-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2022-4601 JPCERT/CC 2022-11-24 <<< JPCERT/CC WEEKLY REPORT 2022-11-24 >>> ―――――――――――――――――――――――――――――――――――――― ■11/13(日)〜11/19(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数のMozilla製品に脆弱性 【2】Sambaにバッファオーバーフローの脆弱性 【3】Cisco Identity Services Engineに複数の脆弱性 【4】Netatalkに複数の脆弱性 【5】RICOH IPSiO SP 4210にクロスサイトスクリプティングの脆弱性 【6】Movable Typeに複数の脆弱性 【7】日立国際電気製監視システムネットワーク製品(カメラ、エンコーダ、デコーダ)に複数の脆弱性 【8】WordPress用プラグインWordPress Popular Postsに外部入力の不適切な使用に関する脆弱性 【今週のひとくちメモ】FIRSTが「PSIRT Services Framework 1.1 日本語版と PSIRT Maturity Document 1.1 日本語版」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2022/wr224601.html https://www.jpcert.or.jp/wr/2022/wr224601.xml ============================================================================ 【1】複数のMozilla製品に脆弱性 情報源 CISA Current Activity Mozilla Releases Security Updates for Multiple Products https://www.cisa.gov/uscert/ncas/current-activity/2022/11/16/mozilla-releases-security-updates-multiple-products 概要 複数のMozilla製品には、複数の脆弱性があります。結果として、遠隔の第三 者がスプーフィング攻撃などを行う可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Mozilla Thunderbird 102.5より前のバージョン - Mozilla Firefox 107より前のバージョン - Mozilla Firefox ESR 102.5より前のバージョン この問題は、Mozillaが提供する修正済みのバージョンに更新することで解決 します。詳細は、Mozillaが提供する情報を参照してください。 関連文書 (英語) Mozilla Mozilla Foundation Security Advisory 2022-47 https://www.mozilla.org/en-US/security/advisories/mfsa2022-47/ Mozilla Mozilla Foundation Security Advisory 2022-48 https://www.mozilla.org/en-US/security/advisories/mfsa2022-48/ Mozilla Mozilla Foundation Security Advisory 2022-49 https://www.mozilla.org/en-US/security/advisories/mfsa2022-49/ 【2】Sambaにバッファオーバーフローの脆弱性 情報源 CISA Current Activity Samba Releases Security Updates https://www.cisa.gov/uscert/ncas/current-activity/2022/11/16/samba-releases-security-updates 概要 Sambaには、バッファオーバーフローの脆弱性があります。結果として、遠隔の 攻撃者が偽造されたPACを使用してヒープを破損する可能性があります。 対象となるバージョンは次のとおりです。 - Samba 4.17.3より前のバージョン - Samba 4.16.7より前のバージョン - Samba 4.15.12より前のバージョン この問題は、SambaをThe Samba Teamが提供する修正済みのバージョンに更新 することで解決します。詳細は、The Samba Teamが提供する情報を参照して ください。 関連文書 (英語) The Samba Team CVE-2022-42898.html: https://www.samba.org/samba/security/CVE-2022-42898.html 【3】Cisco Identity Services Engineに複数の脆弱性 情報源 CISA Current Activity Cisco Releases Security Updates for Identity Services Engine https://www.cisa.gov/uscert/ncas/current-activity/2022/11/16/cisco-releases-security-updates-identity-services-engine 概要 Cisco Identity Services Engineには、複数の脆弱性があります。結果として、 遠隔の攻撃者がアクセス許可されていないシステムファイルへアクセスするな どの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Cisco Identity Services Engine 2.4系およびそれ以前のバージョン - Cisco Identity Services Engine 2.6系のバージョン - Cisco Identity Services Engine 2.7系のバージョン - Cisco Identity Services Engine 3.0系のバージョン - Cisco Identity Services Engine 3.1系のバージョン - Cisco Identity Services Engine 3.2系のバージョン 2022年11月24日時点で、CVE-2022-20956およびCVE-2022-20959を修正するアッ プデートが公開されていないバージョンもあります。