JPCERT-WR-2022-1901 2022-05-18 2022-05-08 2022-05-14

CISA Current Activity https://www.cisa.gov/uscert/ncas/current-activity/2022/05/11/microsoft-releases-may-2022-security-updates CISA Current Activity https://www.cisa.gov/uscert/ncas/current-activity/2022/05/10/microsoft-releases-security-advisory-azure-data-factory-and-azure

複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三 者が任意のコードを実行するなどの可能性があります。 対象となる製品は、多岐にわたります。詳細はマイクロソフト株式会社が提供 するアドバイザリ情報を参照してください。 この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく ださい。

マイクロソフト株式会社 https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2022-May JPCERT/CC 注意喚起 https://www.jpcert.or.jp/at/2022/at220014.html

CISA Current Activity https://www.cisa.gov/uscert/ncas/current-activity/2022/05/12/adobe-releases-security-updates-multiple-products

複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー ドを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Adobe Character Animator - Adobe ColdFusion - Adobe InDesign - Adobe Framemaker - Adobe InCopy この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す ることで解決します。詳細は、アドビが提供する情報を参照してください。

JPCERT/CC CyberNewsFlash https://www.jpcert.or.jp/newsflash/2022051102.html アドビ https://helpx.adobe.com/security/products/character_animator/apsb22-21.html アドビ https://helpx.adobe.com/security/products/coldfusion/apsb22-22.html アドビ https://helpx.adobe.com/security/products/indesign/apsb22-23.html アドビ https://helpx.adobe.com/security/products/framemaker/apsb22-27.html アドビ https://helpx.adobe.com/security/products/incopy/apsb22-28.html

Japan Vulnerability Notes JVNVU#93344744 https://jvn.jp/vu/JVNVU93344744/

Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security Center Advisoriesが公開されました。 詳細は、Intelが提供する情報を参照してください。

Intel https://www.intel.com/content/www/us/en/security-center/default.html JPCERT/CC CyberNewsFlash https://www.jpcert.or.jp/newsflash/2022051101.html

CISA Current Activity https://www.cisa.gov/uscert/ncas/current-activity/2022/05/11/google-releases-security-updates-chrome

Google Chromeには、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 101.0.4951.64より前のバージョン この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新 することで解決します。詳細は、Googleが提供する情報を参照してください。

Google https://chromereleases.googleblog.com/2022/05/stable-channel-update-for-desktop_10.html

Japan Vulnerability Notes JVN#96561229 https://jvn.jp/jp/JVN96561229/

富士通株式会社が提供するFUJITSU Network IPCOMの運用管理インタフェース には、複数の脆弱性があります。結果として、遠隔の第三者が任意のOSコマン ドを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - IPCOM EX2シリーズ - IPCOM EXシリーズ - IPCOM VE2シリーズ - IPCOM VA2/VE1シリーズ この問題は、該当する製品を富士通株式会社が提供する修正済みのバージョン に更新するか、回避策を適用することで解決します。詳細は、富士通株式会社 が提供する情報を参照してください。

JPCERT/CC 注意喚起 https://www.jpcert.or.jp/at/2022/at220013.html 富士通株式会社 https://www.fujitsu.com/jp/products/network/support/2022/ipcom-01/

Japan Vulnerability Notes JVNVU#93434935 https://jvn.jp/vu/JVNVU93434935/

トレンドマイクロ株式会社が提供するスマートホームスキャナーWindows版に は脆弱性があります。結果として、第三者が不正なDLLを作成することで管理 者権限を取得する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - スマートホームスキャナーWindows版5.3.1220およびそれ以前のバージョン この問題は、トレンドマイクロ株式会社が提供する最新のインストーラーを使 用することで解決します。詳細は、トレンドマイクロ株式会社が提供する情報 を参照してください。

トレンドマイクロ株式会社 https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10986

Japan Vulnerability Notes JVNVU#95992089 https://jvn.jp/vu/JVNVU95992089/

QNAP Systems製ネットワークビデオレコーダーであるVioStarシリーズには、 コマンドインジェクションの脆弱性があります。結果として、遠隔の第三者が 任意のコマンドを実行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - QNAP NVR VioStarシリーズ 5.1.6 build 20220401より前のバージョン この問題は、該当する製品をQNAP Systemsが提供する修正済みのバージョンに 更新することで解決します。詳細は、QNAP Systemsが提供する情報を参照して ください。

QNAP Systems https://www.qnap.com/en/security-advisory/qsa-22-07

Japan Vulnerability Notes JVN#60801132 https://jvn.jp/jp/JVN60801132/

GENEREX SYSTEMS製RCCMDには、ディレクトリトラバーサルの脆弱性があります。 結果として、第三者がサーバー上の任意のファイルを閲覧するなどの可能性が あります。 対象となる製品およびバージョンは次のとおりです。 - RCCMD 4.26およびそれ以前のバージョン この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。

GENEREX SYSTEMS https://www.generex.de/support/downloads/software/rccmd/update

Japan Vulnerability Notes JVNVU#92669710 https://jvn.jp/vu/JVNVU92669710/

The Qt Companyが提供するQtを使って作成されたWindowsアプリケーションに は、qt_prfxpath値のハードコーディングに起因する権限昇格の脆弱性があり ます。Windowsシステムの一般ユーザーがqt_prfxpathが指しているディレクト リにファイルを用意しておくことで、当該Qtアプリの権限で任意のコードを実 行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 Qt開発環境およびデプロイツールwindeployqtを使用して作成されたアプリケーション - Qt 5.14より前のバージョン - windeployqt、commit:c2952ff8df1e18fe0120d8b29901b0b794afccc7以降を取り込んでいないバージョン この問題は、該当する製品をThe Qt Companyが提供する修正済みのバージョン に更新するか、回避策を適用することで解決します。詳細は、The Qt Company が提供する情報を参照してください。

