークアラウンドを実施、または後継製品に移行することで解決します。詳細は開発者が提供する情報を参照してください。

関連文書

https://www.elecom.co.jp/news/security/20230810-01/

https://www.elecom.co.jp/news/security/20231114-01/

https://www.elecom.co.jp/news/security/20210706-01/

【14】OSS CalendarにSQLインジェクションの脆弱性

情報源

https://jvn.jp/jp/JVN67822421/

概要

シンキングリード株式会社が提供するOSS Calendarには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

関連文書

https://oss-calendar.com/news/20231113/

【15】プリザンターに複数の脆弱性

情報源

https://jvn.jp/jp/JVN96209256/

概要

株式会社インプリムが提供するプリザンターには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

関連文書

https://pleasanter.org/archives/vulnerability-update-202311

【16】HOTELDRUIDにクロスサイトスクリプティングの脆弱性

情報源

https://jvn.jp/jp/JVN99177549/

概要

DigitalDruid.Netが提供するHOTELDRUIDには、クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

関連文書

https://www.hoteldruid.com/en/download.html

【17】日本の組織を標的にした外部からアクセス可能なIT資産を狙う複数の標的型サイバー攻撃活動に関する注意喚起

情報源

https://www.jpcert.or.jp/at/2023/at230029.html

概要

2023年11月16日、JPCERT/CCは日本の組織を標的にした外部からアクセス可能なIT資産を狙う複数の標的型サイバー攻撃活動に関する注意喚起を公開しました。複数の製品を対象とした攻撃活動を確認しておりますので、調査および対策の実施を推奨します。

■JPCERT/CCからのお願い

  • 本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter