-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2022-2401 JPCERT/CC 2022-06-22 <<< JPCERT/CC WEEKLY REPORT 2022-06-22 >>> ―――――――――――――――――――――――――――――――――――――― ■06/12(日)〜06/18(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数のマイクロソフト製品に脆弱性 【2】複数のアドビ製品に脆弱性 【3】複数のIntel製品に脆弱性 【4】複数のSAP製品に脆弱性 【5】複数のCisco製品に脆弱性 【6】Drupalのサードパーティライブラリに脆弱性 【7】Citrix Application Delivery Managementに脆弱性 【8】Gitlabにサーバサイドリクエストフォージェリの脆弱性 【9】GROWIに不十分なパスワード強度の脆弱性 【今週のひとくちメモ】経済産業省が「サイバーセキュリティ体制構築・人材確保の手引き」(第2.0版)を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2022/wr222401.html https://www.jpcert.or.jp/wr/2022/wr222401.xml ============================================================================ 【1】複数のマイクロソフト製品に脆弱性 情報源 CISA Current Activity Microsoft Releases June 2022 Security Updates https://www.cisa.gov/uscert/ncas/current-activity/2022/06/14/microsoft-releases-june-2022-security-updates 概要 複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三 者が任意のコードを実行するなどの可能性があります。 対象となる製品は、多岐にわたります。詳細はマイクロソフト株式会社が提供 するアドバイザリ情報を参照してください。 この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく ださい。 関連文書 (日本語) マイクロソフト株式会社 2022 年 6 月のセキュリティ更新プログラム https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2022-Jun JPCERT/CC 注意喚起 2022年6月マイクロソフトセキュリティ更新プログラムに関する注意喚起 https://www.jpcert.or.jp/at/2022/at220016.html 【2】複数のアドビ製品に脆弱性 情報源 CISA Current Activity Adobe Releases Security Updates for Multiple Products https://www.cisa.gov/uscert/ncas/current-activity/2022/06/14/adobe-releases-security-updates-multiple-products 概要 複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー ドを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Adobe Animate - Adobe Bridge - Adobe Illustrator - Adobe InCopy - Adobe InDesign - Adobe RoboHelp Server この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す ることで解決します。詳細は、アドビが提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC CyberNewsFlash 複数のアドビ製品のアップデートについて https://www.jpcert.or.jp/newsflash/2022061502.html 関連文書 (英語) アドビ Security updates available for Adobe Animate | APSB22-24 https://helpx.adobe.com/security/products/animate/apsb22-24.html アドビ Security Updates Available for Adobe Bridge | APSB22-25 https://helpx.adobe.com/security/products/bridge/apsb22-25.html アドビ Security Updates Available for Adobe Illustrator | APSB22-26 https://helpx.adobe.com/security/products/illustrator/apsb22-26.html アドビ Security Update Available for Adobe InCopy | APSB22-29 https://helpx.adobe.com/security/products/incopy/apsb22-29.html アドビ Security Update Available for Adobe InDesign | APSB22-30 https://helpx.adobe.com/security/products/indesign/apsb22-30.html アドビ Security hotfix available for RoboHelp Server | APSB22-31 https://helpx.adobe.com/security/products/robohelp-server/apsb22-31.html 【3】複数のIntel製品に脆弱性 情報源 Japan Vulnerability Notes JVNVU#94721039 Intel製品に複数の脆弱性(2022年6月) https://jvn.jp/vu/JVNVU94721039/ 概要 Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security Center Advisoriesが公開されました。 