-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


                                                         JPCERT-WR-2022-2801
                                                                   JPCERT/CC
                                                                  2022-07-21

            <<< JPCERT/CC WEEKLY REPORT 2022-07-21 >>>

――――――――――――――――――――――――――――――――――――――
■07/10(日)〜07/16(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】複数のCitrix製品に情報漏えいの問題
【2】複数のSAP製品に脆弱性
【3】複数のマイクロソフト製品に脆弱性
【4】複数のアドビ製品に脆弱性
【5】DjangoのExtract関数およびTrunc関数にSQLインジェクションの脆弱性
【6】複数のIntel製品に脆弱性
【今週のひとくちメモ】JPCERT/CCが「なぜ、SSL-VPN製品の脆弱性は放置されるのか “サプライチェーン”攻撃という言葉の陰で見過ごされている攻撃原因について」を公開

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2022/wr222801.html
        https://www.jpcert.or.jp/wr/2022/wr222801.xml
============================================================================


【1】複数のCitrix製品に情報漏えいの問題

    情報源
      CISA Current Activity
      Citrix Releases Security Updates for Hypervisor
      https://www.cisa.gov/uscert/ncas/current-activity/2022/07/12/citrix-releases-security-updates-hypervisor

    概要
      複数のCitrix製品には、AMD CPUハードウェアの脆弱性の影響で情報が漏えい
      する問題があります。結果として、ゲストVM上の第三者がホスト上のRAMメモ
      リの内容を推測する可能性があります。

      対象となる製品およびバージョンは次のとおりです。

      - Citrix Hypervisor 8.2 CU1 LTSR
      - Citrix XenServer 7.1 CU2 LTSR

      この問題は、該当する製品にCitrixが提供するhotfixを適用することで解決し
      ます。詳細は、Citrixが提供する情報を参照してください。

    関連文書 (英語)
      Citrix
      Citrix Hypervisor Security Bulletin for CVE-2022-23825 and CVE-2022-29900
      https://support.citrix.com/article/CTX461397/citrix-hypervisor-security-bulletin-for-cve202223816-and-cve202223825

【2】複数のSAP製品に脆弱性

    情報源
      CISA Current Activity
      SAP Releases July 2022 Security Updates
      https://www.cisa.gov/uscert/ncas/current-activity/2022/07/12/sap-releases-july-2022-security-updates

    概要
      複数のSAP製品には、脆弱性があります。結果として、遠隔の第三者が情報を
      窃取するなどの可能性があります。

      対象となる製品は、多岐にわたります。詳細はSAPが提供するアドバイザリ情
      報を参照してください。

      この問題は、該当する製品をSAPが提供する修正済みのバージョンに更新する
      ことで解決します。詳細は、SAPが提供する情報を参照してください。

    関連文書 (英語)
      SAP
      SAP Security Patch Day - July 2022
      https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a

【3】複数のマイクロソフト製品に脆弱性

    情報源
      CISA Current Activity
      Microsoft Releases July 2022 Security Updates
      https://www.cisa.gov/uscert/ncas/current-activity/2022/07/12/microsoft-releases-july-2022-security-updates

    概要
      複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
      者が任意のコードを実行するなどの可能性があります。

      対象となる製品は、多岐にわたります。詳細はマイクロソフト株式会社が提供
      するアドバイザリ情報を参照してください。

      この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
      で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく
      ださい。

    関連文書 (日本語)
      マイクロソフト株式会社
      2022 年 7 月のセキュリティ更新プログラム
      https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2022-Jul

      JPCERT/CC 注意喚起
      2022年7月マイクロソフトセキュリティ更新プログラムに関する注意喚起
      https://www.jpcert.or.jp/at/2022/at220018.html

【4】複数のアドビ製品に脆弱性

    情報源
      CISA Current Activity
      Adobe Releases Security Updates for Multiple Products
      https://www.cisa.gov/uscert/ncas/current-activity/2022/07/12/adobe-releases-security-updates-multiple-products

    概要
      複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー
      ドを実行するなどの可能性があります。

      対象となる製品は次のとおりです。

      - Adobe Acrobat
      - Adobe Acrobat Reader
      - Adobe RoboHelp
      - Adobe Character Animator
      - Adobe Photoshop

      この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
      ることで解決します。詳細は、アドビが提供する情報を参照してください。

    関連文書 (日本語)
      JPCERT/CC 注意喚起
      Adobe AcrobatおよびReaderの脆弱性（APSB22-32）に関する注意喚起
      https://www.jpcert.or.jp/at/2022/at220017.html

      JPCERT/CC CyberNewsFlash
      複数のアドビ製品のアップデートについて
      https://www.jpcert.or.jp/newsflash/2022071302.html

    関連文書 (英語)
      アドビ
      Security update available for Adobe Acrobat and Reader | APSB22-32
      https://helpx.adobe.com/security/products/acrobat/apsb22-32.html

      アドビ
      Security update available for RoboHelp | APSB22-10
      https://helpx.adobe.com/security/products/robohelp/apsb22-10.html

