-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2022-3001 JPCERT/CC 2022-08-03 <<< JPCERT/CC WEEKLY REPORT 2022-08-03 >>> ―――――――――――――――――――――――――――――――――――――― ■07/24(日)〜07/30(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Sambaに複数の脆弱性 【2】複数のMozilla製品に脆弱性 【3】SonicWall Global Management SystemおよびAnalyticsにSQLインジェクションの脆弱性 【4】複数のCitrix製品に脆弱性 【5】ニンテンドーWi-Fiネットワークアダプタに複数の脆弱性 【6】「JUSTオンラインアップデート for J-License」における実行ファイルのパスが引用符で囲まれていない脆弱性 【7】「Hulu/フールー」iOSアプリにサーバー証明書の検証不備の脆弱性 【8】WordPress用プラグインNewsletterにクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】JPCERT/CCが「サイバー政策動向を知ろう Watch! Cyber World vol.3 | 中国の法整備」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2022/wr223001.html https://www.jpcert.or.jp/wr/2022/wr223001.xml ============================================================================ 【1】Sambaに複数の脆弱性 情報源 CISA Current Activity Samba Releases Security Updates https://www.cisa.gov/uscert/ncas/current-activity/2022/07/27/samba-releases-security-updates 概要 Sambaには、複数の脆弱性があります。結果として、攻撃者がドメインの管理 者権限を取得するなどの可能性があります。 影響を受けるバージョンは多岐にわたります。詳細は、The Samba Teamが提供 するアドバイザリ情報を参照してください。 この問題は、SambaをThe Samba Teamが提供する修正済みのバージョンに更新 することで解決します。詳細は、The Samba Teamが提供する情報を参照してく ださい。 関連文書 (英語) The Samba Team Samba Security Releases https://www.samba.org/samba/history/security.html 【2】複数のMozilla製品に脆弱性 情報源 Mozilla Mozilla Foundation Security Advisories https://www.mozilla.org/en-US/security/advisories/ 概要 複数のMozilla製品には、脆弱性があります。結果として、攻撃者が任意の コードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Mozilla Firefox 103より前のバージョン - Mozilla Firefox ESR 91.12より前のバージョン - Mozilla Firefox ESR 102.1より前のバージョン - Mozilla Thunderbird 91.12より前のバージョン - Mozilla Thunderbird 102.1より前のバージョン この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新 することで解決します。詳細は、Mozillaが提供する情報を参照してください。 関連文書 (英語) Mozilla Security Vulnerabilities fixed in Firefox 103 https://www.mozilla.org/en-US/security/advisories/mfsa2022-28/ Mozilla Security Vulnerabilities fixed in Firefox ESR 91.12 https://www.mozilla.org/en-US/security/advisories/mfsa2022-29/ Mozilla Security Vulnerabilities fixed in Firefox ESR 102.1 https://www.mozilla.org/en-US/security/advisories/mfsa2022-30/ Mozilla Security Vulnerabilities fixed in Thunderbird 91.12 https://www.mozilla.org/en-US/security/advisories/mfsa2022-31/ Mozilla Security Vulnerabilities fixed in Thunderbird 102.1 https://www.mozilla.org/en-US/security/advisories/mfsa2022-32/ 【3】SonicWall Global Management SystemおよびAnalyticsにSQLインジェクションの脆弱性 情報源 SonicWall Unauthenticated SQL Injection in SonicWall GMS and Analytics https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2022-0007 概要 SonicWall Global Management SystemおよびAnalyticsには、SQLインジェク ションの脆弱性があります。