-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2023-0112 JPCERT/CC 2023-01-12 <<< JPCERT/CC WEEKLY REPORT 2023-01-12 >>> ―――――――――――――――――――――――――――――――――――――― ■01/01(日)〜01/07(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】FortiADCにOSコマンドインジェクションの脆弱性 【2】Synology VPN Plus Serverに任意のコード実行の脆弱性 【3】デジタルアーツ製m-FILTERに認証不備の脆弱性 【4】Apache TomcatのJsonErrorReportValveにエスケープ処理不備の問題 【5】ruby-gitに複数のコードインジェクションの脆弱性 【今週のひとくちメモ】JASAが「2023年 情報セキュリティ十大トレンド」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2023/wr230112.html https://www.jpcert.or.jp/wr/2023/wr230112.xml ============================================================================ 【1】FortiADCにOSコマンドインジェクションの脆弱性 情報源 CISA Current Activity Fortinet Releases Security Updates for FortiADC https://www.cisa.gov/uscert/ncas/current-activity/2023/01/04/fortinet-releases-security-updates-fortiadc 概要 FortiADCには、OSコマンドインジェクションの脆弱性があります。結果として、 当該製品のWeb GUIにアクセス可能な第三者が、任意のコードまたはコマンドを 実行する可能性があります。 対象となるバージョンは次のとおりです。 - FortiADC バージョン7.0.0から7.0.1まで - FortiADC バージョン6.2.0から6.2.3まで - FortiADC バージョン6.1.0から6.1.6まで - FortiADC バージョン6.0.0から6.0.4まで - FortiADC バージョン5.4.0から5.4.5まで この問題は、該当製品をFortinetが提供する修正済みのバージョンに更新する ことで解決します。詳細は、Fortinetが提供する情報を参照してください。 関連文書 (英語) Fortinet FortiADC - command injection in web interface https://www.fortiguard.com/psirt/FG-IR-22-061 【2】Synology VPN Plus Serverに任意のコード実行の脆弱性 情報源 Synology Synology-SA-22:26 VPN Plus Server https://www.synology.com/en-us/security/advisory/Synology_SA_22_26 概要 Synology VPN Plus Serverには、脆弱性があります。結果として、遠隔の第三 者が任意のコードを実行する可能性があります。 対象となるバージョンは次のとおりです。 - VPN Plus Server for SRM 1.3 1.4.4-0635より前のバージョン - VPN Plus Server for SRM 1.2 1.4.3-0534より前のバージョン この問題は、該当製品をSynologyが提供する修正済みのバージョンに更新する ことで解決します。詳細は、Synologyが提供する情報を参照してください。 【3】デジタルアーツ製m-FILTERに認証不備の脆弱性 情報源 Japan Vulnerability Notes JVN#55675303 デジタルアーツ製 m-FILTER における認証不備の脆弱性 https://jvn.jp/jp/JVN55675303/ 概要 デジタルアーツ株式会社が提供するm-FILTERには、特定の条件下においてメー ル送信時に認証不備の脆弱性があります。結果として、遠隔の第三者によって 意図しないメールを送信される可能性があります。 対象となるバージョンは次のとおりです。 - m-FILTER Ver.5.70R01より前のバージョン (Ver.5系) - m-FILTER Ver.4.87R04より前のバージョン (Ver.4系) この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ とで解決します。なお、m-FILTER@Cloudについては2022年12月23日のメンテ ナンスで修正済みとのことです。詳細は、開発者が提供する情報を参照して ください。 関連文書 (日本語) デジタルアーツ株式会社 m-FILTER Ver.5 (要ログイン) https://download.daj.co.jp/support/detail/?page=version&type=6&division=12 デジタルアーツ株式会社 m-FILTER Ver.4 (要ログイン) https://download.daj.co.jp/support/detail/?page=version&type=6&division=13 デジタルアーツ株式会社 m-FILTER@Cloud (要ログイン) https://download.daj.co.jp/support/detail/?page=version&type=5&division=2 【4】Apache TomcatのJsonErrorReportValveにエスケープ処理不備の問題 情報源 Japan Vulnerability Notes JVNVU#92183876 Apache TomcatのJsonErrorReportValveにおけるエスケープ処理不備の問題 https://jvn.jp/vu/JVNVU92183876/ 概要 Apache TomcatのJsonErrorReportValveクラスには、エスケープ処理不備の問題 があります。結果として、JSON出力を無効化されたり、操作されたりする可能 性があります。 