Ciscoが公開している緩和 策を適用の上、アップデート公開後には速やかに適用することを推奨します。 詳細は、Ciscoが提供する情報を参照してください。 関連文書 (英語) Cisco Cisco Security Advisories https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-access-contol-EeufSUCx Cisco Cisco Security Advisories https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-xss-twLnpy3M 【4】Netatalkに複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#99505355 Netatalkに複数の脆弱性 https://jvn.jp/vu/JVNVU99505355/ 概要 Netatalkには、複数の脆弱性があります。結果として、遠隔の第三者によって、 認証を経ずに機微な情報を窃取されたり、root権限で任意のコードを実行され る可能性があります。 対象となるバージョンは次のとおりです。 - Netatalk 3.1.12 この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (英語) NETATALK Netatalk 3.1.13 https://netatalk.sourceforge.io/3.1/ReleaseNotes3.1.13.html CERT/CC Vulnerability Note VU#709991 Netatalk contains multiple error and memory management vulnerabilities https://kb.cert.org/vuls/id/709991 【5】RICOH IPSiO SP 4210にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#24659622 RICOH IPSiO SP 4210 におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN24659622/ 概要 株式会社リコーが提供するIPSiO SP 4210には、Web Image Monitorにクロスサ イトスクリプティングの脆弱性があります。結果として、管理者権限でログイ ンしているユーザのウェブブラウザ上で、任意のスクリプトを実行される可能 性があります。 対象となるバージョンは次のとおりです。 - IPSiO SP 4210 Web Support 1.05より前のファームウェアバージョン この問題は、該当する製品のファームウェアを最新版へアップデートすること で解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) 株式会社リコー IPSiO SP 4210用 RICOH Firmware Update Tool Ver.1.01 https://support.ricoh.com/bbv2/html/dr_ut_d/ipsio/history/w/bb/pub_j/dr_ut_d/4101044/4101044791/V101/5236968/redirect_CLUTool_DOM/history.htm 【6】Movable Typeに複数の脆弱性 情報源 Japan Vulnerability Notes JVN#37014768 Movable Type における複数の脆弱性 https://jvn.jp/jp/JVN37014768/ 概要 シックス・アパート株式会社が提供するMovable Typeには、複数の脆弱性が あります。結果として、当該製品のコンテンツフィールドの編集権限を持つユ ーザによって任意のOSコマンドを実行されるなどの可能性があります。 対象となるバージョンは次のとおりです。 - Movable Type 7 r.5301およびそれ以前(Movable Type 7系) - Movable Type Advanced 7 r.5301およびそれ以前(Movable Type Advanced 7系) - Movable Type 6.8.7およびそれ以前(Movable Type 6系) - Movable Type Advanced 6.8.7およびそれ以前(Movable Type Advanced 6系) - Movable Type Premium 1.53およびそれ以前 - Movable Type Premium Advanced 1.53およびそれ以前 この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) シックス・アパート株式会社 [重要] Movable Type 7 r.5401 / Movable Type 6.8.8 / Movable Type Premium 1.54 の提供開始(セキュリティアップデート)と Movable Type 8 についてのお知らせ https://www.sixapart.jp/movabletype/news/2022/11/16-1100.html 【7】日立国際電気製監視システムネットワーク製品(カメラ、エンコーダ、デコーダ)に複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#97968855 日立国際電気製監視システムネットワーク製品(カメラ、エンコーダ、デコーダ)における複数の脆弱性 https://jvn.jp/vu/JVNVU97968855/ 概要 株式会社日立国際電気が提供する監視システムネットワーク製品(カメラ、エ ンコーダ、デコーダ)には、複数の脆弱性があります。