-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2022-2601 JPCERT/CC 2022-07-06 <<< JPCERT/CC WEEKLY REPORT 2022-07-06 >>> ―――――――――――――――――――――――――――――――――――――― ■06/26(日)〜07/02(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数のMozilla製品に脆弱性 【2】ruby-mysqlに任意のファイルを読み取り可能な脆弱性 【3】HOME SPOT CUBE2にOSコマンドインジェクションの脆弱性 【4】三菱電機製FAエンジニアリングソフトウェア製品に複数の脆弱性 【5】複数のオムロン製品に脆弱性 【今週のひとくちメモ】JPCERT/CC 感謝状 2022 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2022/wr222601.html https://www.jpcert.or.jp/wr/2022/wr222601.xml ============================================================================ 【1】複数のMozilla製品に脆弱性 情報源 CISA Current Activity Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird https://www.cisa.gov/uscert/ncas/current-activity/2022/06/29/mozilla-releases-security-updates-firefox-firefox-esr-and 概要 複数のMozilla製品には、複数の脆弱性があります。結果として、第三者が任 意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Mozilla Firefox 102より前のバージョン - Mozilla Firefox ESR 91.11より前のバージョン - Mozilla Firefox for iOS 102より前のバージョン - Mozilla Thunderbird 91.11より前のバージョン - Mozilla Thunderbird 102より前のバージョン この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新 することで解決します。詳細は、Mozillaが提供する情報を参照してください。 関連文書 (英語) Mozilla Mozilla Foundation Security Advisory 2022-24 https://www.mozilla.org/en-US/security/advisories/mfsa2022-24/ Mozilla Mozilla Foundation Security Advisory 2022-25 https://www.mozilla.org/en-US/security/advisories/mfsa2022-25/ Mozilla Mozilla Foundation Security Advisory 2022-26 https://www.mozilla.org/en-US/security/advisories/mfsa2022-26/ Mozilla Mozilla Foundation Security Advisory 2022-27 https://www.mozilla.org/en-US/security/advisories/mfsa2022-27/ 【2】ruby-mysqlに任意のファイルを読み取り可能な脆弱性 情報源 Japan Vulnerability Notes JVN#92799903 ruby-mysqlにおけるファイル参照に関する脆弱性 https://jvn.jp/vu/JVNVU92799903/ 概要 ruby-mysqlには、クライアント側のローカルファイルに適切な認可処理を経ずに アクセスすることが可能となる脆弱性が存在します。結果として、遠隔の第三者 が任意のファイルを読み取り、データを不正に窃取する可能性があります。 対象となるバージョンは次のとおりです。 - ruby-mysql 2.10.0より前のバージョン この問題は、ruby-mysqlを開発者が提供する修正済みのバージョンに更新する ことで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) tommy ruby-mysql 3.0.1 https://rubygems.org/gems/ruby-mysql/ 【3】HOME SPOT CUBE2にOSコマンドインジェクションの脆弱性 情報源 Japan Vulnerability Notes JVN#41017328 HOME SPOT CUBE2 における OS コマンドインジェクションの脆弱性 https://jvn.jp/jp/JVN41017328/ 概要 KDDI株式会社が提供するHOME SPOT CUBE2には、DHCPサーバーから受け取った データの処理の不備に起因する、OSコマンドインジェクションの脆弱性が存在 します。結果として、攻撃者が用意したDHCPサーバーを当該製品のWAN側に設 置した場合、当該製品上で任意のOSコマンドを実行する可能性があります。 対象となるバージョンは次のとおりです。 - HOME SPOT CUBE2 V102およびそれ以前 この問題は、KDDI株式会社が提供する回避策を適用することで本脆弱性の影響 を軽減することが可能とのことです。詳細は、KDDI株式会社が提供する情報を 参照してください。 関連文書 (日本語) KDDI株式会社 重要なお知らせ HOME SPOT CUBE2 ご利用上の注意 https://www.au.com/support/service/mobile/guide/wlan/home_spot_cube_2/ 【4】三菱電機製FAエンジニアリングソフトウェア製品に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#93817405 三菱電機製FAエンジニアリングソフトウェア製品における複数の脆弱性 https://jvn.jp/vu/JVNVU93817405/ 概要 三菱電機株式会社が提供する複数のFAエンジニアリングソフトウェア製品に は、複数の脆弱性が存在します。