-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2022-2101 JPCERT/CC 2022-06-01 <<< JPCERT/CC WEEKLY REPORT 2022-06-01 >>> ―――――――――――――――――――――――――――――――――――――― ■05/22(日)〜05/28(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Google Chromeに複数の脆弱性 【2】複数のMozilla製品に脆弱性 【3】複数のCitrix製品に脆弱性 【4】Spring Securityに認証回避の脆弱性 【5】Drupalのサードパーティライブラリに脆弱性 【6】複数のRevoWorks製品に脆弱性 【7】コンテック製SolarView CompactにOSコマンドインジェクションの脆弱性 【8】WordPress用プラグインWP Statisticsにクロスサイトスクリプティングの脆弱性 【9】トレンドマイクロ製パスワードマネージャーに権限昇格の脆弱性 【10】富士電機製V-SFT、V-ServerおよびV-Server Liteに複数の脆弱性 【11】モバオク-オークション&フリマアプリにサーバー証明書の検証不備の脆弱性 【今週のひとくちメモ】JPCERT/CCが「Locked Shields 2022 参加記」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2022/wr222101.html https://www.jpcert.or.jp/wr/2022/wr222101.xml ============================================================================ 【1】Google Chromeに複数の脆弱性 情報源 CISA Current Activity Google Releases Security Updates for Chrome https://www.cisa.gov/uscert/ncas/current-activity/2022/05/25/google-releases-security-updates-chrome 概要 Google Chromeには、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 102.0.5005.61より前のバージョン この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新 することで解決します。詳細は、Googleが提供する情報を参照してください。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2022/05/stable-channel-update-for-desktop_24.html 【2】複数のMozilla製品に脆弱性 情報源 CISA Current Activity Mozilla Releases Security Products for Multiple Firefox Products https://www.cisa.gov/uscert/ncas/current-activity/2022/05/23/mozilla-releases-security-products-multiple-firefox-products 概要 複数のMozilla製品には、脆弱性があります。結果として、第三者が任意のスク リプトを実行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Mozilla Firefox 100.0.2より前のバージョン - Mozilla Firefox ESR 91.9.1より前のバージョン - Mozilla Firefox for Android 100.3.0より前のバージョン - Mozilla Thunderbird 91.9.1より前のバージョン この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新 することで解決します。詳細は、Mozillaが提供する情報を参照してください。 関連文書 (英語) Mozilla Mozilla Foundation Security Advisory 2022-19 https://www.mozilla.org/en-US/security/advisories/mfsa2022-19/ 【3】複数のCitrix製品に脆弱性 情報源 CISA Current Activity Citrix Releases Security Updates for ADC and Gateway https://www.cisa.gov/uscert/ncas/current-activity/2022/05/26/citrix-releases-security-updates-adc-and-gateway 概要 複数のCitrix製品には、脆弱性があります。結果として、遠隔の第三者がサー ビス運用妨害(DoS)攻撃を行う可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Citrix ADCおよびCitrix Gateway 13.1-21.50より前の13.1系のバージョン - Citrix ADCおよびCitrix Gateway 13.0-85.19より前の13.0系のバージョン - Citrix ADCおよびCitrix Gateway 12.1-64.17より前の12.1系のバージョン - Citrix ADC 12.1-FIPS 12.1-55.278より前のバージョン - Citrix ADC 12.1-NDcPP 12.1-55.278より前のバージョン この問題は、該当する製品をCitrixが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Citrixが提供する情報を参照してください。 関連文書 (英語) Citrix Citrix ADC and Citrix Gateway Security Bulletin for CVE-2022-27507 and CVE-2022-27508 https://support.citrix.com/article/CTX457048 【4】Spring Securityに認証回避の脆弱性 情報源 Japan Vulnerability Notes JVNVU#96405576 Spring SecurityのRegexRequestMatcherにおける認証回避の脆弱性 https://jvn.jp/vu/JVNVU96405576/ 概要 VMwareが提供するSpring Securityには、認証回避の脆弱性があります。結果 として、遠隔の第三者がWebページの認証を回避し、情報を閲覧するなどの可 能性があります。 