-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


                                                         JPCERT-WR-2022-4101
                                                                   JPCERT/CC
                                                                  2022-10-19

            <<< JPCERT/CC WEEKLY REPORT 2022-10-19 >>>

――――――――――――――――――――――――――――――――――――――
■10/09(日)〜10/15(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】複数のマイクロソフト製品に脆弱性
【2】複数のFortinet製品に認証バイパスの脆弱性
【3】複数のアドビ製品に脆弱性
【4】bingo!CMSに認証回避の脆弱性
【5】HeimdalのKerberos実装にNULLポインタ参照の脆弱性
【6】Sony Content TransferのインストーラにDLL読み込みの脆弱性
【今週のひとくちメモ】JIPDECが注意喚起「ECサイトにおける個人情報の漏えい（クレジットカード情報等）事故が増えています」を公開

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2022/wr224101.html
        https://www.jpcert.or.jp/wr/2022/wr224101.xml
============================================================================


【1】複数のマイクロソフト製品に脆弱性

    情報源
      CISA Current Activity
      Microsoft Releases October 2022 Security Updates
      https://www.cisa.gov/uscert/ncas/current-activity/2022/10/11/microsoft-releases-october-2022-security-updates

    概要
      複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
      者が任意のコードを実行するなどの可能性があります。

      この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
      で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく
      ださい。

    関連文書 (日本語)
      マイクロソフト株式会社
      2022 年 10 月 のセキュリティ更新プログラム (月例)
      https://msrc-blog.microsoft.com/2022/10/11/202210-security-updates/

      JPCERT/CC 注意喚起
      2022年10月マイクロソフトセキュリティ更新プログラムに関する注意喚起
      https://www.jpcert.or.jp/at/2022/at220028.html

【2】複数のFortinet製品に認証バイパスの脆弱性

    情報源
      Fortinet
      FortiOS / FortiProxy / FortiSwitchManager - Authentication bypass on administrative interface
      https://www.fortiguard.com/psirt/FG-IR-22-377

    概要
      複数のFortinet製品には、認証バイパスの脆弱性があります。結果として、遠
      隔の第三者が、同製品の管理インタフェースに細工したHTTPあるいはHTTPSリ
      クエストを送信し、任意の操作を行う可能性があります。
      Fortinetは、本脆弱性を悪用する攻撃を確認しているとのことです。

      対象となる製品およびバージョンは次のとおりです。

      - FortiOS バージョン7.2.0から7.2.1まで
      - FortiOS バージョン7.0.0から7.0.6まで
      - FortiProxy バージョン7.2.0
      - FortiProxy バージョン7.0.0から7.0.6まで
      - FortiSwitchManager バージョン7.2.0
      - FortiSwitchManager バージョン7.0.0

      この問題は、該当する製品をFortinetが提供する修正済みのバージョンに更新
      することで解決します。詳細は、Fortinetが提供する情報を参照してください。

    関連文書 (日本語)
      JPCERT/CC 注意喚起
      Fortinet製FortiOS、FortiProxyおよびFortiSwitchManagerの認証バイパスの脆弱性（CVE-2022-40684）に関する注意喚起
      https://www.jpcert.or.jp/at/2022/at220025.html

【3】複数のアドビ製品に脆弱性

    情報源
      CISA Current Activity
      Adobe Releases Security Updates for Multiple Products
      https://www.cisa.gov/uscert/ncas/current-activity/2022/10/11/adobe-releases-security-updates-multiple-products

    概要
      複数のアドビ製品には、脆弱性があります。結果として、攻撃者が用意した悪
      意のあるコンテンツをユーザーが開いた場合、任意のコードが実行されるなど
      の可能性があります。

      対象となる製品は次のとおりです。

      - Adobe ColdFusion
      - Adobe Acrobat
      - Adobe Acrobat Reader
      - Adobe Commerce
      - Magento Open Source
      - Adobe Dimension

      この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
      ることで解決します。詳細は、アドビが提供する情報を参照してください。

    関連文書 (日本語)
      JPCERT/CC 注意喚起
      Adobe AcrobatおよびReaderの脆弱性（APSB22-46）に関する注意喚起
      https://www.jpcert.or.jp/at/2022/at220027.html

      JPCERT/CC CyberNewsFlash
      複数のアドビ製品のアップデートについて
      https://www.jpcert.or.jp/newsflash/2022101201.html

    関連文書 (英語)
      アドビ
      Security updates available for Adobe ColdFusion | APSB22-44
      https://helpx.adobe.com/security/products/coldfusion/apsb22-44.html

      アドビ
      Security update available for Adobe Acrobat and Reader | APSB22-46
      https://helpx.adobe.com/security/products/acrobat/apsb22-46.html

      アドビ
      Security update available for Adobe Commerce | APSB22-48
      https://helpx.adobe.com/security/products/magento/apsb22-48.html