詳細は、Intelが提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC CyberNewsFlash Intel製品に関する複数の脆弱性について https://www.jpcert.or.jp/newsflash/2022061501.html 関連文書 (英語) Intel Intel Product Security Center Advisories https://www.intel.com/content/www/us/en/security-center/default.html 【4】複数のSAP製品に脆弱性 情報源 CISA Current Activity SAP Releases June 2022 Security Updates https://www.cisa.gov/uscert/ncas/current-activity/2022/06/14/sap-releases-june-2022-security-updates 概要 複数のSAP製品には、脆弱性があります。結果として、第三者がシステムを制 御するなどの可能性があります。 対象となる製品は、多岐にわたります。詳細はSAPが提供するアドバイザリ情 報を参照してください。 この問題は、該当する製品をSAPが提供する修正済みのバージョンに更新する ことで解決します。詳細は、SAPが提供する情報を参照してください。 関連文書 (英語) SAP SAP Security Patch Day June 2022 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a 【5】複数のCisco製品に脆弱性 情報源 CISA Current Activity Cisco Releases Security Updates for Multiple Products https://www.cisa.gov/uscert/ncas/current-activity/2022/06/16/cisco-releases-security-updates-multiple-products 概要 複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が任意 のコードを実行するなどの可能性があります。 対象となる製品は、多岐にわたります。詳細や最新の情報については、Cisco が提供するアドバイザリ情報を参照してください。 この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Ciscoが提供する情報を参照してください。 関連文書 (英語) Cisco Cisco Security Advisories https://tools.cisco.com/security/center/publicationListing.x Cisco Cisco Email Security Appliance and Cisco Secure Email and Web Manager External Authentication Bypass Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sma-esa-auth-bypass-66kEcxQD Cisco Cisco Small Business RV110W, RV130, RV130W, and RV215W Routers Remote Command Execution and Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sb-rv-overflow-s2r82P9v 【6】Drupalのサードパーティライブラリに脆弱性 情報源 CISA Current Activity Drupal Releases Security Updates https://www.cisa.gov/uscert/ncas/current-activity/2022/06/13/drupal-releases-security-updates 概要 Drupalが使用するサードパーティライブラリGuzzleには、脆弱性があります。 結果として、遠隔の第三者がWebサイトを制御するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Drupal 9.4.0-rc2より前の9.4系バージョン - Drupal 9.3.16より前の9.3系バージョン - Drupal 9.2.21より前の9.2系バージョン なお、Drupal 9.2系より前の9系のバージョンはサポートが終了しており、今 回のセキュリティに関する情報は提供されていません。また、Drupal 7系は本 脆弱性の影響を受けないとのことです。 この問題は、Drupalを開発者が提供する修正済みのバージョンに更新すること で解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (英語) Drupal Drupal core - Moderately critical - Third-party libraries - SA-CORE-2022-011 https://www.drupal.org/sa-core-2022-011 【7】Citrix Application Delivery Managementに脆弱性 情報源 CISA Current Activity Citrix Releases Security Updates for Application Delivery Management https://www.cisa.gov/uscert/ncas/current-activity/2022/06/14/citrix-releases-security-updates-application-delivery-management 概要 Citrix Application Delivery Management(ADM)のサーバーおよびエージェ ントには、脆弱性があります。結果として、第三者によって管理者パスワード がリセットされ、デバイスにSSH接続されるなどの可能性があります。 対象となるバージョンは次のとおりです。 - Citrix ADM 13.1-21.53より前の13.1系バージョン - Citrix ADM 13.0-85.19より前の13.0系バージョン なお、Citrix ADM 12.1系はサポートが終了しており、今回のセキュリティに 関する情報は提供されていません。 