結果として、遠隔の第 三者によって、サービス運用妨害(DoS)状態にされるなどの可能性があります。 対象となる製品およびバージョンは多岐にわたるため、開発者が提供する情報 を参照してください。 この問題は、該当する製品のファームウェアを最新版へアップデートすること で解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) 株式会社日立国際電気 監視システムネットワーク製品(カメラ、デコーダ、エンコーダ)における脆弱性の対策について(CVE-2022-37680/CVE-2022-37681) https://www.hitachi-kokusai.co.jp/products/info/vulnerable/hitachi-sec-2022-001/ 【8】WordPress用プラグインWordPress Popular Postsに外部入力の不適切な使用に関する脆弱性 情報源 Japan Vulnerability Notes JVN#13927745 WordPress 用プラグイン WordPress Popular Posts における外部入力の不適切な使用に関する脆弱性 https://jvn.jp/jp/JVN13927745/ 概要 Hector Cabreraが提供するWordPress用プラグインWordPress Popular Posts には、外部入力の不適切な使用に関する脆弱性があります。結果として、遠隔 の第三者によって、任意の記事の閲覧数を不正に操作される可能性があります。 対象となるバージョンは次のとおりです。 - WordPress Popular Posts 6.0.5およびそれ以前のバージョン この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) WordPressプラグイン WordPress Popular Posts https://ja.wordpress.org/plugins/wordpress-popular-posts/ 関連文書 (英語) cabrerahector/wordpress-popular-posts WordPress Popular Posts https://github.com/cabrerahector/wordpress-popular-posts/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○FIRSTが「PSIRT Services Framework 1.1 日本語版と PSIRT Maturity Document 1.1 日本語版」を公開 FIRSTは、製品やサービスを開発し提供する組織によるPSIRTの設置・継続的運 用・能力の向上を支援するためのガイドとして「PSIRT Services Framework」 を作成し公開しています。本フレームワークは、PSIRTの組織モデル、機能、 サービス、成果などを含むPSIRTのコンセプトと全体像を示し、さらに、PSIRT が果たすべき責任と、PSIRTがその活動に必要な能力を備え、組織内外との連 携によって価値を提供するために必要となる事項について説明しています。 今回、PSIRT Services Framework 1.1 日本語版と PSIRT Maturity Document 1.1 日本語版は、Software ISACと一般社団法人JPCERT コーディネーションセン ターによって翻訳された後、KONICA MINOLTA PSIRT、Mitsubishi Electric PSIRT、 Panasonic PSIRT によってレビューされ、公開されたものになります。 参考文献 (日本語) JPCERT/CC PSIRT Services Framework と PSIRT Maturity Document https://www.jpcert.or.jp/research/psirtSF.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CCからのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下のURLからご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下のURLを参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJjfq8MAAoJEDoQgdvpn3qqvesP/3lrNTI7jy4EQ4FpMOOH1xw5 Sy/3KoDvo35eSpmFOA83CzE9QH/hBxnMBelwveWZzmVu113fLymayLfyFpqrroRK JTGeZ4290urtlzUsgwyOQwnjNlt6/ylPLT0mLQZn3mvkkGDv/I+eG0nlAdyb4pBZ +WYEsixJWSXFT/hjceBl+Jzc6CjAUrNZB71BtXUXpl4LVb13lQrn5dk0OGQNWtE4 Tvd/4hSOGo2F5iNAJcKvNogr0FCRb0FFU/mOiuKTnVH5OClRXZvulpzGLSyIn4jk LEZkiEWU8OBMVaglYuLJdLmrBluFiwiK8qt6ciP9U4kkf58QdoXfonKV1o+eCRC9 EEe6nTgj9CXv20IvmBwpvaKWPXywOJJfvXH4CKNqhk6dVLPiQDGYJiQFATtZ26mS UqyQKu+zITI0/DgXFRyjNe3aTO8tgtJKTTEdviuZqU9AH6c859bGnX6p0nD7rTv6 dIexNoQKy5Qy20A2gfmr4TET7vRMQP1YTg3d57h+Vquam0lULn2enbouUvc0SFiW Ajk/LW5noqnCqF9bhXAxiniWVobeyXv/j2ica8FHeF9ZFiom4Z3lrCnsbFIIp102 lStsGuelea9KB1DD5Cm5j/GiWDkafbk0wBVwiyPLTISoJ9fdmC/OlQQ6uyaVllrj sNxkToIoP48qLsNsMghD =CiWk -----END PGP SIGNATURE-----