-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2022-1101 JPCERT/CC 2022-03-16 <<< JPCERT/CC WEEKLY REPORT 2022-03-16 >>> ―――――――――――――――――――――――――――――――――――――― ■03/06(日)〜03/12(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数のマイクロソフト製品に脆弱性 【2】複数のアドビ製品に脆弱性 【3】複数のMozilla製品に脆弱性 【4】複数のSAP製品に脆弱性 【5】Intel製品に複数の脆弱性 【6】PTC製Axeda agentおよびAxeda Desktop Server for Windowsに複数の脆弱性 【7】WPS Office for WindowsのインストーラーにACL設定不備の脆弱性 【8】UNIVERGE WAシリーズにOSコマンドインジェクションの脆弱性 【9】複数のトレンドマイクロ製品に脆弱性 【10】Linux Kernelに権限昇格の脆弱性 【今週のひとくちメモ】JPCERT/CCが「制御システムセキュリティカンファレンス 2022」「JSAC2022」の開催レポートを公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2022/wr221101.html https://www.jpcert.or.jp/wr/2022/wr221101.xml ============================================================================ 【1】複数のマイクロソフト製品に脆弱性 情報源 CISA Current Activity Microsoft Releases March 2022 Security Updates https://www.cisa.gov/uscert/ncas/current-activity/2022/03/08/microsoft-releases-march-2022-security-updates 概要 複数のマイクロソフト製品には、複数の脆弱性があります。結果として、遠隔 の第三者が任意のコードを実行するなどの可能性があります。 対象となる製品は、多岐に渡ります。詳細はマイクロソフト株式会社が提供す るアドバイザリ情報を参照してください。 この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく ださい。 関連文書 (日本語) マイクロソフト株式会社 2022 年 3 月のセキュリティ更新プログラム https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2022-Mar JPCERT/CC 注意喚起 2022年3月マイクロソフトセキュリティ更新プログラムに関する注意喚起 https://www.jpcert.or.jp/at/2022/at220007.html 【2】複数のアドビ製品に脆弱性 情報源 CISA Current Activity Adobe Releases Security Updates for Multiple Products https://www.cisa.gov/uscert/ncas/current-activity/2022/03/08/adobe-releases-security-updates-multiple-products 概要 複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー ドを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Photoshop 2021 - Photoshop 2022 - Illustrator 2022 - Adobe After Effects この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す ることで解決します。詳細は、アドビが提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC CyberNewsFlash 複数のアドビ製品のアップデートについて https://www.jpcert.or.jp/newsflash/2022030902.html 関連文書 (英語) アドビ Security update available for Adobe Photoshop | APSB22-14 https://helpx.adobe.com/security/products/photoshop/apsb22-14.html アドビ Security Updates Available for Adobe Illustrator | APSB22-15 https://helpx.adobe.com/security/products/illustrator/apsb22-15.html アドビ Security Updates Available for Adobe After Effects | APSB22-17 https://helpx.adobe.com/security/products/after_effects/apsb22-17.html 【3】複数のMozilla製品に脆弱性 情報源 CISA Current Activity Mozilla Releases Security Updates for Multiple Products https://www.cisa.gov/uscert/ncas/current-activity/2022/03/07/mozilla-releases-security-updates-multiple-products CISA Current Activity Mozilla Releases Security Updates https://www.cisa.gov/uscert/ncas/current-activity/2022/03/08/mozilla-releases-security-updates 概要 複数のMozilla製品には、脆弱性があります。結果として、第三者が製品をク ラッシュさせるなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Mozilla Firefox 98より前のバージョン - Mozilla Firefox ESR 91.7より前のバージョン - Mozilla Firefox Focus 97.3より前のバージョン - Mozilla Thunderbird 91.7より前のバージョン - Mozilla Firefox for Android 97.3より前のバージョン この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新 することで解決します。詳細は、Mozillaが提供する情報を参照してください。 