-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


                                                         JPCERT-WR-2022-3501
                                                                   JPCERT/CC
                                                                  2022-09-07

            <<< JPCERT/CC WEEKLY REPORT 2022-09-07 >>>

――――――――――――――――――――――――――――――――――――――
■08/28(日)〜09/03(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】Mozilla Thunderbirdに複数の脆弱性
【2】iOS 12に任意のコード実行の脆弱性
【3】PowerCMSにコマンドインジェクションの脆弱性
【4】シンクグラフィカ製メールフォームプロ CGIに情報漏えいの脆弱性
【5】プラネックスコミュニケーションズ製ネットワークカメラに複数の脆弱性
【6】CentreCOM AR260S V2に複数の脆弱性
【7】リコーカンタンドライバーインストーラセットアップツールにDLL読み込みに関する脆弱性
【今週のひとくちメモ】SecurityDays Fall 2022開催

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2022/wr223501.html
        https://www.jpcert.or.jp/wr/2022/wr223501.xml
============================================================================


【1】Mozilla Thunderbirdに複数の脆弱性

    情報源
      CISA Current Activity
      Mozilla Releases Security Update for Thunderbird
      https://www.cisa.gov/uscert/ncas/current-activity/2022/09/02/mozilla-releases-security-update-thunderbird

    概要
      Mozilla Thunderbirdには、複数の脆弱性があります。結果として、攻撃者が
      機微な情報を取得するなどの可能性があります。

      対象となる製品とバージョンは次のとおりです。

      - Mozilla Thunderbird 102.2.1より前のバージョン

      この問題は、Mozilla ThunderbirdをMozillaが提供する修正済みのバージョン
      に更新することで解決します。詳細は、Mozillaが提供する情報を参照してく
      ださい。


    関連文書 (日本語)
      Mozilla
      Mozilla Foundation Security Advisory 2022-38
      https://www.mozilla.org/en-US/security/advisories/mfsa2022-38/

【2】iOS 12に任意のコード実行の脆弱性

    情報源
      CISA Current Activity
      Apple Releases Security Updates for Multiple Products
      https://www.cisa.gov/uscert/ncas/current-activity/2022/09/01/apple-releases-security-updates-multiple-products

    概要
      iOS 12には、任意のコード実行の脆弱性があります。結果として、第三者が任
      意のコードを実行する可能性があります。

      対象となる製品およびバージョンは次のとおりです。

      - iOS 12.5.6より前のバージョン

      この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
      ることで解決します。詳細は、Appleが提供する情報を参照してください。

    関連文書 (日本語)
      Apple
      iOS 12.5.6 のセキュリティコンテンツについて
      https://support.apple.com/ja-jp/HT213428

      CyberNewsFlash
      Apple製品のアップデートについて（2022年8月）
      https://www.jpcert.or.jp/newsflash/2022081801.html

【3】PowerCMSにコマンドインジェクションの脆弱性

    情報源
      Japan Vulnerability Notes JVN#76024879
      PowerCMS の XMLRPC API におけるコマンドインジェクションの脆弱性
      https://jvn.jp/jp/JVN76024879/

    概要
      PowerCMSのXMLRPC APIには、コマンドインジェクションの脆弱性があります。
      結果として、遠隔の第三者が任意のOSコマンドを実行するなどの可能性があり
      ます。

      対象となる製品およびバージョンは次のとおりです。

      - PowerCMS 6.021 およびそれ以前 (PowerCMS 6系)
      - PowerCMS 5.21 およびそれ以前 (PowerCMS 5系)
      - PowerCMS 4.51 およびそれ以前 (PowerCMS 4系)

      なお、開発者によると、すでにサポートが終了している PowerCMS 3系以前の
      バージョンも本脆弱性の影響を受けるとのことです。

      この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
      ることで解決します。詳細は、開発者が提供する情報を参照してください。

    関連文書 (日本語)
      アルファサード株式会社
      XMLRPC API におけるコマンド・インジェクションの脆弱性対策 (JVN#7602487)
      https://www.powercms.jp/news/xmlrpc-api-provision-202208.html

【4】シンクグラフィカ製メールフォームプロ CGIに情報漏えいの脆弱性

    情報源
      Japan Vulnerability Notes JVN#34205166
      シンクグラフィカ製メールフォームプロ CGI における情報漏えいの脆弱性
      https://jvn.jp/jp/JVN34205166/

    概要
      シンクグラフィカが提供するメールフォームプロ CGIには、情報漏えいの脆弱
      性があります。結果として、第三者がユーザーの機微な情報を取得する可能性
      があります。

