<<< JPCERT/CC WEEKLY REPORT 2022-05-18 >>>
■05/08(日)〜05/14(土) のセキュリティ関連情報
目 次
【1】複数のマイクロソフト製品に脆弱性
【2】複数のアドビ製品に脆弱性
【3】複数のIntel製品に脆弱性
【4】Google Chromeに複数の脆弱性
【5】FUJITSU Network IPCOMの運用管理インタフェースに複数の脆弱性
【6】トレンドマイクロ製スマートホームスキャナーWindows版に脆弱性
【7】QNAP製ネットワークビデオレコーダー製品にコマンドインジェクションの脆弱性
【8】GENEREX SYSTEMS製RCCMDにディレクトリトラバーサルの脆弱性
【9】Qt製Windowsアプリケーションに権限昇格の脆弱性
【10】光洋電子工業製Screen Creator Advance2に認証回避の脆弱性
【11】複数の明京電機製品に脆弱性
【12】EC-CUBE用プラグイン「簡単ブログ for EC-CUBE4」にクロスサイトリクエストフォージェリの脆弱性
【13】「TRANSITS Workshop 2022 Summer開催」開催のお知らせ
【今週のひとくちメモ】経済産業省が「OSSの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集」を拡充
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr221901.txt
https://www.jpcert.or.jp/wr/2022/wr221901.xml
【1】複数のマイクロソフト製品に脆弱性
情報源
CISA Current Activity
Microsoft Releases May 2022 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/11/microsoft-releases-may-2022-security-updatesCISA Current Activity
Microsoft Releases Security Advisory for Azure Data Factory and Azure Synapse Pipelines
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/10/microsoft-releases-security-advisory-azure-data-factory-and-azure
概要
複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三 者が任意のコードを実行するなどの可能性があります。 対象となる製品は、多岐にわたります。詳細はマイクロソフト株式会社が提供 するアドバイザリ情報を参照してください。 この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく ださい。
関連文書 (日本語)
マイクロソフト株式会社
2022 年 5 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2022-MayJPCERT/CC 注意喚起
2022年5月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2022/at220014.html
【2】複数のアドビ製品に脆弱性
情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/12/adobe-releases-security-updates-multiple-products
概要
複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー ドを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Adobe Character Animator - Adobe ColdFusion - Adobe InDesign - Adobe Framemaker - Adobe InCopy この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す ることで解決します。詳細は、アドビが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2022051102.html
関連文書 (英語)
アドビ
Security Updates Available for Adobe Character Animator | APSB22-21
https://helpx.adobe.com/security/products/character_animator/apsb22-21.htmlアドビ
Security updates available for Adobe ColdFusion | APSB22-22
https://helpx.adobe.com/security/products/coldfusion/apsb22-22.htmlアドビ
Security Update available for Adobe InDesign | APSB22-23
https://helpx.adobe.com/security/products/indesign/apsb22-23.htmlアドビ
Security Updates Available for Adobe Framemaker | APSB22-27
https://helpx.adobe.com/security/products/framemaker/apsb22-27.htmlアドビ
Security Update Available for Adobe InCopy | APSB22-28
https://helpx.adobe.com/security/products/incopy/apsb22-28.html
【3】複数のIntel製品に脆弱性
情報源
Japan Vulnerability Notes JVNVU#93344744
Intel製品に複数の脆弱性(2022年5月)
https://jvn.jp/vu/JVNVU93344744/
概要
Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security Center Advisoriesが公開されました。 詳細は、Intelが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Intel製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2022051101.html
関連文書 (英語)
Intel
Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html
【4】Google Chromeに複数の脆弱性
情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/11/google-releases-security-updates-chrome
概要
Google Chromeには、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 101.0.4951.64より前のバージョン この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新 することで解決します。詳細は、Googleが提供する情報を参照してください。
関連文書 (英語)