関連文書 (英語) Mozilla Security Vulnerabilities fixed in Firefox 97.0.2, Firefox ESR 91.6.1, Firefox for Android 97.3.0, and Focus 97.3.0 https://www.mozilla.org/en-US/security/advisories/mfsa2022-09/ Mozilla Security Vulnerabilities fixed in Firefox 98 https://www.mozilla.org/en-US/security/advisories/mfsa2022-10/ Mozilla Security Vulnerabilities fixed in Firefox ESR 91.7 https://www.mozilla.org/en-US/security/advisories/mfsa2022-11/ Mozilla Security Vulnerabilities fixed in Thunderbird 91.7 https://www.mozilla.org/en-US/security/advisories/mfsa2022-12/ 【4】複数のSAP製品に脆弱性 情報源 CISA Current Activity SAP Releases March 2022 Security Updates https://www.cisa.gov/uscert/ncas/current-activity/2022/03/08/sap-releases-march-2022-security-updates 概要 複数のSAP製品には、脆弱性があります。結果として、遠隔の第三者が任意の コードを実行するなどの可能性があります。 対象となる製品は、多岐にわたります。詳細はSAPが提供するアドバイザリ情 報を参照してください。 この問題は、該当する製品をSAPが提供する修正済みのバージョンに更新する ことで解決します。詳細は、SAPが提供する情報を参照してください。 関連文書 (英語) SAP SAP Security Patch Day March 2022 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a 【5】Intel製品に複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#96610560 Intel製品に複数の脆弱性(2022年3月) https://jvn.jp/vu/JVNVU96610560/ 概要 Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security Center Advisoriesが公開されました。 詳細は、Intelが提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC CyberNewsFlash Intel製品に関する複数の脆弱性について https://www.jpcert.or.jp/newsflash/2022030901.html 関連文書 (英語) Intel Intel Product Security Center Advisories https://www.intel.com/content/www/us/en/security-center/default.html 【6】PTC製Axeda agentおよびAxeda Desktop Server for Windowsに複数の脆弱性 情報源 CISA Current Activity CISA Releases Security Advisory on PTC Axeda Agent and Desktop Server https://www.cisa.gov/uscert/ncas/current-activity/2022/03/08/cisa-releases-security-advisory-ptc-axeda-agent-and-desktop-server 概要 PTC社が提供するAxeda agentおよびAxeda Desktop Server for Windowsには、 複数の脆弱性があります。結果として、遠隔の第三者が任意のコードを実行す るなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Axeda agentすべてのバージョン - Axeda Desktop Server for Windowsすべてのバージョン この問題は、該当する製品をPTCが提供する修正済みのバージョンに更新する ことで解決します。詳細は、PTCが提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#97043819 PTC製Axeda agentおよびAxeda Desktop Server for Windowsにおける複数の脆弱性 https://jvn.jp/vu/JVNVU97043819/ 関連文書 (英語) PTC Security vulnerabilities identified in the Axeda agent and Axeda Desktop Server https://www.ptc.com/en/support/article/CS363561 【7】WPS Office for WindowsのインストーラーにACL設定不備の脆弱性 情報源 Japan Vulnerability Notes JVNVU#90673830 WPS Office for Windows のインストーラにACL設定不備の脆弱性 https://jvn.jp/vu/JVNVU90673830/ 概要 WPS Office Softwareが提供するWPS Office for Windowsのインストーラーに は、ACL設定不備の脆弱性があります。結果として、一般ユーザーが管理者権 限を取得する可能性があります。 対象となるバージョンは次のとおりです。 - WPS Office for Windows v11.2.0.10258より前のバージョン この問題は、該当する製品をWPS Office Softwareが提供するアップデートを 適用することで解決します。詳細は、WPS Office Softwareが提供する情報を 参照してください。 【8】UNIVERGE WAシリーズにOSコマンドインジェクションの脆弱性 情報源 Japan Vulnerability Notes JVN#72801744 UNIVERGE WA シリーズにおける OS コマンドインジェクションの脆弱性 https://jvn.jp/jp/JVN72801744/ 概要 NECプラットフォームズ株式会社が提供するUNIVERGE WAシリーズ主装置には、 OSコマンドインジェクションの脆弱性があります。結果として、当該製品へア クセス可能な第三者が、任意のコマンドを実行したり、サービス運用妨害 (DoS)攻撃を行ったりする可能性があります。 対象となるバージョンは次のとおりです。 - UNIVERGE WAシリーズ Ver8.2.11およびそれ以前 この問題は、該当する製品をNECプラットフォームズ株式会社が提供する修正 済みのバージョンに更新することで解決します。詳細は、NECプラットフォー ムズ株式会社が提供する情報を参照してください。 関連文書 (日本語) NECプラットフォームズ株式会社 WAシリーズにおける「OS コマンドインジェクション」の脆弱性に関するお知らせ https://jpn.nec.com/univerge/wa/info/20220309.html 【9】複数のトレンドマイクロ製品に脆弱性 情報源 Japan Vulnerability Notes JVNVU#96777901 トレンドマイクロ製パスワードマネージャーのインストーラにおけるDLL読み込みに関する脆弱性 https://jvn.jp/vu/JVNVU96777901/ Japan Vulnerability Notes JVNVU#99391968 Trend Micro Portable Securityの管理プログラムインストーラにおけるDLL読み込みに関する脆弱性 https://jvn.jp/vu/JVNVU99391968/ 概要 複数のトレンドマイクロ製品には、DLL読み込みに関する脆弱性があります。 