-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2022-4201 JPCERT/CC 2022-10-26 <<< JPCERT/CC WEEKLY REPORT 2022-10-26 >>> ―――――――――――――――――――――――――――――――――――――― ■10/16(日)〜10/22(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数のMozilla製品に脆弱性 【2】2022年10月Oracle Critical Patch Updateについて 【3】Trend Micro Apex OneおよびTrend Micro Apex One SaaSに複数の脆弱性 【4】スマートフォンアプリ「Lemon8 (レモンエイト)」にアクセス制限不備の脆弱性 【5】日本語プログラミング言語「なでしこ3」に複数の脆弱性 【今週のひとくちメモ】JPCERT/CCが2022年7月〜2022年9月分の「活動四半期レポート」「インシデント報告対応レポート」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2022/wr224201.html https://www.jpcert.or.jp/wr/2022/wr224201.xml ============================================================================ 【1】複数のMozilla製品に脆弱性 情報源 CISA Current Activity Mozilla Releases Security Updates for Firefox https://www.cisa.gov/uscert/ncas/current-activity/2022/10/20/mozilla-releases-security-updates-firefox 概要 複数のMozilla製品には、複数の脆弱性があります。結果として、遠隔の第三者 がサービス運用妨害(DoS)攻撃などを行う可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Firefox 106より前のバージョン - Firefox ESR 102.4より前のバージョン この問題は、Mozillaが提供する修正済みのバージョンに更新することで解決 します。詳細は、Mozillaが提供する情報を参照してください。 関連文書 (英語) Mozilla Mozilla Foundation Security Advisory 2022-44 https://www.mozilla.org/en-US/security/advisories/mfsa2022-44/ Mozilla Mozilla Foundation Security Advisory 2022-45 https://www.mozilla.org/en-US/security/advisories/mfsa2022-45/ 【2】2022年10月Oracle Critical Patch Updateについて 情報源 CISA Current Activity Oracle Releases October 2022 Critical Patch Update https://www.cisa.gov/uscert/ncas/current-activity/2022/10/19/oracle-releases-october-2022-critical-patch-update 概要 Oracleから複数の製品およびコンポーネントに含まれる脆弱性に対応した Oracle Critical Patch Update Advisoryが公開されました。 詳細は、Oracleが提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC 注意喚起 2022年10月Oracle製品のクリティカルパッチアップデートに関する注意喚起 https://www.jpcert.or.jp/at/2022/at220029.html 関連文書 (英語) Oracle Oracle Critical Patch Update Advisory - October 2022 https://www.oracle.com/security-alerts/cpuoct2022.html 【3】Trend Micro Apex OneおよびTrend Micro Apex One SaaSに複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#97131578 Trend Micro Apex OneおよびTrend Micro Apex One SaaSにおける複数の脆弱性 https://jvn.jp/vu/JVNVU97131578/ 概要 Trend Micro Apex OneおよびTrend Micro Apex One SaaSには、複数の脆弱性 があります。結果として、第三者が権限昇格などを行う可能性があります。 対象となるバージョンは次のとおりです。 - Trend Micro Apex One 2019 - Trend Micro Apex One SaaS この問題は、開発者が提供するアップデートを適用することで解決します。詳 細は、開発者が提供する情報を参照してください。 関連文書 (日本語) トレンドマイクロ株式会社 アラート/アドバイザリ:Trend Micro Apex One およびTrend Micro Apex One SaaSで確認した複数の脆弱性について(2022年10月) https://success.trendmicro.com/jp/solution/000291648 【4】スマートフォンアプリ「Lemon8 (レモンエイト)」にアクセス制限不備の脆弱性 情報源 Japan Vulnerability Notes JVN#10921428 スマートフォンアプリ「Lemon8 (レモンエイト)」におけるアクセス制限不備の脆弱性 https://jvn.jp/jp/JVN10921428/ 概要 ByteDance株式会社が提供するスマートフォンアプリ「Lemon8 (レモンエイト)」 には、アクセス制限不備の脆弱性が存在します。