      対象となる製品およびバージョンは次のとおりです。

      - メールフォームプロ CGI 4.3.1 およびそれ以前

      なお、開発者によると、thanksモジュールを有効にしている場合に本脆弱性の
      影響を受けるとのことです。

      この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
      ることで解決します。詳細は、開発者が提供する情報を参照してください。

    関連文書 (日本語)
      シンクグラフィカ
      メールフォームプロ 情報漏洩の脆弱性 について
      https://www.synck.com/blogs/news/newsroom/detail_1661907555.html

      シンクグラフィカ
      サンクスページへ値の引き継ぎ（v4.1.2）
      https://www.synck.com/downloads/cgi-perl/mailformpro/feature_1381250709.html

【5】プラネックスコミュニケーションズ製ネットワークカメラに複数の脆弱性

    情報源
      Japan Vulnerability Notes JVNVU#90766406
      プラネックスコミュニケーションズ製ネットワークカメラにおける複数の脆弱性
      https://jvn.jp/vu/JVNVU90766406/

    概要
      プラネックスコミュニケーションズ株式会社が提供する「スマカメ CS-QR10」
      および「スマカメ ナイトビジョン CS-QR20」には、複数の脆弱性があります。
      結果として、Web管理インターフェイスにログイン可能な攻撃者が、当該製品
      上で任意のOSコマンドを実行するなどの可能性があります。

      対象となる製品とバージョンは次のとおりです。

      - スマカメ CS-QR10 すべてのバージョン
      - スマカメ ナイトビジョン CS-QR20 すべてのバージョン

      当該製品のサポートは終了しており、修正アップデートは提供されません。
      開発者は対策として、製品の使用停止、または管理者パスワードを変更した上
      で安全性を配慮したローカルネットワーク環境での使用を推奨しています。

【6】CentreCOM AR260S V2に複数の脆弱性

    情報源
      Japan Vulnerability Notes JVN#45473612
      CentreCOM AR260S V2 における複数の脆弱性
      https://jvn.jp/jp/JVN45473612/

    概要
      アライドテレシス株式会社が提供する CentreCOM AR260S V2には、複数の脆弱
      性があります。結果として、遠隔の第三者が任意のOSコマンドを実行する可能
      性があります。

      対象となる製品とバージョンは次のとおりです。

      - CentreCOM AR260S V2 ファームウェアバージョン Ver.3.3.7より前のバージョン

      この問題は、当該製品を開発者が提供する修正済みのバージョンに更新し、全
      てのアカウントのパスワードを変更することで解決します。詳細は、開発者が
      提供する情報を参照してください。

    関連文書 (日本語)
      アライドテレシス株式会社
      CentreCOM AR260S V2 における複数の脆弱性について
      https://www.allied-telesis.co.jp/support/list/faq/vuls/20220829.html

【7】リコーカンタンドライバーインストーラセットアップツールにDLL読み込みに関する脆弱性

    情報源
      Japan Vulnerability Notes JVN#44721267
      リコーカンタンドライバーインストーラセットアップツールにおける DLL 読み込みに関する脆弱性
      https://jvn.jp/jp/JVN44721267/

    概要
      株式会社リコーが提供するリコーカンタンドライバーインストーラセットアッ
      プツールには、DLL 読み込みに関する脆弱性があります。結果として、攻撃者
      が任意のコードを実行する可能性があります。

      - リコーカンタンドライバーインストーラセットアップツール Ver.2.20.3.0より前のバージョン

      この問題は、開発者が提供する情報をもとに、最新のセットアップツールを使
      用することで解決します。なお、本脆弱性の影響を受けるのはセットアップツー
      ルの起動時のみで、すでにドライバインストーラのセットアップを完了してい
      る場合、再度セットアップツールを実行する必要はありません。詳細は、開発
      者が提供する情報を参照してください。

    関連文書 (日本語)
      株式会社リコー
      リコーカンタンドライバーインストーラー
      https://www.ricoh.co.jp/software/utility/dev_soft_manager


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○SecurityDays Fall 2022開催

      2022年10月4日-7日に東京会場、10月13日に大阪会場で、株式会社ナノオプト・
      メディア主催の「SecurityDays Fall 2022」が開催されます。システムインテ
      グレーター、ソリューションベンダー、学術研究機関などが参加し、最新のサ
      イバー攻撃の脅威動向やセキュリティ対策などに関する知見を深めるイベント
      です。参加費は無料、参加には事前の申し込みが必要です。JPCERT/CCは
      SecurityDays Fall 2022を後援しています。

    参考文献 (日本語)
      SecurityDays
      SecurityDays Fall 2022
      https://f2ff.jp/secd/2022-fall


――――――――――――――――――――――――――――――――――――――
■JPCERT/CCからのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下のURLからご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下のURLを参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

-----BEGIN PGP SIGNATURE-----
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=dOj/
-----END PGP SIGNATURE-----