結果として、第三者が権限昇格を行う可能性があります。 対象となる製品およびバージョンは次のとおりです。 - パスワードマネージャー 5.x Windows版 バージョン5.0.0.1262およびそれ以前のインストーラー - Trend Micro Portable Security 3.0 - Trend Micro Portable Security 2.0 この問題は、トレンドマイクロ株式会社が提供する最新のインストーラーを使 用するか、トレンドマイクロ株式会社が提供するパッチを適用することで解決 します。詳細は、トレンドマイクロ株式会社が提供する情報を参照してくださ い。 関連文書 (日本語) トレンドマイクロ株式会社 アラートアドバイザリ:パスワードマネージャーの脆弱性について (CVE-2022-26337) https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10949 トレンドマイクロ株式会社 アラート/アドバイザリ:Trend Micro Portable Securityの管理プログラムインストーラにおける権限昇格の脆弱性について https://success.trendmicro.com/jp/solution/000290532 【10】Linux Kernelに権限昇格の脆弱性 情報源 CISA Current Activity Dirty Pipe Privilege Escalation Vulnerability in Linux https://www.cisa.gov/uscert/ncas/current-activity/2022/03/10/dirty-pipe-privilege-escalation-vulnerability-linux 概要 Linux Kernelには、権限昇格の脆弱性があります。結果として、第三者が管理 者に権限昇格を行う可能性があります。脆弱性には「CVE-2022-0847」が付番 されており、発見者は脆弱性を「Dirty Pipe」と呼称し、脆弱性を実証するコー ドも公開しています。 脆弱性の発見者によると、対象となるバージョンは次のとおりです。 - Linux Kernel 5.8以降のバージョン 各Linuxディストリビューションにおける対象バージョンは、ディストリビュー ターの情報を参照ください。 各ディストリビューターより、本脆弱性を修正したバージョンが公開されてい ます。各ディストリビューターの情報などを参考にバージョンアップなどの対 応を検討してください。 関連文書 (英語) CM4all GmbH The Dirty Pipe Vulnerability https://dirtypipe.cm4all.com/ The MITRE Corporation CVE-2022-0847 Detail https://www.cve.org/CVERecord?id=CVE-2022-0847 Red Hat Customer Portal CVE-2022-0847 https://access.redhat.com/security/cve/cve-2022-0847 Debian CVE-2022-0847 https://security-tracker.debian.org/tracker/CVE-2022-0847 SUSE CVE-2022-0847 https://www.suse.com/security/cve/CVE-2022-0847.html Ubuntu CVE-2022-0847 https://ubuntu.com/security/CVE-2022-0847 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○JPCERT/CCが「制御システムセキュリティカンファレンス 2022」「JSAC2022」の開催レポートを公開 2022年3月3日、JPCERT/CCは「制御システムセキュリティカンファレンス 2022」 の開催レポートを公開しました。同年2月3日に開催した本カンファレンスは、 国内外の制御システムにおける脅威の現状や制御システムセキュリティのステー クホルダーによる取り組みを共有し、参加者の制御システムセキュリティ対策の 向上やベストプラクティス確立の一助となることを目的に開催しています。 2022年2月28日、3月8日、JPCERT/CCは「JSAC2022」の開催レポートをそれぞれ Day1、Day2と分けて公開しました。2022年1月27日、28日に開催した本カンファ レンスは、日本国内のセキュリティアナリストの底上げを行うため、国内のセ キュリティアナリストが一堂に会し、インシデント分析・対応に関連する技術 的な知見を共有することを目的に開催しています。 各開催レポートでは、講演の様子や一部講演資料などを公開しています。次回 の開催にもご期待ください。 参考文献 (日本語) JPCERT/CC Eyes 制御システムセキュリティカンファレンス 2022 開催レポート https://blogs.jpcert.or.jp/ja/2022/03/ics-conference2022.html JPCERT/CC Eyes JSAC2022開催レポート〜DAY1〜 https://blogs.jpcert.or.jp/ja/2022/02/jsac2022report1.html JPCERT/CC Eyes JSAC2022開催レポート〜DAY2〜 https://blogs.jpcert.or.jp/ja/2022/03/jsac2022report2.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CCからのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下のURLからご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下のURLを参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJiMRNXAAoJEKntH+qu5CT/kIQQAJCnoHg8cvdWNaaS1PjRrdM4 rUl37gv85QCEQB9AlZUr4zg5XyooC3huxWssRToJRH6kYoOwogMUsdZ7gkZuGpmw 443gmFlR/+PRNRceqCYqi9H+Rqfvm6X40tvvz99CDdZErUW3H/4dra4ti3SnGVvb zmAe+WDFoJ7ZJRGRHtMCHBNYzqccNT0kgFCST5wQZFQDipHPZu2GRK70x8xJXYY/ foLs1irsrNPxLJgJTMd22YGFqjjakVx73wp1b67qn/AI2K1FOh/ooDmodTGxCagJ 5kg4gM2LjUJe9COK+r5ftSxMgR85r/cEbms/YFjTfHKYmtqSQO/1buXDjn7Ad9o6 JwFomcrwJjBXGUv6oQDcMIulP6pW6dk/zXtIuZ6qDPrOeAP15111egsVXzAIojuX v/D8nni0XBUs2CNdOqLLJ7hjpY4JAXADWlP2v7mFzWm2VnXy+49biI0AaA3mvVms De8f75Ezq4bVNqInqHA73wFcGNjCaYcwnNiEGozxDGCkH4NKSVa3i7bzIyBUcS8q 4S9d8fPMr13IH0Kv9u6Y/cs703icw42Z3gRebaQ7j5MbtT8FVE4+/QETNwcO1S+O bTGDaNKXFSCtFbaMhgm7gRbv3So6LK2nOd06vnfCqL5oosEb4VbU4TEZ0vaIXUCL OaZ8OFg9zAC2yTxILho/ =AbWo -----END PGP SIGNATURE-----