-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


                                                         JPCERT-WR-2023-0125
                                                                   JPCERT/CC
                                                                  2023-01-25

            <<< JPCERT/CC WEEKLY REPORT 2023-01-25 >>>

――――――――――――――――――――――――――――――――――――――
■01/15(日)〜01/21(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】Firefoxに複数の脆弱性
【2】Cisco Unified Communications ManagerにSQLインジェクションの脆弱性
【3】Drupalに複数の脆弱性
【4】2023年1月Oracle Critical Patch Updateについて
【5】Apache HTTP Serverに複数の脆弱性
【6】WordPress用プラグインWelcart e-Commerceにディレクトリトラバーサルの脆弱性
【7】Pgpool-IIに情報漏えいの脆弱性
【8】TP-Link製ルーターに複数の脆弱性
【9】Netcomm製ルーターに複数の脆弱性
【今週のひとくちメモ】JPCERT/CCが2022年10月〜2022年12月分の「活動四半期レポート」「インシデント報告対応レポート」を公開

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2023/wr230125.html
        https://www.jpcert.or.jp/wr/2023/wr230125.xml
============================================================================


【1】Firefoxに複数の脆弱性

    情報源
      CISA Current Activity
      Mozilla Releases Security Updates for Firefox
      https://www.cisa.gov/uscert/ncas/current-activity/2023/01/18/mozilla-releases-security-updates-firefox

    概要
      Firefoxには、複数の脆弱性があります。結果として、遠隔の第三者が任意の
      ファイルを読み取るなどの可能性があります。

      対象となる製品およびバージョンは次のとおりです。

      - Mozilla Firefox 109より前のバージョン
      - Mozilla Firefox ESR 102.7より前のバージョン

      この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
      することで解決します。詳細は、Mozillaが提供する情報を参照してください。

    関連文書 (英語)
      Mozilla
      Mozilla Foundation Security Advisory 2023-01
      https://www.mozilla.org/en-US/security/advisories/mfsa2023-01/

      Mozilla
      Mozilla Foundation Security Advisory 2023-02
      https://www.mozilla.org/en-US/security/advisories/mfsa2023-02/

【2】Cisco Unified Communications ManagerにSQLインジェクションの脆弱性

    情報源
      CISA Current Activity
      Cisco Releases Security Advisory for Unified CM and Unified CM SME
      https://www.cisa.gov/uscert/ncas/current-activity/2023/01/20/cisco-releases-security-advisory-unified-cm-and-unified-cm-sme

    概要
      Cisco Unified Communications Managerには脆弱性があります。結果として、
      遠隔の第三者がデータベースのデータの読み取りや変更、権限を昇格するなど
      の可能性があります。

      対象となる製品およびバージョンは次のとおりです。

      - Cisco Unified CM および Unified CM SME ファームウェアバージョン11.5(1)およびそれ以前
      - Cisco Unified CM および Unified CM SME ファームウェアバージョン12.5(1)およびそれ以前
      - Cisco Unified CM および Unified CM SME ファームウェアバージョン14およびそれ以前

      この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
      ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

    関連文書 (英語)
      Cisco Security Advisory
      Cisco Unified Communications Manager SQL Injection Vulnerability
      https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-sql-rpPczR8n

【3】Drupalに複数の脆弱性

    情報源
      CISA Current Activity
      Drupal Releases Security Advisories to Address Multiple Vulnerabilities
      https://www.cisa.gov/uscert/ncas/current-activity/2023/01/20/drupal-releases-security-advisories-address-multiple

    概要
      Drupalには複数の脆弱性があります。結果として、コンテンツの編集権限を持
      つ攻撃者が、アクセスを許可されていないメディアアイテムのメタデータを
      閲覧するなどの可能性があります。

      対象となるバージョンおよびモジュールは次のとおりです。

      - Drupal 8.0.0以上9.4.10より前のバージョン
      - Drupal 9.5.0以上9.5.2より前のバージョン
      - Drupal 10.0.0以上10.0.2より前のバージョン
      - Entity Browser 8.x-2.9より前のバージョン
      - Media Library Block 1.0以上1.0.4より前のバージョン
      - Media Library Form API Element 2.0以上2.0.6より前のバージョン
      - Media Library Form API Element 8.x-1系のすべてのバージョン