対象となるバージョンは次のとおりです。 - Spring Security 5.5.7より前の5.5系のバージョン - Spring Security 5.6.4より前の5.6系のバージョン 開発者によると、サポートが終了した上記バージョンより前のバージョンも影 響を受けるとのことです。 この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す ることで解決します。詳細は、VMwareが提供する情報を参照してください。 関連文書 (英語) VMware CVE-2022-22978: Authorization Bypass in RegexRequestMatcher https://tanzu.vmware.com/security/cve-2022-22978 【5】Drupalのサードパーティライブラリに脆弱性 情報源 CISA Current Activity Drupal Releases Security Updates https://www.cisa.gov/uscert/ncas/current-activity/2022/05/26/drupal-releases-security-updates 概要 Drupalが使用するサードパーティライブラリGuzzleには、脆弱性があります。 結果として、遠隔の第三者が機微な情報を窃取するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Drupal 9.3.14より前の9.3系バージョン - Drupal 9.2.20より前の9.2系バージョン なお、Drupal 9.2系より前の9系のバージョンはサポートが終了しており、今 回のセキュリティに関する情報は提供されていません。また、Drupal 7系は本 脆弱性の影響を受けないとのことです。 この問題は、Drupalを開発者が提供する修正済みのバージョンに更新すること で解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (英語) Drupal Drupal core - Moderately critical - Third-party libraries - SA-CORE-2022-010 https://www.drupal.org/sa-core-2022-010 【6】複数のRevoWorks製品に脆弱性 情報源 Japan Vulnerability Notes JVN#27256219 RevoWorks 製品における不十分な無害化処理の脆弱性 https://jvn.jp/jp/JVN27256219/ 概要 ジェイズ・コミュニケーション株式会社が提供するRevoWorks SCVX、RevoWorks BrowserおよびRevoWorks Desktopには、不十分な無害化処理の脆弱性がありま す。結果として、ローカル環境に持ち込んだファイルを開くことで、悪意のあ るマクロが実行されるなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - RevoWorks SCVX ファイル無害化ライブラリ 1.043およびそれ以前のバージョン - RevoWorks Browser 2.2.67およびそれ以前のバージョン(ファイル無害化オプションを利用している場合) - RevoWorks Desktop 2.1.84およびそれ以前のバージョン(ファイル無害化オプションを利用している場合) この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) ジェイズ・コミュニケーション株式会社 【重要】RevoWorks製品におけるファイル無害化処理の脆弱性について https://jscom.jp/news-20220527/ 【7】コンテック製SolarView CompactにOSコマンドインジェクションの脆弱性 情報源 Japan Vulnerability Notes JVNVU#92327282 コンテック製SolarView CompactにおけるOSコマンドインジェクションの脆弱性 https://jvn.jp/vu/JVNVU92327282/ 概要 株式会社コンテックが提供するSolarView Compactには、OSコマンドインジェ クションの脆弱性があります。結果として、設定画面にアクセス可能なユーザー が任意のOSコマンドを実行する可能性があります。 対象となるバージョンは次のとおりです。 - SolarView Compact - SV-CPT-MC310 Ver.7.21より前のバージョン - SV-CPT-MC310F Ver.7.21より前のバージョン この問題は、該当する製品を株式会社コンテックが提供する修正済みのバージョン に更新することで解決します。詳細は、株式会社コンテックが提供する情報を 参照してください。 関連文書 (日本語) 株式会社コンテック SolarView Compact(SV-CPT-MC310)の脆弱性について https://www.contec.com/jp/-/media/contec/jp/support/security-info/contec_security_solarview_220526.pdf/ 【8】WordPress用プラグインWP Statisticsにクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#15241647 WordPress 用プラグイン WP Statistics におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN15241647/ 概要 WordPress用プラグインWP Statisticsには、クロスサイトスクリプティングの 脆弱性があります。結果として、当該製品を使用しているサイトにログインし ているユーザーのWebブラウザー上で、任意のスクリプトを実行される可能性 があります。 対象となるバージョンは次のとおりです。 - WP Statistics 13.2.0より前のバージョン この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (英語) WP Statistics Changelog https://wordpress.org/plugins/wp-statistics/#developers 【9】トレンドマイクロ製パスワードマネージャーに権限昇格の脆弱性 情報源 Japan Vulnerability Notes JVNVU#92641706 トレンドマイクロ製パスワードマネージャーにおける権限昇格の脆弱性 https://jvn.jp/vu/JVNVU92641706/ 概要 トレンドマイクロ製パスワードマネージャーには、権限昇格の脆弱性がありま す。