結果として、遠隔の第三者に よって、当該製品を経由し任意のウェブサイトにアクセスさせられる可能性が あります。 対象となるバージョンは次のとおりです。 - Android アプリ「Lemon8 (レモンエイト)」3.3.5より前のバージョン - iOS アプリ「Lemon8 (レモンエイト)」3.3.5より前のバージョン この問題は、開発者が提供するアップデートを適用することで解決します。詳 細は、開発者が提供する情報を参照してください。 関連文書 (日本語) Google Play Lemon8 (レモンエイト) https://play.google.com/store/apps/details?id=com.bd.nproject APP Store Lemon8 (レモンエイト) https://apps.apple.com/jp/app/lemon8-%E3%83%AC%E3%83%A2%E3%83%B3%E3%82%A8%E3%82%A4%E3%83%88/id1498607143 【5】日本語プログラミング言語「なでしこ3」に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#56968681 日本語プログラミング言語「なでしこ3」における複数の脆弱性 https://jvn.jp/jp/JVN56968681/ 概要 日本語プログラミング言語「なでしこ3」には、複数の脆弱性が存在します。 結果として、遠隔の第三者がOSコマンドインジェクションを実行するなどの可 能性があります。 対象となるバージョンは次のとおりです。 - なでしこ3 PC版 v3.3.74 およびそれ以前のバージョン この問題は、開発者が提供するアップデートを適用することで解決します。詳 細は、開発者が提供する情報を参照してください。 関連文書 (日本語) kujirahand /nadesiko3 cnako3の圧縮解凍の問題 #1325 https://github.com/kujirahand/nadesiko3/issues/1325 kujirahand /nadesiko3 nako3editのファイルの扱いの問題 #1347 https://github.com/kujirahand/nadesiko3/issues/1347 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○JPCERT/CCが2022年7月〜2022年9月分の「活動四半期レポート」「インシデント報告対応レポート」を公開 2022年10月20日、JPCERT/CCは2022年7月〜2022年9月分の「活動四半期レポート」 「インシデント報告対応レポート」を公開しました。本四半期中のJPCERT/CC の国内外の活動に加え、JPCERT/CCが報告を受け付けたインシデントの統計や 事例などについてまとめています。参考資料としてご活用ください。 参考文献 (日本語) JPCERT/CC JPCERT/CC 活動四半期レポート[2022年7月1日〜2022年9月30日] https://www.jpcert.or.jp/pr/2022/PR_Report2022Q2.pdf JPCERT/CC JPCERT/CC インシデント報告対応レポート[2022年7月1日〜2022年9月30日] https://www.jpcert.or.jp/pr/2022/IR_Report2022Q2.pdf ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CCからのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下のURLからご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下のURLを参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJjWHwdAAoJEDoQgdvpn3qq+dAQAMUi1PBYjPriqfV4B5lhR2p9 ghrzo1AAG7ufK9grOHt2VsVh64edH1CiKLHDtN7+lFHExMvYQaIKxGTkOjW92FAb rAWerUjeJxNm5QvZJHmuzN1xRN5/pJP/hx4TFBrhKWkjp73+zciDghiAqo0LGX94 sXa9hWbv9rHJqsroGmyAKIevXneOlG5IT8p10H5Pc+pvUreOezcV271spROelXCJ /H3i8iema8FOfy7diANgX21Gp6i/kk8hzolDvZwAjCrKVBBK/Z8AYJZsjnW8RnY9 bOj8ozAiYLVwGdraJjKjIpHqAy2t/z6aG+igloLuN+w580gPeW5CytdrGcwVext0 LtLfRomse2iDuFB85ufxbbbNGxzacND1TExU7PadLJ9yFlsOoqlKNLFSLGbNSpVl CuLrDx42Q2qBbZNgLE93e+hYHtr/QzMXCjXWH26M1GcJqrsRxQjFPCq8VVOwr0wa TWtTtU5fWw6WJFizftEmkT/1/6O6eUL9c0Qu0wApa6IS1N+7wU7ByCDKJkfqe/51 kCfAHKggHdFJXf2VvRlavuKV9XAeCFznETzMRZ5GpWiesJm2WWDNIdZWrbxRSFO6 WWMfcMklURge3zU1uXIWTCgdpvcJc3fL5jx0JDCokgNPKs3yPG0I6KRfSuLoH0bh maatZgianpoZQa/Z7wEt =k53E -----END PGP SIGNATURE-----