      この問題は、Drupalが提供する修正済みのバージョンに更新することで解決し
      ます。詳細は、Drupalが提供する情報を参照してください。

    関連文書 (英語)
      Drupal
      Drupal core - Moderately critical - Information Disclosure - SA-CORE-2023-001
      https://www.drupal.org/sa-core-2023-001

      Drupal
      Entity Browser - Moderately critical - Information Disclosure - SA-CONTRIB-2023-002
      https://www.drupal.org/sa-contrib-2023-002

      Drupal
      Media Library Block - Moderately critical - Information Disclosure - SA-CONTRIB-2023-003
      https://www.drupal.org/sa-contrib-2023-003

      Drupal
      Media Library Form API Element - Moderately critical - Information Disclosure - SA-CONTRIB-2023-004
      https://www.drupal.org/sa-contrib-2023-004

【4】2023年1月Oracle Critical Patch Updateについて

    情報源
      JPCERT/CC 注意喚起
      2023年1月Oracle製品のクリティカルパッチアップデートに関する注意喚起
      https://www.jpcert.or.jp/at/2023/at230003.html

    概要
      Oracleから複数の製品およびコンポーネントに含まれる脆弱性に対応した
      Oracle Critical Patch Update Advisoryが公開されました。

      詳細は、Oracleが提供する情報を参照してください。

    関連文書 (英語)
      Oracle Corporation
      Oracle Critical Patch Update Advisory - January 2023
      https://www.oracle.com/security-alerts/cpujan2023.html

【5】Apache HTTP Serverに複数の脆弱性

    情報源
      Japan Vulnerability Notes JVNVU#99928083
      Apache HTTP Server 2.4における複数の脆弱性に対するアップデート
      https://jvn.jp/vu/JVNVU99928083/

    概要
      Apache HTTP Server 2.4系には、複数の脆弱があります。結果として、攻撃者
      によって、プロセスをクラッシュされるなどの可能性があります。

      対象となるバージョンは次のとおりです。

      Apache HTTP Server 2.4.54およびそれ以前

      この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
      とで解決します。詳細は、開発者が提供する情報を参照してください。

    関連文書 (英語)
      The Apache Software Foundation
      Apache HTTP Server 2.4.55 Released
      https://downloads.apache.org/httpd/Announcement2.4.html

【6】WordPress用プラグインWelcart e-Commerceにディレクトリトラバーサルの脆弱性

    情報源
      Japan Vulnerability Notes JVN#31073333
      WordPress 用プラグイン Welcart e-Commerce におけるディレクトリトラバーサルの脆弱性
      https://jvn.jp/jp/JVN31073333/

    概要
      コルネ株式会社が提供するWordPress用プラグインWelcart e-Commerceには、
      ディレクトリトラバーサルの脆弱性があります。結果として、遠隔の第三者に
      よって、サーバー上の任意のファイルを閲覧される可能性があります。

      対象となるバージョンは次のとおりです。

      Welcart e-Commerce 2.6.0 から 2.8.5 まで

      この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
      とで解決します。詳細は、開発者が提供する情報を参照してください。

    関連文書 (日本語)
      Welcart
      Welcart 2.8.6 をリリースしました【脆弱性の修正】
      https://www.welcart.com/archives/17865.html

【7】Pgpool-IIに情報漏えいの脆弱性

    情報源
      Japan Vulnerability Notes JVN#72418815
      Pgpool-II における情報漏えいの脆弱性
      https://jvn.jp/jp/JVN72418815/

    概要
      PgPool Global Development Groupが提供するPgpool-IIには、情報漏えいの脆
      弱性があります。結果として、取得した認証情報でログインした攻撃者によっ
      て、データベース内の情報を改ざんされるなどの可能性があります。

      対象となるバージョンは多岐にわたります。

      この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するか
      回避策を適用することで解決します。詳細は、開発者が提供する情報を参照し
      てください。

    関連文書 (日本語)
      PgPool Global Development Group
      Pgpool-II 4.4.2, 4.3.5, 4.2.12, 4.1.15, 4.0.22 がリリースされました (2023/01/23)
      https://www.pgpool.net/mediawiki/jp/index.php/%E3%83%A1%E3%82%A4%E3%83%B3%E3%83%9A%E3%83%BC%E3%82%B8#What.27s_new

【8】TP-Link製ルーターに複数の脆弱性

    情報源
      Japan Vulnerability Notes JVNVU#97719125
      TP-Link製ルータにおける複数の脆弱性
      https://jvn.jp/vu/JVNVU97719125/

