-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


                                                         JPCERT-WR-2022-1401
                                                                   JPCERT/CC
                                                                  2022-04-06

            <<< JPCERT/CC WEEKLY REPORT 2022-04-06 >>>

――――――――――――――――――――――――――――――――――――――
■03/27(日)〜04/02(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】Google Chromeに複数の脆弱性
【2】複数のApple製品に脆弱性
【3】Spring Frameworkに任意のコード実行の脆弱性
【4】Trend Micro Apex CentralおよびTrend Micro Apex Central as a Serviceにファイルコンテンツの検証不備の脆弱性
【5】オムロン製CX-Positionに複数の脆弱性
【6】複数の三菱電機製FA製品に脆弱性
【7】アタッシェケースにDLL読み込み不備の脆弱性
【8】WordPress用プラグインAdvanced Custom Fieldsに認証欠如の脆弱性
【9】ぜろちゃんねるプラスにクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】IPAが「クラウドサービスのサプライチェーンリスクマネジメント調査」の結果を公開

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2022/wr221401.html
        https://www.jpcert.or.jp/wr/2022/wr221401.xml
============================================================================


【1】Google Chromeに複数の脆弱性

    情報源
      CISA Current Activity
      Google Releases Security Updates for Chrome
      https://www.cisa.gov/uscert/ncas/current-activity/2022/03/30/google-releases-security-updates-chrome

    概要
      Google Chromeには、複数の脆弱性があります。

      対象となるバージョンは次のとおりです。

      - Google Chrome 100.0.4896.60より前のバージョン

      この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
      することで解決します。詳細は、Googleが提供する情報を参照してください。

    関連文書 (英語)
      Google
      Stable Channel Update for Desktop
      https://chromereleases.googleblog.com/2022/03/stable-channel-update-for-desktop_29.html

【2】複数のApple製品に脆弱性

    情報源
      CISA Current Activity
      Apple Releases Security Updates
      https://www.cisa.gov/uscert/ncas/current-activity/2022/04/01/apple-releases-security-updates-0

    概要
      複数のApple製品には、脆弱性があります。結果として、遠隔の第三者が任意
      のコードを実行するなどの可能性があります。

      対象となる製品およびバージョンは次のとおりです。

      - iOS 15.4.1より前のバージョン
      - iPadOS 15.4.1より前のバージョン
      - macOS Monterey 12.3.1より前のバージョン

      この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
      ることで解決します。詳細は、Appleが提供する情報を参照してください。

    関連文書 (日本語)
      JPCERT/CC CyberNewsFlash
      Apple製品のアップデートについて（2022年4月）
      https://www.jpcert.or.jp/newsflash/2022040102.html

      Apple
      iOS 15.4.1 および iPadOS 15.4.1 のセキュリティコンテンツについて
      https://support.apple.com/ja-jp/HT213219

      Apple
      macOS Monterey 12.3.1 のセキュリティコンテンツについて
      https://support.apple.com/ja-jp/HT213220

【3】Spring Frameworkに任意のコード実行の脆弱性

    情報源
      Japan Vulnerability Notes JVNVU#94675398
      Spring Frameworkにおける不適切なデータバインディング処理による任意コード実行の脆弱性
      https://jvn.jp/vu/JVNVU94675398/

    概要
      Spring Frameworkには、データバインディングで使用するPropertyDescriptor
      オブジェクトを安全に処理しない脆弱性があります。結果として、遠隔の第三
      者がアプリケーションの権限で任意のコードを実行する可能性があります。

      対象となる製品およびバージョンは次のとおりです。

      - Spring Framework バージョン5.3.0から5.3.17
      - Spring Framework バージョン5.2.0から5.2.19

      この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
      ることで解決します。詳細は、開発者が提供する情報を参照してください。

    関連文書 (日本語)
      JPCERT/CC CyberNewsFlash
      Spring Frameworkの任意のコード実行の脆弱性（CVE-2022-22965）について
      https://www.jpcert.or.jp/newsflash/2022040101.html

    関連文書 (英語)
      VMWare
      CVE-2022-22965: Spring Framework RCE via Data Binding on JDK 9+
      https://tanzu.vmware.com/security/cve-2022-22965