結果として、遠隔の第三者がデータベースを不正 に操作する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - SonicWall Global Management System 9.3.1-SP2-Hotfix1およびそれ以前 - SonicWall Analytics 2.5.0.3-2520およびそれ以前 この問題は、SonicWallが提供するパッチを適用することで解決します。詳細 は、SonicWallが提供する情報を参照してください。 関連文書 (英語) SonicWall Security Notice: SonicWall GMS SQL Injection Vulnerability https://www.sonicwall.com/support/knowledge-base/security-notice-sonicwall-gms-sql-injection-vulnerability/220613083124303/ 【4】複数のCitrix製品に脆弱性 情報源 Citrix Citrix ADC and Citrix Gateway Security Bulletin for CVE-2022-27509 https://support.citrix.com/article/CTX457836/ 概要 複数のCitrix製品には、データの信頼性確認が不十分である脆弱性があります。 結果として、攻撃者が特別に細工したURLを用意し、不正なWebサイトにリダイ レクトさせる可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Citrix ADCおよびCitrix Gateway 13.1-24.38より前の13.1系のバージョン - Citrix ADCおよびCitrix Gateway 13.0-86.17より前の13.0系のバージョン - Citrix ADCおよびCitrix Gateway 12.1-65.15より前の12.1系のバージョン - Citrix ADC 12.1-FIPS 12.1-55.282より前のバージョン - Citrix ADC 12.1-NDcPP 12.1-55.282より前のバージョン この問題は、該当する製品をCitrixが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Citrixが提供する情報を参照してください。 【5】ニンテンドーWi-Fiネットワークアダプタに複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#17625382 ニンテンドーWi-Fiネットワークアダプタ WAP-001 における複数の脆弱性 https://jvn.jp/jp/JVN17625382/ 概要 任天堂株式会社が提供するニンテンドーWi-FiネットワークアダプタWAP-001 には、複数の脆弱性が存在します。結果として、当該製品の管理画面にログイ ン可能なユーザーが任意のコードやOSコマンドを実行するなどの可能性があり ます。 対象となる製品およびバージョンは次のとおりです。 - ニンテンドーWi-FiネットワークアダプタWAP-001すべてのバージョン 当該製品のサポートはすでに終了しているため、開発者によると恒久的な対策 として、製品の使用を中止するようアナウンスされています。詳細は、開発者 が提供する情報を参照してください。 関連文書 (日本語) 任天堂株式会社 「ニンテンドーWi-Fi USBコネクタ」および「ニンテンドーWi-Fiネットワークアダプタ」使用中止のお願い https://www.nintendo.co.jp/support/information/2022/0720.html 【6】「JUSTオンラインアップデート for J-License」における実行ファイルのパスが引用符で囲まれていない脆弱性 情報源 Japan Vulnerability Notes JVNVU#57073973 「JUSTオンラインアップデート for J-License」が特定のプログラムを起動する際に実行ファイルのパスが引用符で囲まれていない脆弱性 https://jvn.jp/jp/JVN57073973/ 概要 複数の法人ユーザー向けジャストシステム製品に同梱されている「JUSTオンラ インアップデート for J-License」は、特定のプログラムを実行する際に実行 ファイルのパスが引用符で囲まれていない脆弱性が存在します。結果として、 攻撃者が当該Windowsサービスの実行権限で不正なファイルを実行する可能性 があります。 対象となる製品は多岐に渡ります。詳細は株式会社ジャストシステムが提供す る情報を参照してください。 この問題は、株式会社ジャストシステムが提供する修正済みのバージョンに更 新することで解決します。詳細は、株式会社ジャストシステムが提供する情報 を参照してください。 関連文書 (日本語) 株式会社ジャストシステム [JS22001]ライセンス商品に添付のオンラインアップデート機能の脆弱性対策 https://www.justsystems.com/jp/corporate/info/js22001.html 【7】「Hulu/フールー」iOSアプリにサーバー証明書の検証不備の脆弱性 情報源 Japan Vulnerability Notes JVN#81563390 iOS アプリ「Hulu / フールー」におけるサーバ証明書の検証不備の脆弱性 https://jvn.jp/jp/JVN81563390/ 概要 HJホールディングス株式会社が提供する「Hulu/フールー」iOSアプリには、 サーバー証明書の検証不備の脆弱性があります。