この問題は、該当する製品をCitrixが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Citrixが提供する情報を参照してください。 関連文書 (英語) Citrix Citrix Application Delivery Management Security Bulletin for CVE-2022-27511 and CVE-2022-27512 https://support.citrix.com/article/CTX460016/citrix-application-delivery-management-security-bulletin-for-cve202227511-and-cve202227512 【8】Gitlabにサーバサイドリクエストフォージェリの脆弱性 情報源 Japan Vulnerability Notes JVN#93667442 Gitlab におけるサーバサイドリクエストフォージェリの脆弱性 https://jvn.jp/jp/JVN93667442/ 概要 Gitlabには、サーバーサイドリクエストフォージェリの脆弱性があります。結 果として、GitLabインスタンスのネットワーク内で、第三者が任意のHTTP/H TTPSまたはgitリクエストを行う可能性があります。 対象となるバージョンは次のとおりです。 - Gitlab 14.7 から 14.7.1 より前のバージョン - Gitlab 14.6 から 14.6.4 より前のバージョン - Gitlab 10.5 から 14.5.4 より前のバージョン この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (英語) GitLab GitLab Security Release: 14.7.1, 14.6.4, and 14.5.4 | Blind SSRF Through Project Import https://about.gitlab.com/releases/2022/02/03/security-release-gitlab-14-7-1-released/#blind-ssrf-through-project-import 【9】GROWIに不十分なパスワード強度の脆弱性 情報源 Japan Vulnerability Notes JVNVU#96438711 Growiにおける不十分なパスワード強度の脆弱性 https://jvn.jp/vu/JVNVU96438711/ 概要 GROWIには、不十分なパスワード強度の脆弱性があります。結果として、パス ワード総当たり攻撃により不正にログインされる可能性があります。 対象となるバージョンは次のとおりです。 - GROWI v5.0.0より前のバージョン この問題は、該当する製品を株式会社WESEEKが提供する修正済みのバージョン に更新することで解決します。詳細は、株式会社WESEEKが提供する情報を参照 してください。 関連文書 (日本語) 株式会社WESEEK GROWI 脆弱性対応のお知らせ (JVNVU#96438711) https://weseek.co.jp/ja/news/2022/06/14/growi-weak-password-requirements/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○経済産業省が「サイバーセキュリティ体制構築・人材確保の手引き」(第2.0版)を公開 経済産業省は、企業がサイバーセキュリティ経営ガイドラインに基づいて組織 体制を構築し、必要な人材を確保するためのポイントをまとめた『サイバーセ キュリティ体制構築・人材確保の手引き』をリニューアルし、第2.0版として 公開しました。第2.0版では、第1.1版(2021年4月公開)をもとに、読みやす さを重視しポイントをしぼって検討手順を明確化するとともに、業務遂行にあ たってセキュリティを意識し、必要かつ十分なセキュリティ対策を実現できる 能力を身につけるあるいは身につけている状態をさす「プラス・セキュリティ」 を踏まえ、一部内容の更新・拡充を行っています。 参考文献 (日本語) 経済産業省 「サイバーセキュリティ体制構築・人材確保の手引き」(第2.0版)をとりまとめました https://www.meti.go.jp/policy/netsecurity/tebiki_taisei_jinzai.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CCからのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下のURLからご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下のURLを参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJismDTAAoJEDoQgdvpn3qqFqoQAIGHFz8a+72caD1uUoLWyywW t36uQjy2SJKbfM4L+YTKloIZ7XtNPlqNwUNWOO5neRbA25aIApx+PexxnRSVnbdQ nfFTXqk2ny5lQROmpzqNBmkIwvZ9QR32z3WsrFkLgS5NvgXfUKr66abBdqmo053A oTW5GLrnCSlyGUW0Jl0vfZo1d477VTuQoW6NyAgpheqp7MxEQDMNXexU7kYMFCNb Xvy00OXd+TylvjRftEXfkX2y2N8N699mQtKYj/xDeN+c/Zq0FXOtqePW5z8GneQl vDRZuYAdcRWIKwXfeYNXGBqoaz6S1Ex8GtOIN+0AZgePkCHnUyPlDGcgC8kmlSkO p7JTGUjVz8Y0+2V7qzyzX6MvbegRnSkBjcRQKLOhs4EDgYwcDo2jNNFOMZJcFwmr tGxv3+gk3AAT35rkSgiXRUzZ/FgSV98BwzWELAUc/v55plEjryd0RHVlF6WF/SfJ ypvEM3XBDC0Q2vJ/Ji4ARX0lJTv9HCGwYviqz3iytPdS6TNUrQpzpIuyjUB1fgUT DJYeqFU2vGql4uVnMF4qAcE6tvHkxuTQu0ijdbeHdlwqAFXXHjR/SgHhgw8HnN1z fHd6pyLV6aSzhMOYbKxRzWt2W92m/IGXzk9XWXzfYSPJ/Prd8bVkGoitNBskanfX G6f7cqVyqCWf6bfowPbh =JgBt -----END PGP SIGNATURE-----