結果として、当該製品がインストールされたシステムにログイン可能なユー ザーが、管理者権限を取得し、任意のコードを実行する可能性があります。 対象となるバージョンは次のとおりです。 - パスワードマネージャー(Windows版)5.0.0.1266およびそれ以前のバージョン この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正済みの バージョンに更新することで解決します。詳細は、トレンドマイクロ株式会社 が提供する情報を参照してください。 関連文書 (日本語) トレンドマイクロ株式会社 アラート/アドバイザリ:パスワードマネージャーの脆弱性について (CVE-2022-30523) https://helpcenter.trendmicro.com/ja-jp/article/TMKA-11008 【10】富士電機製V-SFT、V-ServerおよびV-Server Liteに複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#93134398 富士電機製V-SFT、V-ServerおよびV-Server Liteにおける複数の脆弱性 https://jvn.jp/vu/JVNVU93134398/ Japan Vulnerability Notes JVNVU#99188133 富士電機製V-SFTにおける複数の脆弱性 https://jvn.jp/vu/JVNVU99188133/ 概要 富士電機株式会社が提供するV-SFT、V-ServerおよびV-Server Liteには、複数 の脆弱性があります。結果として、細工された画面データファイルを開くこと で、情報が漏えいしたり、任意のコードが実行されたりする可能性があります。 対象となる製品およびバージョンは次のとおりです。 - V-SFT v6.1.6.0より前のバージョン - V-Server v4.0.11.0およびそれ以前のバージョン - V-Server Lite v4.0.13.0およびそれ以前のバージョン この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) 富士電機株式会社/発紘電機株式会社 作画ソフトV-SFT 改善情報 2240H36 https://hakko-elec.co.jp/site/download/09vsft6_inf/Search.php 富士電機株式会社/発紘電機株式会社 遠隔監視ソフトウェアTELLUS and V-Server 改善情報 2250S01 https://hakko-elec.co.jp/site/download/03tellus_inf/index.php 【11】モバオク-オークション&フリマアプリにサーバー証明書の検証不備の脆弱性 情報源 Japan Vulnerability Notes JVN#13878856 iOS アプリ「モバオク-オークション&フリマアプリ」におけるサーバ証明書の検証不備の脆弱性 https://jvn.jp/jp/JVN13878856/ 概要 株式会社ディー・エヌ・エーが提供するiOSアプリ「モバオク-オークション&フ リマアプリ」には、サーバー証明書の検証不備の脆弱性があります。結果とし て、遠隔の第三者が、中間者攻撃により暗号通信を盗聴するなどの可能性があ ります。 対象となるバージョンは次のとおりです。 - iOSアプリ「モバオク-オークション&フリマアプリ」 5.5.16より前のバージョン この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) 株式会社ディー・エヌ・エー 株式会社ディー・エヌ・エーからの情報 https://jvn.jp/jp/JVN13878856/995314/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○JPCERT/CCが「Locked Shields 2022 参加記」を公開 2022年5月24日、JPCERT/CCは「Locked Shields 2022 参加記」を公開しました。 2022年4月下旬、JPCERT/CCは、NATO Cooperative Cyber Defence Centre(NATO CCDCOE)が主催したサイバー演習である「Locked Shields」に参加しました。 本ブログでは、Locked Shieldsの概要、JPCERT/CCの貢献、サイバー演習の重 要性、および国際的な協力によるサイバーセキュリティ確保の重要性について 記載しています。 参考文献 (日本語) JPCERT/CC Locked Shields 2022 参加記 https://blogs.jpcert.or.jp/ja/2022/05/locked-shields-2022.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CCからのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下のURLからご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下のURLを参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJilqkVAAoJEKntH+qu5CT/Re0P/0EKhsLX7fCLetgtdNYXb1P6 U6ge41ThX0iDv25ZcW0xyvoqMVpJkovUb85gRJ2ovMaJqRAQbl/zzqYZUTfvyvmW sFw+SKXioXnaq0ke8NSaHTOiu5WISeanBEzAsc95VNMMLgiEeTQHsbnSiA1Gm+b1 agq48gK1c5a3kqxBTduP/d2B4dCMjfcixDpFbeeoLcXMb14PDkt7wxYau1Yu/9BM 0DjWMdrYnk04IYshZgdWOweHgDiSNcqsBh0cnzkfhNmKpUKRJX+FH10KvEOwpROL H4jg4uFoCi6UqLUAid6RbL9F22l9CQGegLjBo6dNaWNiCDkvj6coch5008RhzGSw PDElyME4SoHwp5v96DLYNbmiIJot1vJKwe5OtqL8n/rernbHd3QW4MwffUpSsZD1 vjdOvS5fPSDM5jd4cqXpYDkLIT4UuEchYH9SRGbKI7l8mZnobF9jfqOpX5bt5ejV hOqanJhG93UrYtHHs/7WReUYC6yCEzTkUTrVID0dUhRjy4lVNsulvraH4vRAvt+S 8IRYrM69KAL5iH3+UmN2LQ5viTRh8Qx2HwgKcDgzzELY/i6E8OjTvpQ4LeSTekep uhgV13TCch9RrlYMdVykfs8WcmENcQit2T5C/ReQ7Hufgf8M4QnUj2MFDDR9R8jP KgzRptQPTG3T9qWqWtNy =45Cl -----END PGP SIGNATURE-----