結果として、悪意のある第三 者が中間者攻撃による暗号通信の盗聴を行う可能性があります。 対象となる製品およびバージョンは次のとおりです。 - iOSアプリ「Hulu/フールー」バージョン3.0.81より前のバージョン この問題は、HJホールディングス株式会社が提供する修正済みのバージョンに 更新することで解決します。詳細は、HJホールディングス株式会社が提供する 情報を参照してください。 関連文書 (日本語) HJホールディングス株式会社 【脆弱性情報】「Hulu / フールー」iOS版における SSL サーバ証明書の検証不備の脆弱性に関するお知らせ https://help.hulu.jp/hc/ja/articles/8358166490649/ 【8】WordPress用プラグインNewsletterにクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#77850327 WordPress 用プラグイン Newsletter におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN77850327/ 概要 WordPress用プラグインNewsletterには、クロスサイトスクリプティングの脆 弱性が存在します。結果として、当該プラグインを使用しているWordPressに 管理者権限でログインしているユーザーのWebブラウザー上で、任意のスクリ プトを実行される可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Newsletter 7.4.5より前のバージョン この問題は、開発者が提供する修正済みのバージョンに更新することで解決し ます。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) Stefano Lissa & The Newsletter Team Newsletter - Send awesome emails from WordPress https://ja.wordpress.org/plugins/newsletter/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○JPCERT/CCが「サイバー政策動向を知ろう Watch! Cyber World vol.3 | 中国の法整備」を公開 2022年7月29日、JPCERT/CCは「サイバー政策動向を知ろう Watch! Cyber World vol.3 | 中国の法整備」をJPCERT/CC Eyesで公開しました。JPCERT/CC は、サイバーセキュリティ政策に関する諸外国の動向調査として政府機関、国 際機関、企業などのニュースの収集を行っています。 vol.3となる今回は、中国におけるサイバーセキュリティ関連の法整備に関し て解説しています。 参考文献 (日本語) JPCERT/CC Eyes サイバー政策動向を知ろう Watch! Cyber World vol.3 | 中国の法整備 https://blogs.jpcert.or.jp/ja/2022/07/cyberworld3.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CCからのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下のURLからご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下のURLを参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJi6bBFAAoJEDoQgdvpn3qqJHEP/0wJn9R+rj6Cxf7iWUmUSpZ2 Tox5qsjdcbKcmPcxne/q3wLu+rHy+qGNUyMZzVcAsdMu0STKCDcwrOVycef65HS3 xTyYwXLn7AIrxHOowJFDucX/czkwj+ByeSjQBEQeImDDRCQ/+gHLpvC1nNo9ulW3 qXZwczjHNf1kbrbpRWPtjjo6yJgJ3ecNiX4sE77X3KWjh6pCVXQb/ff8g1zU/hJr q1GcV0+RBYO6iBTsM0PG1v131xovWXvMMXhvDe+YovPLU6+cUER0tUVDzhREmkou tSi36BiwKYYseUO5UdpSedUbSO9zaysw9+uF7tABHhxwsP2INM9sH6jzl4Uc0Bf4 dOEuDsPUDtWrkObGCE7iwgehjSm6jfDmWj7pd4M6+2GzNESse7wzuG8HIt/ywnpU 8k740Pi5X/nkQA1OzA2AFyBtHm8RnW2k05Ddd81TSXzQVpurG9SF+4QC/IiHS9vQ LjNFp4qrRtSIb246pRIq0unQtCEggVoHM1NGJwq3Yn4BYcLxfJQHvLbQBVVdUAT6 AJrKp03qnRDv298kBm/ct0PAyTLE9VE/4PwGZIRWJZRJHVXbo48TeANnDopZCl8h R2Ki7RH/9x28K15jZRoJRvnUdjgKcRZcprMhFuS+xZ2Cb5V9GcHmikGuKwmIMCru f2zdKgfJhwcsMGkRY4Sc =uZrP -----END PGP SIGNATURE-----