結果として、攻撃者が細工したプロジェクト ファイルを当該ソフトウェア製品で開いた場合、当該ソフトウェア製品がサー ビス運用妨害(DoS)状態になる可能性があります。 対象となる製品およびバージョンは次のとおりです。 - GX Works2 Ver. 1.606Gおよびそれ以前 - MELSOFT Navigator Ver. 2.84Nおよびそれ以前 - EZSocketすべてのバージョン この問題について、三菱電機株式会社より修正済みのバージョンの提供または 脆弱性の影響を軽減するための回避策に関する情報が提供されています。詳細 は、三菱電機株式会社が提供する情報を参照してください。 関連文書 (日本語) 三菱電機株式会社 複数の FA エンジニアリングソフトウェア製品における複数のサービス拒否(DoS)の脆弱性 https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-021.pdf 【5】複数のオムロン製品に脆弱性 情報源 Japan Vulnerability Notes JVNVU#97111518 オムロン製SYSMAC CS/CJ/CPシリーズおよびNJ/NXシリーズにおける複数の脆弱性 https://jvn.jp/vu/JVNVU97111518/ Japan Vulnerability Notes JVNVU#97050784 オムロン製複数製品における複数の脆弱性 https://jvn.jp/vu/JVNVU97050784/ 概要 複数のオムロン製品には、脆弱性が存在します。結果として、サービス運用 妨害(DoS)攻撃や任意のプログラムが実行されるなどの可能性があります。 対象となる製品は、多岐にわたります。詳細や最新の情報については、オムロ ン株式会社が提供するアドバイザリ情報を参照してください。 この問題について、オムロン株式会社より修正済みのバージョンの提供または 脆弱性の影響を軽減するための回避策に関する情報が提供されています。詳細 は、オムロン株式会社が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes オムロン株式会社からの情報 https://jvn.jp/vu/JVNVU97111518/995504/ オムロン株式会社 マシンオートメーションコントローラ NJ/NX シリーズの通信機能における認証回避の脆弱性 https://www.fa.omron.co.jp/product/vulnerability/OMSR-2022-001_ja.pdf オムロン株式会社 マシンオートメーションコントローラ NJ/NX シリーズにおける悪意のあるプログラムが実行される脆弱性 https://www.fa.omron.co.jp/product/vulnerability/OMSR-2022-002_ja.pdf ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○JPCERT/CC 感謝状 2022 JPCERT/CCは、2014年4月より、国内においてサイバーセキュリティインシデン トの被害の低減に大きく貢献した方へ感謝の意を表することを目的に、感謝状 制度を制定しています。2022年度は第9回目を迎えました。 JPCERT/CCは、多くの報告者の方々に日々ご協力いただいております。 JPCERT/CC に報告をくださったすべての方々に、この場を借りて感謝申し上げます。引き 続きJPCERT/CCの活動にご協力いただければと存じます。 参考文献 (日本語) JPCERT/CC JPCERT/CC 感謝状 2022 https://www.jpcert.or.jp/award/appreciation-award/2022.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CCからのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下のURLからご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下のURLを参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJixMxAAAoJEDoQgdvpn3qqqtUQAKDHkJGYB2mN0SlQ01YeV207 B1dFDmgkTYm9qUZOb3Ur5+RKJ8cb6V1OqKI3Tkw4aOQ/9GC/wlLRg1IlWF3KuIPC Mk55DVTbsVv8yw3qH2HknRXUhXgxH7prDD92FOc8rmJ1Qmr0WXf1Tp/xECDQVLnk XIpo72pSKaJ6xxiF3fZsnaLqvF76Q8MVpH/BCuH+ejZuajl2ZHW5iAh3n8XQzlhq vEIpN3/JKGpiAn5H+cTZSk2LLP3c/hkhAmvfzwB4wabZyKVpAGG/WJyw544FaD+Y +9V2NJzUbudz6Of8J0ch3AWc18+F7tdxI7vFHa8sC9dWZxErY4uLAI21ztIVhDjm JsrC9L+6+AXCr9GtrjknzbBCmyXxRPY2ZSiRLWNNFkJ0E5L6BoX80P1Rw75VUFms +MSQZtOo//F5bMPYU5HC+Z5tJe7y/YhuMzWpoEMSQr8/GFJDDtwLhAOFoVyMPnTr FY/4ksop+WJCmE4gptk06Tr47oR3x7nsM/u6dSmyP8watNh3ZHg16aYoqcAMLD3W z8wjhERaZfKyT3A6kNEbNDiXAMrUeA6ShasM3zHfcq6q909+Oj9cfVFWgoVXQlEq 9mLRxb/SIGgFq1LeGxrjZ7/T2QeUBpsSTTaBLdiP/QOmTxMGIQFqTlHXZHKjxEf+ Z8dNM9IMfsYmjvgTMK3i =hJJd -----END PGP SIGNATURE-----