      VMWare
      Spring Framework RCE, Early Announcement
      https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

【4】Trend Micro Apex CentralおよびTrend Micro Apex Central as a Serviceにファイルコンテンツの検証不備の脆弱性

    情報源
      Japan Vulnerability Notes JVNVU#99107357
      Trend Micro Apex CentralおよびTrend Micro Apex Central as a Serviceにおけるファイルコンテンツの検証不備の脆弱性
      https://jvn.jp/vu/JVNVU99107357/

    概要
      トレンドマイクロ株式会社が提供するTrend Micro Apex CentralおよびTrend
      Micro Apex Central as a Service（Apex One SaaSのApex Central機能部分）
      には、ファイルコンテンツの検証不備の脆弱性があります。結果として、遠隔
      の第三者が任意のファイルをアップロードし、任意のコードを実行する可能性
      があります。

      対象となる製品およびバージョンは次のとおりです。

      - Trend Micro Apex Central 2019 Build 6016より前のバージョン
      - Trend Micro Apex Central as a Service（Apex One SaaSのApex Central機能部分）Build 202203より前のバージョン

      この問題は、該当する製品にトレンドマイクロ株式会社が提供する修正パッチ
      を適用することで解決します。詳細は、トレンドマイクロ株式会社が提供する
      情報を参照してください。

    関連文書 (日本語)
      JPCERT/CC 注意喚起
      Trend Micro Apex Central製品の脆弱性（CVE-2022-26871）に関する注意喚起
      https://www.jpcert.or.jp/at/2022/at220008.html

      トレンドマイクロ株式会社
      アラート/アドバイザリ：CVE-2022-26871 Apex CentralおよびApex Central (SaaS)で任意のファイルがアップロードされる脆弱性について(2022年3月)
      https://success.trendmicro.com/jp/solution/000290660

      トレンドマイクロ株式会社
      【注意喚起】Trend Micro Apex Centralの脆弱性を悪用した攻撃を確認したことによる修正プログラム適用のお願い（CVE-2022-26871)
      https://appweb.trendmicro.com/supportNews/NewsDetail.aspx?id=4435

【5】オムロン製CX-Positionに複数の脆弱性

    情報源
      Japan Vulnerability Notes JVNVU#96756124
      オムロン製CX-Positionにおける複数の脆弱性
      https://jvn.jp/vu/JVNVU96756124/

    概要
      オムロン株式会社が提供するCX-Positionには、複数の脆弱性があります。結
      果として、第三者が任意のコードを実行するなどの可能性があります。

      対象となる製品およびバージョンは次のとおりです。

      - CX-Position 2.5.3およびそれ以前のバージョン

      この問題は、該当する製品をオムロン株式会社が提供する修正済みのバージョ
      ンに更新することで解決します。詳細は、オムロン株式会社が提供する情報を
      参照してください。

    関連文書 (日本語)
      オムロン株式会社
      CX-One バージョンアップ プログラム ダウンロード
      https://www.fa.omron.co.jp/product/tool/26/cxone/one1.html

【6】複数の三菱電機製FA製品に脆弱性

    情報源
      Japan Vulnerability Notes JVNVU#96577897
      三菱電機製FA製品における複数の脆弱性
      https://jvn.jp/vu/JVNVU96577897/

    概要
      三菱電機株式会社が提供する複数のFA製品には、脆弱性があります。結果と
      して、遠隔の第三者が当該製品へ不正ログインするなどの可能性があります。

      対象となる製品は次のとおりです。

      - iQ-Fシリーズ FX5U(C) CPUユニット 全機種 全バージョン
      - iQ-Fシリーズ FX5UJ CPUユニット 全機種 全バージョン

      この問題について、三菱電機株式会社より脆弱性の影響を軽減するための回避
      策に関する情報が提供されています。詳細は、三菱電機株式会社が提供する情
      報を参照してください。

    関連文書 (日本語)
      三菱電機株式会社
      複数の FA 製品における認証回避、情報漏えい及び情報改ざんの脆弱性
      https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-031.pdf

【7】アタッシェケースにDLL読み込み不備の脆弱性

    情報源
      Japan Vulnerability Notes JVN#10140834
      アタッシェケースにおける DLL 読み込みに関する脆弱性
      https://jvn.jp/jp/JVN10140834/