The Qt Company https://bugreports.qt.io/browse/QTBUG-15234 The Qt Company https://doc.qt.io/qt-5/windows-deployment.html The Qt Company https://codereview.qt-project.org/gitweb?p=qt%2Fqttools.git&a=commit&h=c2952ff8df1e18fe0120d8b29901b0b794afccc7

Japan Vulnerability Notes JVN#50337155 https://jvn.jp/jp/JVN50337155/

光洋電子工業株式会社が提供するScreen Creator Advance2には、認証回避の 脆弱性があります。結果として、第三者が保存されたデータを閲覧したり、削 除したりするなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Screen Creator Advance2 Ver.0.1.1.3 Build01より前のバージョン この問題は、該当する製品を光洋電子工業株式会社が提供する修正済みのバー ジョンに更新することで解決します。詳細は、光洋電子工業株式会社が提供す る情報を参照してください。

光洋電子工業株式会社 https://www.koyoele.co.jp/jp/topics/2022050911785/

Japan Vulnerability Notes JVN#58266015 https://jvn.jp/jp/JVN58266015/

複数の明京電機製品には、脆弱性があります。結果として、第三者がユーザー のウェブブラウザー上で、任意のスクリプトを実行するなどの可能性がありま す。 対象となる製品およびバージョンは次のとおりです。 - リブーター - WATCH BOOT nino RPC-M2C [販売終了製品] すべてのファームウェアバージョン - WATCH BOOT light RPC-M5C [販売終了製品] すべてのファームウェアバージョン - WATCH BOOT L-zero RPC-M4L [販売終了製品] すべてのファームウェアバージョン - WATCH BOOT mini RPC-M4H [販売終了製品] すべてのファームウェアバージョン - WATCH BOOT nino RPC-M2CS ファームウェアバージョン 1.00Aから1.00Dまで - WATCH BOOT light RPC-M5CS ファームウェアバージョン 1.00Aから1.00Dまで - WATCH BOOT L-zero RPC-M4LS ファームウェアバージョン 1.00Aから1.20Aまで - サイネージリブーター RPC-M4HSi ファームウェアバージョン 1.00A - PoE リブーター - PoE BOOT nino PoE8M2 ファームウェアバージョン 1.00Aから1.20Aまで - スケジューラー - TIME BOOT mini RSC-MT4H [販売終了製品] すべてのファームウェアバージョン - TIME BOOT RSC-MT8F [販売終了製品] すべてのファームウェアバージョン - TIME BOOT RSC-MT8FP [販売終了製品] すべてのファームウェアバージョン - TIME BOOT mini RSC-MT4HS ファームウェアバージョン 1.00Aから1.10Aまで - TIME BOOT RSC-MT8FS ファームウェアバージョン 1.00Aから1.00Eまで - 接点コンバーター - POSE SE10-8A7B1 ファームウェアバージョン 1.00Aから1.20Aまで この問題は、該当する製品のファームウェアを明京電機株式会社が提供する修 正済みのバージョンに更新すること、および回避策を適用することで解決しま す。詳細は、明京電機株式会社が提供する情報を参照してください。

明京電機株式会社 https://www.meikyo.co.jp/news/?p=1#1651790656-481464

Japan Vulnerability Notes JVN#46241173 https://jvn.jp/jp/JVN46241173/

EC-CUBE用プラグイン「簡単ブログ for EC-CUBE4」には、クロスサイトリクエ ストフォージェリの脆弱性があります。結果として、当該プラグインがインス トールされたEC-CUBEにログインした管理者権限を持つユーザーが、細工された ページにアクセスした場合、当該プラグインのブログ記事やカテゴリが削除さ れる可能性があります。 対象となる製品およびバージョンは次のとおりです。 - EC-CUBE用プラグイン「簡単ブログ for EC-CUBE4」Ver.1.0.1およびそれ以前のバージョン この問題は、該当する製品を株式会社コアモバイルが提供する修正済みのバー ジョンに更新することで解決します。詳細は、株式会社コアモバイルが提供す る情報を参照してください。

株式会社コアモバイル https://www.ec-cube.net/products/detail.php?product_id=2217

日本シーサート協議会 https://www.nca.gr.jp/2022/transits-summer/index.html

2022年7月13日（水）、7月15日（金）の3日間にわたり、「TRANSITS Workshop 2022 Summer開催」が開催されます。日本シーサート協議会が主催する本イベ ントは、CSIRTの設立の促進、既存のCSIRTの対応能力向上を目的としたプロジェ クト「TRANSITS」によるトレーニングを行い、CSIRT業務に必要な知識を身に つけることを目的としています。JPCERT/CCは本イベントでの講演、および運 営に協力しています。 参加には事前申し込みが必要です。参加登録は申込先着順で、定員になり次第 締め切りとなります。詳しくはWebを参照してください。

2022年5月10日、経済産業省は昨年4月に公開した「OSSの利活用及びそのセキュ リティ確保に向けた管理手法に関する事例集」を拡充し、資料を公開しました。 多くの企業がOSSを含むソフトウェアの管理手法、脆弱性対応等に課題を抱え ている現状に対し、産業界での知見の共有を推進することを目当てとして、OSS の管理手法等に関して参考になる取組を実施している企業へのヒアリング等の 結果を取りまとめ、OSS利活用するに当たって留意すべきポイントを整理した 資料です。今回は、2021年度もOSS利活用の取組をヒアリングした結果をまと め、OSSの脆弱性対応など管理手法の実践が盛り込まれています。 経済産業省 https://www.meti.go.jp/press/2022/05/20220510001/20220510001.html