    概要
      TP-Link製ルーターには、複数の脆弱性があります。結果として、遠隔の第三者
      によって、任意のコードを実行されたりするなどの可能性があります。

      対象となる製品は次のとおりです。

      - TL-WR710N V1 ファームウェア 151022 (公開日 2015-10-22)
      - Archer C5 V2 ファームウェア 160201 (公開日 2016-02-01)

      2023年1月25日時点では、本脆弱性に対するアップデートは提供されていません。

    関連文書 (英語)
      TP-Link
       Download for TL-WR710N V1
      https://www.tp-link.com/us/support/download/tl-wr710n/#Firmware

      TP-Link
       Download for Archer C5 V2
      https://www.tp-link.com/us/support/download/archer-c5/#Firmware

【9】Netcomm製ルーターに複数の脆弱性

    情報源
      Japan Vulnerability Notes JVNVU#98520511
      Netcomm製ルータにおける複数の脆弱性
      https://jvn.jp/vu/JVNVU98520511/

    概要
      Netcommが提供するルーターには、複数の脆弱性が存在あります。結果として、
      攻撃者によって、任意のコードを実行される可能性があります。なお、本脆弱
      性の実証コードが公開されていることを確認しています。

      対象となる製品は次のとおりです。

      - NF20
      - NF20MESH
      - NL1902

      この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
      とで解決します。詳細は、開発者が提供する情報を参照してください。

    関連文書 (英語)
      NetComm Wireless
      Firmware
      https://support.netcommwireless.com/products/NF20#Firmware


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CCが2022年10月〜2022年12月分の「活動四半期レポート」「インシデント報告対応レポート」を公開

      2023年1月19日、JPCERT/CCは2022年10月〜2022年12月分の「活動四半期レポート」
      「インシデント報告対応レポート」を公開しました。本四半期中のJPCERT/CC
      の国内外の活動に加え、JPCERT/CCが報告を受け付けたインシデントの統計や
      事例などについてまとめています。参考資料としてご活用ください。

    参考文献 (日本語)
      JPCERT/CC
      JPCERT/CC 活動四半期レポート［2022年10月1日〜2022年12月31日］
      https://www.jpcert.or.jp/pr/2023/PR_Report2022Q3.pdf

      JPCERT/CC
      JPCERT/CC インシデント報告対応レポート［2022年10月1日〜2022年12月31日］
      https://www.jpcert.or.jp/pr/2023/IR_Report2022Q3.pdf


――――――――――――――――――――――――――――――――――――――
■JPCERT/CCからのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下のURLからご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下のURLを参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

-----BEGIN PGP SIGNATURE-----

iQIcBAEBCAAGBQJj0G4QAAoJEDoQgdvpn3qqm44P/jv90D1PlXzPBlYhVPuhNzfj
i2r/nRY8ZW9kOwsx61QI40Dbk/b8+ZB4EX1Y1ypvnVbon/XLtl6nzDvo6+9HUL41
WRLlhInIfgWChnQxNEiIy5MX5lMs3M0o8//n3bpnE8NszWh3WQIZmRyS/HKBQ1Vw
PLlojGhziDbdJTPTG6iikxft4JJin1u8liqn4quq3TAeSwDMD9MQ2QCRBdoCZJKC
LIVbFdBE3qBtPOCBUTUYh3ReH6gL53mKO9PQ5quleCQigSncMzmFsgq05zlLbYni
4LUWno4IuKMXJuk1m7mEbLt7PRimNck8K/37h7yozoCO6lrvIvmixworLvf9xN9M
lv5AgNUYbLoQbXEspQRmRlYV9LDpQyK4tI9DCXyaJPPXuZ2AMM/K1doHVjNuAZUh
hGaozGRyNcG3ihEfQTLvq1oD8YrTQWidMfCBpqa9MqxBDYm5v92pNm4/ZalcvuzU
DwI9DRK58xN29Rv+G2TEFQp2gqs4aNd7vkOhl96/rilrY5JjgaqZewn07XfjbrZd
XBquhWnlJ3FJKoV233MS0yj+/x7pVYxUphmWjVCPkblL2yLgCBiT54jTdjAcCABL
PzyAW4sAMRsjNuHpjNbg2l8y14q5dGXoPVwqC92QQLTerYpZjPWuqipW+F1Ocx0i
QIMbqA7Eit9c67yyJcAu
=Xahl
-----END PGP SIGNATURE-----