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/05/stable-channel-update-for-desktop_10.html
【5】FUJITSU Network IPCOMの運用管理インタフェースに複数の脆弱性
情報源
Japan Vulnerability Notes JVN#96561229
FUJITSU Network IPCOM の運用管理インタフェースにおける複数の脆弱性
https://jvn.jp/jp/JVN96561229/
概要
富士通株式会社が提供するFUJITSU Network IPCOMの運用管理インタフェース には、複数の脆弱性があります。結果として、遠隔の第三者が任意のOSコマン ドを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - IPCOM EX2シリーズ - IPCOM EXシリーズ - IPCOM VE2シリーズ - IPCOM VA2/VE1シリーズ この問題は、該当する製品を富士通株式会社が提供する修正済みのバージョン に更新するか、回避策を適用することで解決します。詳細は、富士通株式会社 が提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC 注意喚起
FUJITSU Network IPCOMの運用管理インタフェースの脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220013.html富士通株式会社
IPCOM シリーズのコマンド操作端末/Webブラウザ端末とIPCOM間通信における脆弱性について
https://www.fujitsu.com/jp/products/network/support/2022/ipcom-01/
【6】トレンドマイクロ製スマートホームスキャナーWindows版に脆弱性
情報源
Japan Vulnerability Notes JVNVU#93434935
トレンドマイクロ製スマートホームスキャナー(Windows版)のインストーラにおけるDLL読み込みに関する脆弱性
https://jvn.jp/vu/JVNVU93434935/
概要
トレンドマイクロ株式会社が提供するスマートホームスキャナーWindows版に は脆弱性があります。結果として、第三者が不正なDLLを作成することで管理 者権限を取得する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - スマートホームスキャナーWindows版5.3.1220およびそれ以前のバージョン この問題は、トレンドマイクロ株式会社が提供する最新のインストーラーを使 用することで解決します。詳細は、トレンドマイクロ株式会社が提供する情報 を参照してください。
関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ:スマートホームスキャナー(Windows版)の脆弱性について (CVE-2022-28339)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10986
【7】QNAP製ネットワークビデオレコーダー製品にコマンドインジェクションの脆弱性
情報源
Japan Vulnerability Notes JVNVU#95992089
QNAP製ネットワークビデオレコーダー製品にコマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU95992089/
概要
QNAP Systems製ネットワークビデオレコーダーであるVioStarシリーズには、 コマンドインジェクションの脆弱性があります。結果として、遠隔の第三者が 任意のコマンドを実行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - QNAP NVR VioStarシリーズ 5.1.6 build 20220401より前のバージョン この問題は、該当する製品をQNAP Systemsが提供する修正済みのバージョンに 更新することで解決します。詳細は、QNAP Systemsが提供する情報を参照して ください。
関連文書 (英語)
QNAP Systems
Vulnerability in QVR
https://www.qnap.com/en/security-advisory/qsa-22-07
【8】GENEREX SYSTEMS製RCCMDにディレクトリトラバーサルの脆弱性
情報源
Japan Vulnerability Notes JVN#60801132
GENEREX SYSTEMS 製 RCCMD におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN60801132/
概要
GENEREX SYSTEMS製RCCMDには、ディレクトリトラバーサルの脆弱性があります。 結果として、第三者がサーバー上の任意のファイルを閲覧するなどの可能性が あります。 対象となる製品およびバージョンは次のとおりです。 - RCCMD 4.26およびそれ以前のバージョン この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (英語)
GENEREX SYSTEMS
Download Center
https://www.generex.de/support/downloads/software/rccmd/update
【9】Qt製Windowsアプリケーションに権限昇格の脆弱性
情報源
Japan Vulnerability Notes JVNVU#92669710
Qt製Windowsアプリケーションにおける権限昇格の脆弱性
https://jvn.jp/vu/JVNVU92669710/
概要
The Qt Companyが提供するQtを使って作成されたWindowsアプリケーションに は、qt_prfxpath値のハードコーディングに起因する権限昇格の脆弱性があり ます。Windowsシステムの一般ユーザーがqt_prfxpathが指しているディレクト リにファイルを用意しておくことで、当該Qtアプリの権限で任意のコードを実 行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 Qt開発環境およびデプロイツールwindeployqtを使用して作成されたアプリケーション - Qt 5.14より前のバージョン - windeployqt、commit:c2952ff8df1e18fe0120d8b29901b0b794afccc7以降を取り込んでいないバージョン この問題は、該当する製品をThe Qt Companyが提供する修正済みのバージョン に更新するか、回避策を適用することで解決します。詳細は、The Qt Company が提供する情報を参照してください。
関連文書 (英語)
The Qt Company
Qt hard-codes paths in libraries/binaries
https://bugreports.qt.io/browse/QTBUG-15234The Qt Company
Qt for Windows - Deployment
https://doc.qt.io/qt-5/windows-deployment.htmlThe Qt Company
windeployqt: Patch qt_prfxpath when deploying Qt5Core
https://codereview.qt-project.org/gitweb?p=qt%2Fqttools.git&a=commit&h=c2952ff8df1e18fe0120d8b29901b0b794afccc7
【10】光洋電子工業製Screen Creator Advance2に認証回避の脆弱性