対象となるバージョンは次のとおりです。 - Apache Tomcat 10.1.0-M1から10.1.1までのバージョン - Apache Tomcat 9.0.40から9.0.68までのバージョン - Apache Tomcat 8.5.83 この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ とで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (英語) The Apache Software Foundation [SECURITY] CVE-2022-45143 Apache Tomcat - JsonErrorReportValve injection https://lists.apache.org/thread/yqkd183xrw3wqvnpcg3osbcryq85fkzj The Apache Software Foundation Fixed in Apache Tomcat 10.1.2 https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.2 The Apache Software Foundation Fixed in Apache Tomcat 9.0.69 https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.69 The Apache Software Foundation Fixed in Apache Tomcat 8.5.84 https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.84 【5】ruby-gitに複数のコードインジェクションの脆弱性 情報源 Japan Vulnerability Notes JVN#16765254 ruby-git における複数のコードインジェクションの脆弱性 https://jvn.jp/jp/JVN16765254/ 概要 ruby-gitには、複数のコードインジェクションの脆弱性があります。結果とし て、任意のrubyコードを実行される可能性があります。 対象となるバージョンは次のとおりです。 - ruby-git v1.13.0より前のバージョン この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ とで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (英語) ruby-git GitHub | ruby-git / ruby-git https://github.com/ruby-git/ruby-git ruby-git In ls-files do not unescape file paths with eval #602 https://github.com/ruby-git/ruby-git/pull/602 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○JASAが「2023年 情報セキュリティ十大トレンド」を公開 2023年1月6日、日本セキュリティ監査協会(JASA)は、「情報セキュリティ監 査人が選ぶ2023年の情報セキュリティ十大トレンド」を公開しました。 このトレンド調査は、協会の公認情報セキュリティ監査人資格認定制度により 認定を受けた情報セキュリティ監査人を対象としたアンケートにより選ばれた ものです。 2023年のトレンドは、さまざまなITシステムが業態や規模を超えてネットワー クでつながることにより、局所的なシステム障害が全国にまたがるネットワー クの機能不全につながりかねないこと、また、ネットワーク化されたITシステ ムが産業活動・国民生活を支えるインフラとなっており、そのセキュリティが 安全保障の観点からも注目されてきていることなどを懸念したトピックが上位 に挙げられています。 参考文献 (日本語) 日本セキュリティ監査協会(JASA) 監査人の警鐘- 2023年 情報セキュリティ十大トレンド https://www.jasa.jp/seminar/sec_trend2023/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CCからのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下のURLからご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下のURLを参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJjv0mYAAoJEDoQgdvpn3qqQUMP/1V8e/6/NFKGIcmb0AM06LjH o9bqwSmlAIrzrX2CJDTBzfsfDaDrQrL6uCaxo/LdmVXIQcMRPJM7PnzcknPlQ8PO UyI6QYzctLBYUvaCHmRvbXiLWM9fwCXDFUDxSTC3t/gvxaHYQSZ1pzBYH+U/wkGf IvaGcuIr2fnFZtVCBIH/dDyXbmjMAF36d9+85sjiwH66J1R9f8ZUYJsEVxyNyYTb 3mtHBHDUNFecvqMop1bZ4yr7ZbZL4vruqxMDNbzoAtBh96CNy60Q8s5YCNKDTu/U ToLlPpwYNoHKDfcrXMRS8N+Bg2862nRn1hgdHl4NhkSAi/ksP8A9sMeCf2foy8X/ FVITBFFtexj4/QIl8KALIv0iv0Z7fH4CJMVAN5qrpDc/+WR+tN0EznbwcOZ+j0nS WdD/wBZvoDCIYYkn6HyxpIh++eQGu7QYwZtfrSNhTWlAc2GjUfd5Sr7JJcOIAnwM NEzkHVr9I4wNO1u+q+o29CzW2SpPDqD5xzyGZhMU+8WPFw48iqWcpHPmiwkIPVeF n7aGcQq/O+j3y3PvY6iUpA3Rv+EO3CXeCI1d3w6+UMO7NpMUR9ZB2BjqzXTO1YBB KkuSGGZ3rD+JOIcXKSZcF7ZXHafunHITdGxKpZKjc5abfB1LVkDPwpfBr42k6CZG 90EKcxUgtr5zsLAjNyMf =kxvH -----END PGP SIGNATURE-----