JPCERT-WR-2022-22012022-06-082022-05-292022-06-04Confluence ServerおよびData Centerに任意のコード実行の脆弱性
Confluence ServerおよびData Centerには、任意のコード実行の脆弱性があり
ます。
対象となる製品およびバージョンは次のとおりです。
- Confluence ServerおよびConfluence Data Centerの次のバージョン
- 7.4.17より前の7.4.x系
- 7.13.7より前の7.13.x系
- 7.14.3より前の7.14.x系
- 7.15.2より前の7.15.x系
- 7.16.4より前の7.16.x系
- 7.17.4より前の7.17.x系
- 7.18.1より前の7.18.x系
この問題は、該当する製品をAtlassianが提供する修正済みのバージョンに更
新することで解決します。詳細は、Atlassianが提供するアドバイザリ情報を
参照してください。
AtlassianConfluence Server および Data Center - CVE-2022-26134 -未認証のリモート コード実行についての重大な深刻度の脆弱性https://ja.confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.htmlJPCERT/CC 注意喚起Confluence ServerおよびData Centerの脆弱性(CVE-2022-26134)に関する注意喚起https://www.jpcert.or.jp/at/2022/at220015.htmlマイクロソフトサポート診断ツールに任意のコード実行の脆弱性
マイクロソフトサポート診断ツールには、第三者が細工したファイルをユー
ザーに実行または読み込ませることで、任意のコードを実行できる脆弱性が
あります。
対象となる製品およびバージョンは次のとおりです。
- Windows OS
- Windows 11
- Windows 10
- Windows 8.1
- Windows RT 8.1
- Windows 7
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012/2012 R2
- Windows Server 2008/2008 R2
- Windows Server, version 20H2 (Server Core Installation)
2022年6月8日時点で、マイクロソフト株式会社から本脆弱性の対策となる更新
プログラムは提供されていません。マイクロソフト株式会社の情報を確認し、
更新プログラムが公開された場合は速やかに適用することを推奨します。
マイクロソフト株式会社CVE-2022-30190 マイクロソフト サポート診断ツールの脆弱性に関するガイダンスhttps://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability-jp/マイクロソフト株式会社Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerabilityhttps://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2022-30190複数のMozilla製品に脆弱性
複数のMozilla製品には、複数の脆弱性があります。結果として、第三者が任
意のコードを実行するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Mozilla Firefox 101より前のバージョン
- Mozilla Firefox ESR 91.10より前のバージョン
- Mozilla Thunderbird 91.10より前のバージョン
- Mozilla Firefox for iOS 101より前のバージョン
この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。
MozillaMozilla Foundation Security Advisory 2022-20https://www.mozilla.org/en-US/security/advisories/mfsa2022-20/MozillaMozilla Foundation Security Advisory 2022-21https://www.mozilla.org/en-US/security/advisories/mfsa2022-21/MozillaMozilla Foundation Security Advisory 2022-22https://www.mozilla.org/en-US/security/advisories/mfsa2022-22/MozillaMozilla Foundation Security Advisory 2022-23https://www.mozilla.org/en-US/security/advisories/mfsa2022-23/トレンドマイクロ製Apex OneおよびApex One SaaSに複数の脆弱性
Apex OneおよびApex One SaaSには、複数の脆弱性があります。結果として、
脆弱な端末にアクセスできる第三者が、昇格された権限で任意のDLLを読み込
むなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Apex One 2019
- Apex One SaaS
この問題は、該当する製品にトレンドマイクロ株式会社が提供する最新版を適
用することで解決します。なお、Apex One SaaSについては2022年3月のメンテ
ナンスで修正済みとのことです。詳細はトレンドマイクロ株式会社が提供する
情報を参照してください。
トレンドマイクロ株式会社アラート/アドバイザリ:Trend Micro Apex One で確認された複数の脆弱性について (2022年5月)https://success.trendmicro.com/jp/solution/000291015T&D Data Server および THERMO RECORDER DATA SERVERにディレクトリトラバーサルの脆弱性
T&D Data ServerおよびTHERMO RECORDER DATA SERVERには、ディレクトリ
トラバーサルの脆弱性があります。結果として、遠隔の第三者がサーバー上の
任意のファイルを閲覧する可能性があります。
対象となる製品およびバージョンは次のとおりです。
- T&D Data Server 日本版 Ver.2.22 およびそれ以前のバージョン
- T&D Data Server 英語版 Ver.2.30 およびそれ以前のバージョン
- THERMO RECORDER DATA SERVER 日本版 Ver.2.13 およびそれ以前のバージョン
- THERMO RECORDER DATA SERVER 英語版 Ver.2.13 およびそれ以前のバージョン
この問題は、該当する製品を株式会社ティアンドデイが提供する修正済みの
バージョンに更新することで解決します。詳細は、株式会社ティアンドデイが
提供する情報を参照してください。
株式会社ティアンドデイ「T&D Data Server」「THERMO RECORDER DATA SERVER」の脆弱性発見についてhttps://www.tandd.co.jp/news/detail.html?id=522WordPress用プラグインModern Events Calendar Liteにクロスサイトスクリプティングの脆弱性
WordPress用プラグインModern Events Calendar Liteには、クロスサイトスク
リプティングの脆弱性があります。結果として、攻撃者が当該プラグインを使
用しているサイトにアクセスしているユーザーのウェブブラウザー上で、任意
のスクリプトを実行する可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Modern Events Calendar Lite 6.3.0より前のバージョン
この問題は、該当する製品をWebnusが提供する修正済みのバージョ
ンに更新することで解決します。詳細は、Webnusが提供する情報を
参照してください。
WebnusModern Events Calendar Litehttps://webnus.net/modern-events-calendar/lite/「Internet Week ショーケース 徳島・オンライン」開催のお知らせ
2022年6月23日より、一般社団法人日本ネットワークインフォメーションセン
ター(JPNIC)は「Internet Week ショーケース 徳島・オンライン」を、現地会
場とオンライン配信のハイブリッドで開催します。インターネットの技術者お
よびインターネット技術と社会動向に興味のある方を対象に、インターネット
基盤技術の普及や、議論の場・交流の場の提供を目的とするイベントです。
JPCERT/CCは本イベントを後援、6月23日(木)ハンズオンDayでは「インシデント
対応ハンズオン」を、6月24日(金)カンファレンスDayでは、「サイバー攻撃
2021+」を講演します。公式Webサイトにて、プログラム内容を公開しており、
参加登録の受付も開始しています。Internet Week ショーケース 徳島・オンライン開催概要ページhttps://www.nic.ad.jp/sc-tokushima/Internet Week ショーケース 徳島・オンライン参加申込ページhttps://www.nic.ad.jp/sc-tokushima/apply/