-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2023-0201 JPCERT/CC 2023-02-01 <<< JPCERT/CC WEEKLY REPORT 2023-02-01 >>> ―――――――――――――――――――――――――――――――――――――― ■01/22(日)〜01/28(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数のApple製品に脆弱性 【2】VMware vRealize Log Insightに複数の脆弱性 【3】ISC BIND 9に複数の脆弱性 【4】Google Chromeに複数の脆弱性 【5】pgAdmin 4にディレクトリトラバーサルの脆弱性 【6】EasyMailにクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】IPAが「情報セキュリティ10大脅威 2023」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2023/wr230201.html https://www.jpcert.or.jp/wr/2023/wr230201.xml ============================================================================ 【1】複数のApple製品に脆弱性 情報源 CISA Current Activity Apple Releases Security Updates for Multiple Products https://www.cisa.gov/uscert/ncas/current-activity/2023/01/24/apple-releases-security-updates-multiple-products 概要 複数のApple製品には、脆弱性があります。結果として、第三者が任意のコー ドを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Safari 16.3より前のバージョン - iOS 12.5.7より前の12系バージョン - iOS 15.7.3より前の15系バージョン - iOS 16.3より前の16系バージョン - iPadOS 15.7.3より前の15系バージョン - iPadOS 16.3より前の16系バージョン - macOS Big Sur 11.7.3より前のバージョン - macOS Monterey 12.6.3より前のバージョン - macOS Ventura 13.2より前のバージョン - watchOS 9.3より前のバージョン この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Appleが提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC CyberNewsFlash Apple製品のアップデートについて(2022年12月) https://www.jpcert.or.jp/newsflash/2022121401.html Apple Safari 16.3 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT213600 Apple iOS 12.5.7 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT213597 Apple iOS 15.7.3 および iPadOS 15.7.3 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT213598 Apple iOS 16.3 および iPadOS 16.3 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT213606 Apple macOS Big Sur 11.7.3 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT213603 Apple macOS Monterey 12.6.3 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT213604 Apple macOS Ventura 13.2 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT213605 Apple watchOS 9.3 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT213599 【2】VMware vRealize Log Insightに複数の脆弱性 情報源 CISA Current Activity VMware Releases Security Updates for VMware vRealize Log Insight https://www.cisa.gov/uscert/ncas/current-activity/2023/01/25/vmware-releases-security-updates-vmware-vrealize-log-insight 概要 VMware vRealize Log Insightには、複数の脆弱性があります。結果として、 遠隔の第三者が、認証なしで任意のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。詳細はVMwareが提供する情報を参照してく ださい。 - VMware vRealize Log Insight - VMware Cloud Foundation (VMware vRealize Log Insight) この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す るか、回避策を適用することで解決します。詳細は、VMwareが提供する情報を 参照してください。 関連文書 (英語) VMware VMSA-2023-0001 https://www.vmware.com/security/advisories/VMSA-2023-0001.html 【3】ISC BIND 9に複数の脆弱性 情報源 CISA Current Activity ISC Releases Security Advisories for Multiple Versions of BIND 9 https://www.cisa.gov/uscert/ncas/current-activity/2023/01/27/isc-releases-security-advisories-multiple-versions-bind-9 概要 ISC BIND 9には、複数の脆弱性があります。結果として、遠隔の第三者がnamed を異常終了させるなどの可能性があります。 対象となるバージョンは脆弱性によって異なります。詳細は、開発者が提供す る情報を参照してください。 この問題は、該当する製品をISCが提供する修正済みのバージョンに更新する ことで解決します。詳細は、ISCが提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC CyberNewsFlash ISC BIND 9における複数の脆弱性について(2023年1月) https://www.jpcert.or.jp/newsflash/2023012601.html 日本レジストリサービス(JPRS) (緊急)BIND 9.xの脆弱性(メモリ不足の発生)について(CVE-2022-3094)- バージョンアップを強く推奨 - https://jprs.jp/tech/security/2023-01-26-bind9-vuln-dynamic-update.html 日本レジストリサービス(JPRS) (緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2022-3736)- バージョンアップを強く推奨 - https://jprs.jp/tech/security/2023-01-26-bind9-vuln-serve-stale-rrsig.html 日本レジストリサービス(JPRS) (緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2022-3924)- バージョンアップを強く推奨 - https://jprs.jp/tech/security/2023-01-26-bind9-vuln-serve-stale-softquota.html Japan Vulnerability Notes JVNVU#98318144 ISC BINDにおける複数の脆弱性 https://jvn.jp/vu/JVNVU98318144 関連文書 (英語) Internet Systems Consortium, Inc.