      アドビ
      Security Updates Available for Adobe Character Animator | APSB22-34
      https://helpx.adobe.com/security/products/character_animator/apsb22-34.html

      アドビ
      Security update available for Adobe Photoshop | APSB22-35
      https://helpx.adobe.com/security/products/photoshop/apsb22-35.html

【5】DjangoのExtract関数およびTrunc関数にSQLインジェクションの脆弱性

    情報源
      Japan Vulnerability Notes JVN#12610194
      Django の Extract 関数および Trunc 関数における SQL インジェクションの脆弱性
      https://jvn.jp/jp/JVN12610194/

    概要
      Django Software Foundationが提供するDjangoのExtract関数およびTrunc関数
      には、SQLインジェクションの脆弱性があります。結果として、Djangoを利用
      して構築されたWebサイト内のデータを攻撃者が改ざんしたり、消去したりす
      る可能性があります。

      対象となるバージョンは次のとおりです。

      - Djangoメイン開発ブランチ
      - Django 4.1 (現在ベータ版)
      - Django 4.0
      - Django 3.2

      この問題は、Djangoを開発者が提供する修正済みのバージョンに更新すること
      で解決します。詳細は、開発者が提供する情報を参照してください。


    関連文書 (英語)
      Django Software Foundation
      Django security releases issued: 4.0.6 and 3.2.14
      https://www.djangoproject.com/weblog/2022/jul/04/security-releases/

【6】複数のIntel製品に脆弱性

    情報源
      Japan Vulnerability Notes JVNVU#93756594
      Intel製品に複数の脆弱性（2022年7月）
      https://jvn.jp/vu/JVNVU93756594/

    概要
      Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security
      Center Advisoriesが公開されました。

      詳細は、Intelが提供する情報を参照してください。


    関連文書 (日本語)
      JPCERT/CC CyberNewsFlash
      Intel製品に関する複数の脆弱性について
      https://www.jpcert.or.jp/newsflash/2022071301.html

    関連文書 (英語)
      Intel
      Intel Product Security Center Advisories
      https://www.intel.com/content/www/us/en/security-center/default.html


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CCが「なぜ、SSL-VPN製品の脆弱性は放置されるのか “サプライチェーン”攻撃という言葉の陰で見過ごされている攻撃原因について」を公開

      2022年7月14日、JPCERT/CCは「なぜ、SSL-VPN製品の脆弱性は放置されるのか
      “サプライチェーン”攻撃という言葉の陰で見過ごされている攻撃原因につい
      て」をJPCERT/CC Eyesで公開しました。侵入型ランサムウェア攻撃被害に遭う
      ケースを「大企業のサプライチェーン」の観点ではなく、主な侵入原因である
      SSL-VPN製品の脆弱性放置の問題というインシデント対応側の観点から解説し
      ています。


    参考文献 (日本語)
      JPCERT/CC Eyes
      なぜ、SSL-VPN製品の脆弱性は放置されるのか “サプライチェーン”攻撃という言葉の陰で見過ごされている攻撃原因について
      https://blogs.jpcert.or.jp/ja/2022/07/ssl-vpn.html


――――――――――――――――――――――――――――――――――――――
■JPCERT/CCからのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下のURLからご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下のURLを参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

-----BEGIN PGP SIGNATURE-----

iQIcBAEBCAAGBQJi2JfxAAoJEDoQgdvpn3qqGqgP/1QmzjXylTlYEMpgNTXRo2dz
as+4WX8k/Pz377SMRXWXtpTOuAUhoT6ZBu0o3R6WoioA5JuRgGApC5lJ13KJzkOt
vAQvq1FKOR24jehN6Gb3p1rX1dipwknUQk4L0JmdBv92hrhHoPJNLPdyQGJHbjRy
+jR7dXi/d4TIr00xe232JZggH2NdLcXLAXNGIaJU2obhEydca1VVwSyo+qnh9l04
CpO4oqi2+YHXzA81U04TKuhY1OunWnFdo868eo0qneNakgburS5jkmCU+tkNJ90l
fN77hz4gm3EtNfCXsjKtobZ5+WI91UsT+8S57VmySTLDRYEoMabwEGaPP57LzT39
N2lHIwVxDs+lVLKzypcnBrNzG5b0gbft5rWmXpba17RvQrfDFpL69qfYhh23Z2Nb
SrApVigTXBlUFV88otaA2gn2aWirg0WyE7KyRzvzQf1Sjc6Xb8zYhUiWpFOSsi46
tBWqz5HdHE/3BRzswJUlHRbhqy1A4lk9ZmCmAE0KSahThnhqgTamBwfKOvE6SSl7
ZbbJjTq7038SR4Ilx4D8RwxVYqt8KIeAanBOqfnc7jyANWem/YgJvXvBMa4hg5iX
cZkec2qCnkJxpnreX9hZAAEG+SocTWwO63e/jGSdGYIcO/hEp70NhDfpWz+wxuX1
ohQoL6P89PY3gwHdlKP0
=tvEG
-----END PGP SIGNATURE-----