Firefoxに複数の脆弱性

JPCERT-WR-2023-0125 2023-01-25 2023-01-15 2023-01-21

Firefoxに複数の脆弱性 CISA Current Activity Mozilla Releases Security Updates for Firefox https://www.cisa.gov/uscert/ncas/current-activity/2023/01/18/mozilla-releases-security-updates-firefox

Firefoxには、複数の脆弱性があります。結果として、遠隔の第三者が任意のファイルを読み取るなどの可能性があります。対象となる製品およびバージョンは次のとおりです。 - Mozilla Firefox 109より前のバージョン - Mozilla Firefox ESR 102.7より前のバージョンこの問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新することで解決します。詳細は、Mozillaが提供する情報を参照してください。

Mozilla Mozilla Foundation Security Advisory 2023-01 https://www.mozilla.org/en-US/security/advisories/mfsa2023-01/ Mozilla Mozilla Foundation Security Advisory 2023-02 https://www.mozilla.org/en-US/security/advisories/mfsa2023-02/

Cisco Unified Communications ManagerにSQLインジェクションの脆弱性 CISA Current Activity Cisco Releases Security Advisory for Unified CM and Unified CM SME https://www.cisa.gov/uscert/ncas/current-activity/2023/01/20/cisco-releases-security-advisory-unified-cm-and-unified-cm-sme

Cisco Unified Communications Managerには脆弱性があります。結果として、遠隔の第三者がデータベースのデータの読み取りや変更、権限を昇格するなどの可能性があります。対象となる製品およびバージョンは次のとおりです。 - Cisco Unified CM および Unified CM SME ファームウェアバージョン11.5(1)およびそれ以前 - Cisco Unified CM および Unified CM SME ファームウェアバージョン12.5(1)およびそれ以前 - Cisco Unified CM および Unified CM SME ファームウェアバージョン14およびそれ以前この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新することで解決します。詳細は、Ciscoが提供する情報を参照してください。

Cisco Security Advisory Cisco Unified Communications Manager SQL Injection Vulnerability https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-sql-rpPczR8n

Drupalに複数の脆弱性 CISA Current Activity Drupal Releases Security Advisories to Address Multiple Vulnerabilities https://www.cisa.gov/uscert/ncas/current-activity/2023/01/20/drupal-releases-security-advisories-address-multiple

Drupalには複数の脆弱性があります。結果として、コンテンツの編集権限を持つ攻撃者が、アクセスを許可されていないメディアアイテムのメタデータを閲覧するなどの可能性があります。対象となるバージョンおよびモジュールは次のとおりです。 - Drupal 8.0.0以上9.4.10より前のバージョン - Drupal 9.5.0以上9.5.2より前のバージョン - Drupal 10.0.0以上10.0.2より前のバージョン - Entity Browser 8.x-2.9より前のバージョン - Media Library Block 1.0以上1.0.4より前のバージョン - Media Library Form API Element 2.0以上2.0.6より前のバージョン - Media Library Form API Element 8.x-1系のすべてのバージョンこの問題は、Drupalが提供する修正済みのバージョンに更新することで解決します。詳細は、Drupalが提供する情報を参照してください。

Drupal Drupal core - Moderately critical - Information Disclosure - SA-CORE-2023-001 https://www.drupal.org/sa-core-2023-001 Drupal Entity Browser - Moderately critical - Information Disclosure - SA-CONTRIB-2023-002 https://www.drupal.org/sa-contrib-2023-002 Drupal Media Library Block - Moderately critical - Information Disclosure - SA-CONTRIB-2023-003 https://www.drupal.org/sa-contrib-2023-003 Drupal Media Library Form API Element - Moderately critical - Information Disclosure - SA-CONTRIB-2023-004 https://www.drupal.org/sa-contrib-2023-004

2023年1月Oracle Critical Patch Updateについて JPCERT/CC 注意喚起 2023年1月Oracle製品のクリティカルパッチアップデートに関する注意喚起 https://www.jpcert.or.jp/at/2023/at230003.html

Oracleから複数の製品およびコンポーネントに含まれる脆弱性に対応した Oracle Critical Patch Update Advisoryが公開されました。詳細は、Oracleが提供する情報を参照してください。

Oracle Corporation Oracle Critical Patch Update Advisory - January 2023 https://www.oracle.com/security-alerts/cpujan2023.html

Apache HTTP Serverに複数の脆弱性 Japan Vulnerability Notes JVNVU#99928083 Apache HTTP Server 2.4における複数の脆弱性に対するアップデート https://jvn.jp/vu/JVNVU99928083/