    概要
      HiBARA Softwareが提供するアタッシェケースには、DLL読み込みに関する脆弱
      性があります。結果として、第三者がアタッシュケースの実行ファイルを実行
      している権限で、任意のコードを実行する可能性があります。

      対象となる製品およびバージョンは次のとおりです。

      - アタッシェケース ver.4.0.2.7およびそれ以前のバージョン
      - アタッシェケース ver.3.6.1.0およびそれ以前のバージョン

      この問題は、該当する製品をHiBARA Softwareが提供する修正済みのバージョ
      ンに更新することで解決します。詳細は、HiBARA Softwareが提供する情報を
      参照してください。

    関連文書 (日本語)
      HiBARA Software
      アタッシェケース４（ 正式版 ）
      https://hibara.org/software/attachecase/

【8】WordPress用プラグインAdvanced Custom Fieldsに認証欠如の脆弱性

    情報源
      Japan Vulnerability Notes JVN#42543427
      WordPress 用プラグイン Advanced Custom Fields における認証欠如の脆弱性
      https://jvn.jp/jp/JVN42543427/

    概要
      WordPress用プラグインAdvanced Custom Fieldsには、認証欠如の脆弱性があ
      ります。結果として、遠隔の第三者がデータベース上のアクセス権限のないデー
      タを閲覧する可能性があります。

      対象となる製品およびバージョンは次のとおりです。

      - Advanced Custom Fields 5.12.1より前のバージョン
      - Advanced Custom Fields Pro 5.12.1より前のバージョン

      この問題は、該当する製品をDelicious Brainsが提供する修正済みのバージョ
      ンに更新することで解決します。詳細は、Delicious Brainsが提供する情報を
      参照してください。

    関連文書 (日本語)
      Delicious Brains
      Advanced Custom Fields
      https://ja.wordpress.org/plugins/advanced-custom-fields/

    関連文書 (英語)
      Delicious Brains
      Edit smarter with Advanced Custom Fields for WordPress Developers.
      https://www.advancedcustomfields.com/

【9】ぜろちゃんねるプラスにクロスサイトスクリプティングの脆弱性

    情報源
      Japan Vulnerability Notes JVN#59576930
      ぜろちゃんねるプラスにおけるクロスサイトスクリプティングの脆弱性
      https://jvn.jp/jp/JVN59576930/

    概要
      ぜろちゃんねるプラスには、クロスサイトスクリプティングの脆弱性がありま
      す。結果として、当該製品の管理画面にアクセスしたユーザーのウェブブラウ
      ザー上で、任意のスクリプトを実行され、管理アカウントを作成されるなどの
      可能性があります。

      対象となる製品およびバージョンは次のとおりです。

      - ぜろちゃんねるプラス 0.7.4およびそれ以前のバージョン

      この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
      ることで解決します。詳細は、開発者が提供する情報を参照してください。

    関連文書 (日本語)
      ぜろちゃんねるプラス開発チーム
      zerochplus 0.7.5
      https://osdn.net/projects/zerochplus/releases/77053


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○IPAが「クラウドサービスのサプライチェーンリスクマネジメント調査」の結果を公開

      2022年3月30日、独立行政法人情報処理推進機構（IPA）は、「クラウドサービ
      スのサプライチェーンリスクマネジメント調査」の結果を公開しました。クラ
      ウドサービスの利用が増加するなか、特に利用されているSaaSに焦点を当て、
      SaaS事業者へのインタビュー調査などを実施し、ITサプライチェーンのリスク
      マネジメントの向上に資するため、SaaSのサプライチェーンのインシデント情
      報の収集と分析および脅威、リスク、今後の課題などを明らかにした内容となっ
      ています。

    参考文献 (日本語)
      独立行政法人情報処理推進機構
      クラウドサービスのサプライチェーンリスクマネジメント調査
      https://www.ipa.go.jp/security/fy2021/reports/scrm/index-cloud.html


――――――――――――――――――――――――――――――――――――――
■JPCERT/CCからのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下のURLからご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下のURLを参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

-----BEGIN PGP SIGNATURE-----
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=xT1z
-----END PGP SIGNATURE-----