(ISC) CVE-2022-3094: An UPDATE message flood may cause named to exhaust all available memory https://kb.isc.org/docs/cve-2022-3094 Internet Systems Consortium, Inc.(ISC) CVE-2022-3488: BIND Supported Preview Edition named may terminate unexpectedly when processing ECS options in repeated responses to iterative queries https://kb.isc.org/docs/cve-2022-3488 Internet Systems Consortium, Inc.(ISC) CVE-2022-3736: named configured to answer from stale cache may terminate unexpectedly while processing RRSIG queries https://kb.isc.org/docs/cve-2022-3736 Internet Systems Consortium, Inc.(ISC) CVE-2022-3924: named configured to answer from stale cache may terminate unexpectedly at recursive-clients soft quota https://kb.isc.org/docs/cve-2022-3924 【4】Google Chromeに複数の脆弱性 情報源 Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2023/01/stable-channel-update-for-desktop_24.html 概要 Google Chromeには、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 109.0.5414.119より前のバージョン この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新 することで解決します。詳細は、Googleが提供する情報を参照してください。 【5】pgAdmin 4にディレクトリトラバーサルの脆弱性 情報源 Japan Vulnerability Notes JVN#01398015 pgAdmin 4 におけるディレクトリトラバーサルの脆弱性 https://jvn.jp/jp/JVN01398015/ 概要 pgAdmin 4には、ディレクトリトラバーサルの脆弱性があります。結果として 当該製品のユーザーが、別のユーザーの設定を変更したり、データベースを書 き換えたりする可能性があります。 対象となるバージョンは次のとおりです。 - pgAdmin 4 v6.19より前のバージョン この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ とで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (英語) pgAdmin pgAdmin users who are authenticated can access each other's directories and files by providing relative paths #5734 https://github.com/pgadmin-org/pgadmin4/issues/5734 【6】EasyMailにクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#05288621 EasyMail におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN05288621 概要 株式会社ファーストネットジャパンが提供するEasyMailには、クロスサイトス クリプティングの脆弱性があります。結果として、当該製品を使用しているサ イトにアクセスしたユーザーのウェブブラウザー上で、任意のスクリプトを実 行される可能性があります。 対象となるバージョンは次のとおりです。 - EasyMail 2.00.130およびそれ以前のバージョン この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ とで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) 株式会社ファーストネットジャパン ダウンロード | 無料のメールフォーム作成ツール「EasyMail(イージーメール) 」 https://www.mubag.com/download/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○IPAが「情報セキュリティ10大脅威 2023」を公開 2023年1月25日、IPAは「情報セキュリティ10大脅威 2023」を公開しました。 「情報セキュリティ10大脅威 2023」は、2022年に発生した社会的に影響が大 きかったと考えられる情報セキュリティにおける事案から「10大脅威選考会」 が脅威候補に対して審議・投票を行い、決定したものです。 参考文献 (日本語) 情報処理推進機構(IPA) 情報セキュリティ10大脅威 2023 https://www.ipa.go.jp/security/vuln/10threats2023.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CCからのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下のURLからご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下のURLを参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJj2apBAAoJEDoQgdvpn3qqCYsP/js7XpdmksuHtxPZm1kE2ppn riVzmBZlIxSNcLlu2/pKgKAqaexOkq3wtrjsU/1FmcdtliLfUMfhQVEQ+cR3ze+K 8XA3Gh4KWs4UoakyeGtQ9g06wOW6dwXStMOagKXfNRVOMyNUscSDeH3w2XrLQ0lU S5MKPGBii3QgSFrAJNaC8fiIDBSwqu5qLsLuvSZL+f9NeuIB+VeN/X3HApcTyAlR FfKRFE982tnVNcLnvPvQGfXyhi+Ip3v6NFN6xU56R04SzHShV6vhWhUmMP4od+wk fUvugcz1o2thN68SFx0erpOofYpcwsB6BDVTujp8zlgrqJDJhBkgHpK3sSWbmkjh l+mnGZZXsgzKfWtHqFlnFNdRvICl7QadH+YssRbyppQKda5yJZrRGoewPj2tnVQM 9AnjAKiSSHEb5sg6Vpr+JjMQGWNb5w02n1OJZpXdLgxV5j+lt0CJaQ6tZjhFSsgj SpvKGCHLNIepRFguLUl2ts0yRzJaJTflT8JWXkKc4A8zUn8Z99UVfRlDrbxe3GrE X4sY39ma9EOwWnJL4P5f3epDIQrIXrYpQ6Fc5HHnffhOIea/SQ6KQfSQ4pQ8ZWNX Q/uTpv7KCgQEGDb98hTZHJnZIMamka9Y6SOpUqAmAa4g4xe5jMmdqpbex0CrBDj0 6t+A5SGj933IwniNve7S =KY/A -----END PGP SIGNATURE-----