Apache HTTP Server 2.4系には、複数の脆弱があります。結果として、攻撃者によって、プロセスをクラッシュされるなどの可能性があります。対象となるバージョンは次のとおりです。 Apache HTTP Server 2.4.54およびそれ以前この問題は、該当製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

The Apache Software Foundation Apache HTTP Server 2.4.55 Released https://downloads.apache.org/httpd/Announcement2.4.html

WordPress用プラグインWelcart e-Commerceにディレクトリトラバーサルの脆弱性 Japan Vulnerability Notes JVN#31073333 WordPress 用プラグイン Welcart e-Commerce におけるディレクトリトラバーサルの脆弱性 https://jvn.jp/jp/JVN31073333/

コルネ株式会社が提供するWordPress用プラグインWelcart e-Commerceには、ディレクトリトラバーサルの脆弱性があります。結果として、遠隔の第三者によって、サーバー上の任意のファイルを閲覧される可能性があります。対象となるバージョンは次のとおりです。 Welcart e-Commerce 2.6.0 から 2.8.5 までこの問題は、該当製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

Welcart Welcart 2.8.6 をリリースしました【脆弱性の修正】 https://www.welcart.com/archives/17865.html

Pgpool-IIに情報漏えいの脆弱性 Japan Vulnerability Notes JVN#72418815 Pgpool-II における情報漏えいの脆弱性 https://jvn.jp/jp/JVN72418815/

PgPool Global Development Groupが提供するPgpool-IIには、情報漏えいの脆弱性があります。結果として、取得した認証情報でログインした攻撃者によって、データベース内の情報を改ざんされるなどの可能性があります。対象となるバージョンは多岐にわたります。この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するか回避策を適用することで解決します。詳細は、開発者が提供する情報を参照してください。

PgPool Global Development Group Pgpool-II 4.4.2, 4.3.5, 4.2.12, 4.1.15, 4.0.22 がリリースされました (2023/01/23) https://www.pgpool.net/mediawiki/jp/index.php/%E3%83%A1%E3%82%A4%E3%83%B3%E3%83%9A%E3%83%BC%E3%82%B8#What.27s_new

TP-Link製ルーターに複数の脆弱性 Japan Vulnerability Notes JVNVU#97719125 TP-Link製ルータにおける複数の脆弱性 https://jvn.jp/vu/JVNVU97719125/

TP-Link製ルーターには、複数の脆弱性があります。結果として、遠隔の第三者によって、任意のコードを実行されたりするなどの可能性があります。対象となる製品は次のとおりです。 - TL-WR710N V1 ファームウェア 151022 (公開日 2015-10-22) - Archer C5 V2 ファームウェア 160201 (公開日 2016-02-01) 2023年1月25日時点では、本脆弱性に対するアップデートは提供されていません。

TP-Link Download for TL-WR710N V1 https://www.tp-link.com/us/support/download/tl-wr710n/#Firmware TP-Link Download for Archer C5 V2 https://www.tp-link.com/us/support/download/archer-c5/#Firmware

Netcomm製ルーターに複数の脆弱性 Japan Vulnerability Notes JVNVU#98520511 Netcomm製ルータにおける複数の脆弱性 https://jvn.jp/vu/JVNVU98520511/

Netcommが提供するルーターには、複数の脆弱性が存在あります。結果として、攻撃者によって、任意のコードを実行される可能性があります。なお、本脆弱性の実証コードが公開されていることを確認しています。対象となる製品は次のとおりです。 - NF20 - NF20MESH - NL1902 この問題は、該当製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

NetComm Wireless Firmware https://support.netcommwireless.com/products/NF20#Firmware

JPCERT/CCが2022年10月〜2022年12月分の「活動四半期レポート」「インシデント報告対応レポート」を公開 2023年1月19日、JPCERT/CCは2022年10月〜2022年12月分の「活動四半期レポート」「インシデント報告対応レポート」を公開しました。本四半期中のJPCERT/CC の国内外の活動に加え、JPCERT/CCが報告を受け付けたインシデントの統計や事例などについてまとめています。参考資料としてご活用ください。 JPCERT/CC JPCERT/CC 活動四半期レポート［2022年10月1日〜2022年12月31日］ https://www.jpcert.or.jp/pr/2023/PR_Report2022Q3.pdf JPCERT/CC JPCERT/CC インシデント報告対応レポート［2022年10月1日〜2022年12月31日］ https://www.jpcert.or.jp/pr/2023/IR_Report2022Q3.pdf