      アドビ
      Security updates available for Dimension | APSB22-57
      https://helpx.adobe.com/security/products/dimension/apsb22-57.html

【4】bingo!CMSに認証回避の脆弱性

    情報源
      Japan Vulnerability Notes JVN#74592196
      bingo!CMS における認証回避の脆弱性
      https://jvn.jp/jp/JVN74592196/

    概要
      シフトテック株式会社が提供するbingo!CMSには、認証回避の脆弱性がありま
      す。結果として、遠隔の第三者が当該製品の特定の管理機能の認証を回避し、
      不正なコードを含むファイルをアップロードする可能性があります。
      シフトテック株式会社は、本脆弱性を悪用する攻撃を確認しているとのことで
      す。

      対象となるバージョンは次のとおりです。

      - bingo!CMS Version1.7.4.2より前のバージョン

      この問題は、開発者が提供するアップデートを適用することで解決します。詳
      細は、開発者が提供する情報を参照してください。

    関連文書 (日本語)
      シフトテック株式会社
      【重要・要対応】bingo!CMS 認証回避脆弱性に関する対応をお願いいたします
      https://www.bingo-cms.jp/information/20221011.html

      JPCERT/CC 注意喚起
      bingo!CMSの認証回避の脆弱性（CVE-2022-42458）に関する注意喚起
      https://www.jpcert.or.jp/at/2022/at220026.html

【5】HeimdalのKerberos実装にNULLポインタ参照の脆弱性

    情報源
      Japan Vulnerability Notes JVNVU#93736410
      HeimdalのKerberos実装にNULLポインタ参照の脆弱性
      https://jvn.jp/vu/JVNVU93736410/

    概要
      HeimdalのKerberos実装には、NULLポインター参照の脆弱性があります。結果
      として、攻撃者が特殊な細工を施したパケットを送信し、脆弱なHeimdal実装を
      含むアプリケーションをクラッシュさせる可能性があります。

      対象となるバージョンは次のとおりです。

      - Heimdal 7.7.0およびそれ以前のバージョン

      この問題は、Heimdalプロジェクトのソースコード（masterブランチ）へ2020
      年2月にコミットされた修正コードを適用することで解決します。
      ただし、2022年10月19日現在、Heimdalの最新の安定版である7.7.0には本脆弱
      性の修正が含まれていません。詳細は、開発者が提供する情報を参照してくだ
      さい。


    関連文書 (英語)
      Heimdal Software
      Heimdal
      https://github.com/heimdal/heimdal

      CERT/CC Vulnerability Note VU#730793
      Heimdal Kerbos vulnerable to remotely triggered NULL pointer dereference
      https://kb.cert.org/vuls/id/730793

【6】Sony Content TransferのインストーラにDLL読み込みの脆弱性

    情報源
      Japan Vulnerability Notes JVN#40620121
      Sony Content Transfer のインストーラにおける DLL 読み込みの脆弱性
      https://jvn.jp/jp/JVN40620121/

    概要
      ソニー株式会社が提供するContent Transferのインストーラーには、DLL読み
      込みに関する脆弱性が存在します。結果として、攻撃者が用意した悪意のある
      DLLを読み込ませることで、インストーラーを実行している権限で、任意のコー
      ドを実行する可能性があります。

      対象となるバージョンは次のとおりです。

      - Content Transfer (for Windows) Ver.1.3およびそれ以前のインストーラー

      開発者によると、当該製品のダウンロードサービスはすでに終了しており、使
      用中の端末にインストーラーファイルが存在している場合は、当該ファイルの
      削除を呼び掛けています。


    関連文書 (日本語)
      ソニー株式会社
      Content Transfer | 音楽のソフトウェア | サポート・お問い合わせ
      https://www.sony.jp/support/audiosoftware/contenttransfer/


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JIPDECが注意喚起「ECサイトにおける個人情報の漏えい（クレジットカード情報等）事故が増えています」を公開

      日本情報経済社会推進協会（JIPDEC）は、ECサイトの脆弱性を広範囲に狙った
      不正アクセス等による個人情報の漏えい事故が増加していることから、ECサイ
      トの構築・運用における注意点などを掲げた注意喚起を公開しました。個人情
      報の漏えい事故が発生した際の対応などを示しながら、適切な安全管理措置を
      講じることを呼び掛けています。

    参考文献 (日本語)
      日本情報経済社会推進協会 (JIPDEC)
      【注意喚起】ECサイトにおける個人情報の漏えい（クレジットカード情報等）事故が増えています
      https://privacymark.jp/news/system/2022/1012.html


――――――――――――――――――――――――――――――――――――――
■JPCERT/CCからのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下のURLからご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下のURLを参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

-----BEGIN PGP SIGNATURE-----
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=5VeL
-----END PGP SIGNATURE-----