情報源
Japan Vulnerability Notes JVN#50337155
光洋電子工業製 Screen Creator Advance2 における認証回避の脆弱性
https://jvn.jp/jp/JVN50337155/
概要
光洋電子工業株式会社が提供するScreen Creator Advance2には、認証回避の 脆弱性があります。結果として、第三者が保存されたデータを閲覧したり、削 除したりするなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Screen Creator Advance2 Ver.0.1.1.3 Build01より前のバージョン この問題は、該当する製品を光洋電子工業株式会社が提供する修正済みのバー ジョンに更新することで解決します。詳細は、光洋電子工業株式会社が提供す る情報を参照してください。
関連文書 (日本語)
光洋電子工業株式会社
GC-A2シリーズバージョンアップのお知らせ - 認証回避の脆弱性について
https://www.koyoele.co.jp/jp/topics/2022050911785/
【11】複数の明京電機製品に脆弱性
情報源
Japan Vulnerability Notes JVN#58266015
複数の明京電機製品における複数の脆弱性
https://jvn.jp/jp/JVN58266015/
概要
複数の明京電機製品には、脆弱性があります。結果として、第三者がユーザー のウェブブラウザー上で、任意のスクリプトを実行するなどの可能性がありま す。 対象となる製品およびバージョンは次のとおりです。 - リブーター - WATCH BOOT nino RPC-M2C [販売終了製品] すべてのファームウェアバージョン - WATCH BOOT light RPC-M5C [販売終了製品] すべてのファームウェアバージョン - WATCH BOOT L-zero RPC-M4L [販売終了製品] すべてのファームウェアバージョン - WATCH BOOT mini RPC-M4H [販売終了製品] すべてのファームウェアバージョン - WATCH BOOT nino RPC-M2CS ファームウェアバージョン 1.00Aから1.00Dまで - WATCH BOOT light RPC-M5CS ファームウェアバージョン 1.00Aから1.00Dまで - WATCH BOOT L-zero RPC-M4LS ファームウェアバージョン 1.00Aから1.20Aまで - サイネージリブーター RPC-M4HSi ファームウェアバージョン 1.00A - PoE リブーター - PoE BOOT nino PoE8M2 ファームウェアバージョン 1.00Aから1.20Aまで - スケジューラー - TIME BOOT mini RSC-MT4H [販売終了製品] すべてのファームウェアバージョン - TIME BOOT RSC-MT8F [販売終了製品] すべてのファームウェアバージョン - TIME BOOT RSC-MT8FP [販売終了製品] すべてのファームウェアバージョン - TIME BOOT mini RSC-MT4HS ファームウェアバージョン 1.00Aから1.10Aまで - TIME BOOT RSC-MT8FS ファームウェアバージョン 1.00Aから1.00Eまで - 接点コンバーター - POSE SE10-8A7B1 ファームウェアバージョン 1.00Aから1.20Aまで この問題は、該当する製品のファームウェアを明京電機株式会社が提供する修 正済みのバージョンに更新すること、および回避策を適用することで解決しま す。詳細は、明京電機株式会社が提供する情報を参照してください。
関連文書 (日本語)
明京電機株式会社
WEB GUIを有する弊社製品におけるXSSの脆弱性対策ファームウェア,CSRFの脆弱性回避策について
https://www.meikyo.co.jp/news/?p=1#1651790656-481464
【12】EC-CUBE用プラグイン「簡単ブログ for EC-CUBE4」にクロスサイトリクエストフォージェリの脆弱性
情報源
Japan Vulnerability Notes JVN#46241173
EC-CUBE 用プラグイン「簡単ブログ for EC-CUBE4」におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN46241173/
概要
EC-CUBE用プラグイン「簡単ブログ for EC-CUBE4」には、クロスサイトリクエ ストフォージェリの脆弱性があります。結果として、当該プラグインがインス トールされたEC-CUBEにログインした管理者権限を持つユーザーが、細工された ページにアクセスした場合、当該プラグインのブログ記事やカテゴリが削除さ れる可能性があります。 対象となる製品およびバージョンは次のとおりです。 - EC-CUBE用プラグイン「簡単ブログ for EC-CUBE4」Ver.1.0.1およびそれ以前のバージョン この問題は、該当する製品を株式会社コアモバイルが提供する修正済みのバー ジョンに更新することで解決します。詳細は、株式会社コアモバイルが提供す る情報を参照してください。
関連文書 (日本語)
株式会社コアモバイル
簡単ブログ for EC-CUBE4
https://www.ec-cube.net/products/detail.php?product_id=2217
【13】「TRANSITS Workshop 2022 Summer開催」開催のお知らせ
情報源
日本シーサート協議会
TRANSITS Workshop 2022 Summer開催
https://www.nca.gr.jp/2022/transits-summer/index.html
概要
2022年7月13日(水)、7月15日(金)の3日間にわたり、「TRANSITS Workshop 2022 Summer開催」が開催されます。日本シーサート協議会が主催する本イベ ントは、CSIRTの設立の促進、既存のCSIRTの対応能力向上を目的としたプロジェ クト「TRANSITS」によるトレーニングを行い、CSIRT業務に必要な知識を身に つけることを目的としています。JPCERT/CCは本イベントでの講演、および運 営に協力しています。 参加には事前申し込みが必要です。参加登録は申込先着順で、定員になり次第 締め切りとなります。詳しくはWebを参照してください。
■今週のひとくちメモ
○経済産業省が「OSSの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集」を拡充
2022年5月10日、経済産業省は昨年4月に公開した「OSSの利活用及びそのセキュ リティ確保に向けた管理手法に関する事例集」を拡充し、資料を公開しました。 多くの企業がOSSを含むソフトウェアの管理手法、脆弱性対応等に課題を抱え ている現状に対し、産業界での知見の共有を推進することを目当てとして、OSS の管理手法等に関して参考になる取組を実施している企業へのヒアリング等の 結果を取りまとめ、OSS利活用するに当たって留意すべきポイントを整理した 資料です。今回は、2021年度もOSS利活用の取組をヒアリングした結果をまと め、OSSの脆弱性対応など管理手法の実践が盛り込まれています。
参考文献 (日本語)
経済産業省
オープンソースソフトウェアの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集を拡充しました
https://www.meti.go.jp/press/2022/05/20220510001/20220510001.html
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/