<<< JPCERT/CC WEEKLY REPORT 2023-02-01 >>>
■01/22(日)〜01/28(土) のセキュリティ関連情報
目 次
【1】複数のApple製品に脆弱性
【2】VMware vRealize Log Insightに複数の脆弱性
【3】ISC BIND 9に複数の脆弱性
【4】Google Chromeに複数の脆弱性
【5】pgAdmin 4にディレクトリトラバーサルの脆弱性
【6】EasyMailにクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】IPAが「情報セキュリティ10大脅威 2023」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2023/wr230201.txt
https://www.jpcert.or.jp/wr/2023/wr230201.xml
【1】複数のApple製品に脆弱性
情報源
CISA Current Activity
Apple Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2023/01/24/apple-releases-security-updates-multiple-products
概要
複数のApple製品には、脆弱性があります。結果として、第三者が任意のコー ドを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Safari 16.3より前のバージョン - iOS 12.5.7より前の12系バージョン - iOS 15.7.3より前の15系バージョン - iOS 16.3より前の16系バージョン - iPadOS 15.7.3より前の15系バージョン - iPadOS 16.3より前の16系バージョン - macOS Big Sur 11.7.3より前のバージョン - macOS Monterey 12.6.3より前のバージョン - macOS Ventura 13.2より前のバージョン - watchOS 9.3より前のバージョン この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Appleが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Apple製品のアップデートについて(2022年12月)
https://www.jpcert.or.jp/newsflash/2022121401.htmlApple
Safari 16.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213600Apple
iOS 12.5.7 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213597Apple
iOS 15.7.3 および iPadOS 15.7.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213598Apple
iOS 16.3 および iPadOS 16.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213606Apple
macOS Big Sur 11.7.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213603Apple
macOS Monterey 12.6.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213604Apple
macOS Ventura 13.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213605Apple
watchOS 9.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213599
【2】VMware vRealize Log Insightに複数の脆弱性
情報源
CISA Current Activity
VMware Releases Security Updates for VMware vRealize Log Insight
https://www.cisa.gov/uscert/ncas/current-activity/2023/01/25/vmware-releases-security-updates-vmware-vrealize-log-insight
概要
VMware vRealize Log Insightには、複数の脆弱性があります。結果として、 遠隔の第三者が、認証なしで任意のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。詳細はVMwareが提供する情報を参照してく ださい。 - VMware vRealize Log Insight - VMware Cloud Foundation (VMware vRealize Log Insight) この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す るか、回避策を適用することで解決します。詳細は、VMwareが提供する情報を 参照してください。
関連文書 (英語)
VMware
VMSA-2023-0001
https://www.vmware.com/security/advisories/VMSA-2023-0001.html
【3】ISC BIND 9に複数の脆弱性
情報源
CISA Current Activity
ISC Releases Security Advisories for Multiple Versions of BIND 9
https://www.cisa.gov/uscert/ncas/current-activity/2023/01/27/isc-releases-security-advisories-multiple-versions-bind-9
概要
ISC BIND 9には、複数の脆弱性があります。結果として、遠隔の第三者がnamed を異常終了させるなどの可能性があります。 対象となるバージョンは脆弱性によって異なります。詳細は、開発者が提供す る情報を参照してください。 この問題は、該当する製品をISCが提供する修正済みのバージョンに更新する ことで解決します。詳細は、ISCが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
ISC BIND 9における複数の脆弱性について(2023年1月)
https://www.jpcert.or.jp/newsflash/2023012601.html日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(メモリ不足の発生)について(CVE-2022-3094)- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2023-01-26-bind9-vuln-dynamic-update.html日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2022-3736)- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2023-01-26-bind9-vuln-serve-stale-rrsig.html日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2022-3924)- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2023-01-26-bind9-vuln-serve-stale-softquota.htmlJapan Vulnerability Notes JVNVU#98318144
ISC BINDにおける複数の脆弱性
https://jvn.jp/vu/JVNVU98318144
関連文書 (英語)
Internet Systems Consortium, Inc.(ISC)
CVE-2022-3094: An UPDATE message flood may cause named to exhaust all available memory
https://kb.isc.org/docs/cve-2022-3094Internet Systems Consortium, Inc.(ISC)
CVE-2022-3488: BIND Supported Preview Edition named may terminate unexpectedly when processing ECS options in repeated responses to iterative queries
https://kb.isc.org/docs/cve-2022-3488Internet Systems Consortium, Inc.(ISC)
CVE-2022-3736: named configured to answer from stale cache may terminate unexpectedly while processing RRSIG queries
https://kb.isc.org/docs/cve-2022-3736Internet Systems Consortium, Inc.(ISC)
CVE-2022-3924: named configured to answer from stale cache may terminate unexpectedly at recursive-clients soft quota
https://kb.isc.org/docs/cve-2022-3924
【4】Google Chromeに複数の脆弱性
情報源
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2023/01/stable-channel-update-for-desktop_24.html
概要
Google Chromeには、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 109.0.5414.119より前のバージョン この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新 することで解決します。詳細は、Googleが提供する情報を参照してください。
【5】pgAdmin 4にディレクトリトラバーサルの脆弱性
情報源
Japan Vulnerability Notes JVN#01398015
pgAdmin 4 におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN01398015/
概要
pgAdmin 4には、ディレクトリトラバーサルの脆弱性があります。結果として 当該製品のユーザーが、別のユーザーの設定を変更したり、データベースを書 き換えたりする可能性があります。 対象となるバージョンは次のとおりです。 - pgAdmin 4 v6.19より前のバージョン この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ とで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (英語)
pgAdmin
pgAdmin users who are authenticated can access each other's directories and files by providing relative paths #5734
https://github.com/pgadmin-org/pgadmin4/issues/5734
【6】EasyMailにクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#05288621
EasyMail におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN05288621
概要
株式会社ファーストネットジャパンが提供するEasyMailには、クロスサイトス クリプティングの脆弱性があります。結果として、当該製品を使用しているサ イトにアクセスしたユーザーのウェブブラウザー上で、任意のスクリプトを実 行される可能性があります。 対象となるバージョンは次のとおりです。 - EasyMail 2.00.130およびそれ以前のバージョン この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ とで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
株式会社ファーストネットジャパン
ダウンロード | 無料のメールフォーム作成ツール「EasyMail(イージーメール) 」
https://www.mubag.com/download/
■今週のひとくちメモ
○IPAが「情報セキュリティ10大脅威 2023」を公開
2023年1月25日、IPAは「情報セキュリティ10大脅威 2023」を公開しました。 「情報セキュリティ10大脅威 2023」は、2022年に発生した社会的に影響が大 きかったと考えられる情報セキュリティにおける事案から「10大脅威選考会」 が脅威候補に対して審議・投票を行い、決定したものです。
参考文献 (日本語)
情報処理推進機構(IPA)
情報セキュリティ10大脅威 2023
https://www.ipa.go.jp/security/vuln/10threats2023.html
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/