-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2023-0208 JPCERT/CC 2023-02-08 <<< JPCERT/CC WEEKLY REPORT 2023-02-08 >>> ―――――――――――――――――――――――――――――――――――――― ■01/29(日)〜02/04(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】VMware vRealize Operationsにクロスサイトリクエストフォージェリの脆弱性 【2】複数のCisco製品に脆弱性 【3】DrupalのApigee Edgeモジュールに脆弱性 【4】富士フイルムビジネスイノベーション製ドライバー配布ツールに復元可能な形式でのパスワード保存の脆弱性 【5】三菱電機製GOT2000シリーズおよびGT SoftGOT2000のGOT Mobile機能に複数の脆弱性 【6】ジェイテクトエレクトロニクス製Screen Creator Advance 2に複数の脆弱性 【7】Androidアプリ「スシロー」にログファイルからの情報漏えいの脆弱性 【今週のひとくちメモ】JPCERT/CCが「ICS脆弱性分析レポート ― 2022年度上期 ―」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2023/wr230208.html https://www.jpcert.or.jp/wr/2023/wr230208.xml ============================================================================ 【1】VMware vRealize Operationsにクロスサイトリクエストフォージェリの脆弱性 情報源 CISA Current Activity VMware Releases Security Update for VMware vRealize Operations https://www.cisa.gov/uscert/ncas/current-activity/2023/02/01/vmware-releases-security-update-vmware-vrealize-operations 概要 VMware vRealize Operationsには、クロスサイトリクエストフォージェリの脆 弱性があります。結果として、攻撃者が当該製品のユーザーの権限で意図しな い操作を行う可能性があります。 対象となるバージョンは次のとおりです。 - VMware vRealize Operations(vROps)8.6系のバージョン この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す ることで解決します。詳細は、VMwareが提供する情報を参照してください。 関連文書 (英語) VMware VMSA-2023-0002 https://www.vmware.com/security/advisories/VMSA-2023-0002.html 【2】複数のCisco製品に脆弱性 情報源 CISA Current Activity Cisco Releases Security Advisories for Multiple Products https://www.cisa.gov/uscert/ncas/current-activity/2023/02/02/cisco-releases-security-advisories-multiple-products 概要 複数のCisco製品には、脆弱性があります。結果として、当該製品のユーザー が製品が動作しているOS上でroot権限で任意のコマンドを実行するなどの可能 性があります。 影響を受ける製品、バージョンは多岐にわたります。 この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す ることで解決します。なお、一部の製品はサポート終了のため、修正済みのバー ジョンは提供されていません。詳細は、Ciscoが提供する情報を参照してくださ い。 関連文書 (英語) Cisco Cisco Security Advisories https://tools.cisco.com/security/center/publicationListing.x 【3】DrupalのApigee Edgeモジュールに脆弱性 情報源 CISA Current Activity Drupal Releases Security Update to Address a Vulnerability in Apigee Edge https://www.cisa.gov/uscert/ncas/current-activity/2023/02/02/drupal-releases-security-update-address-vulnerability-apigee-edge 概要 DrupalのApigee Edgeモジュールには、不適切なアクセス制御の脆弱性があり ます。 対象となるモジュールおよびバージョンは次のとおりです。 - Drupal 9系向けApigee Edgeモジュール 2.0.8より前の2.0系のバージョン - Drupal 9系向けApigee Edgeモジュール 8.x-1.27より前の8.x-1系のバージョン この問題は、開発者が提供する修正済みのバージョンに更新することで解決し ます。詳細は、開発者が提供する情報を参照してください。 関連文書 (英語) Drupal Apigee Edge - Moderately critical - Access bypass - SA-CONTRIB-2023-005 https://www.drupal.org/sa-contrib-2023-005 【4】富士フイルムビジネスイノベーション製ドライバー配布ツールに復元可能な形式でのパスワード保存の脆弱性 情報源 Japan Vulnerability Notes JVN#22830348 富士フイルムビジネスイノベーション製ドライバー配布ツールにおける復元可能な形式でのパスワード保存の脆弱性 https://jvn.jp/jp/JVN22830348/ 概要 富士フイルムビジネスイノベーション製のドライバー配布ツールには、復元可 能な形式でのパスワード保存の脆弱性があります。結果として、当該製品の設 定ファイルを入手した第三者が、暗号化された管理者の認証情報を復号する可 能性があります。 対象となるバージョンは次のとおりです。 - ドライバー配布ツール v2.2.3およびそれ以前のバージョン この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ とで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) 富士フイルムビジネスイノベーション株式会社 弊社ソフトウェア ドライバー配布ツールにおける脆弱性のお知らせ https://www.fujifilm.com/fb/company/news/notice/2023/0131_announce.html 【5】三菱電機製GOT2000シリーズおよびGT SoftGOT2000のGOT Mobile機能に複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#91222434 三菱電機製GOT2000シリーズおよびGT SoftGOT2000のGOT Mobile機能における複数の脆弱性 https://jvn.jp/vu/JVNVU91222434/ 概要 三菱電機株式会社が提供するGOT2000シリーズおよびGT SoftGOT2000のGOT Mobile 機能には、複数の脆弱性があります。結果として、クリックジャッキングによ り、ユーザーの意図しない操作が実行されるなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - GOT2000シリーズで「GOT Mobile 機能」を使用している場合 - GT27モデル 01.14.000から01.47.000まで - GT25モデル 01.14.000から01.47.000まで - GT SoftGOT2000で「GOT Mobile 機能」を使用している場合 - 1.265Bから1.285Xまで この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ とで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) 三菱電機株式会社 GOT2000 シリーズ及び GT SoftGOT2000 の GOT Mobile 機能における意図しない操作へ誘導される脆弱性並びに情報漏えい及びなりすましの脆弱性 https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2022-021.pdf 【6】ジェイテクトエレクトロニクス製Screen Creator Advance 2に複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#98917488 ジェイテクトエレクトロニクス製Screen Creator Advance 2における複数の脆弱性 https://jvn.jp/vu/JVNVU98917488/ 概要 株式会社ジェイテクトエレクトロニクスが提供するScreen Creator Advance 2 には、複数の脆弱性があります。結果として、細工されたScreen Creator Advance 2 のプロジェクトファイルをユーザーが開くことで、情報が漏えいしたり、任意 のコードが実行されたりする可能性があります。 対象となるバージョンは次のとおりです。 - Screen Creator Advance 2 Ver.0.1.1.4 Build01およびそれ以前 この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ とで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) 株式会社ジェイテクトエレクトロニクス Screen Creator Advance 2 の脆弱性情報 https://www.electronics.jtekt.co.jp/jp/topics/2023020313454/ 【7】Androidアプリ「スシロー」にログファイルからの情報漏えいの脆弱性 情報源 Japan Vulnerability Notes JVN#84642320 Android アプリ「スシロー」におけるログファイルからの情報漏えいの脆弱性 https://jvn.jp/jp/JVN84642320/ 概要 Androidアプリ「スシロー」には、ログファイルからの情報漏えいの脆弱性が あります。結果として、第三者が当該製品のログファイルからユーザーIDおよ びパスワードを取得する可能性があります。 対象となるバージョンは次のとおりです。 - スシロー Ver.4.0.31 - タイスシロー Ver.1.0.0 - 香港壽司郎 Ver.3.0.2 - Singapore Sushiro Ver.2.0.0 - 台灣壽司郎 Ver.2.0.1 この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ とで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) 株式会社あきんどスシロー スシロー https://play.google.com/store/apps/details?id=jp.co.akindo_sushiro.sushiroapp ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○JPCERT/CCが「ICS脆弱性分析レポート ― 2022年度上期 ―」を公開 2023年2月2日、JPCERT/CCは「ICS脆弱性分析レポート ― 2022年度上期 ―」 を公開しました。本文書は、2022年度上期に公表されたICS関連製品の脆弱性 情報の中から特徴的なものをピックアップし、その内容やICS全体への影響な どを解説しています。ICSユーザー組織のセキュリティ担当者がICS関連製品の 脆弱性情報を認識、理解する上での参考情報としてご活用ください。 参考文献 (日本語) JPCERT/CC ICS脆弱性分析レポート ― 2022年度上期 ― https://www.jpcert.or.jp/ics/ICS_VulsAnalysisReport2022H1.pdf ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CCからのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下のURLからご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下のURLを参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJj4uFnAAoJEDoQgdvpn3qq4RkP/2AbiXeoH4Eq660vvtZ5bc1F J+00c6BR3wjd8E5631mIH9h86T8kbkRf1lyLxHWp/TSstRQytXpy6oYXCOCgrNwZ MYE7urpSg5un1lhA70Hvu+acXzCDFcf31Fz0Ea0hMIfpricE3X4ZKI6Ppdee8vye uudroW4+TH/pqawsdaJFpO1t0PvBYnHMnbljO5Y7bw3AYnQf4Bp2xzUqrnik6L6t JYbQvKomzSVx1QL0nN5ekktncN8+ilFAMuYUiT4pgTD7gbOoF4qzn0DXSqUP2RhY UKesX34AdDJg8eiRNBVbQe2aeKWYU/dI9K9DJo5PrSzx0214GrX5roUlVN/hcn8Y cxUIoTHgpnA68yaZc+sjU5aasfOTwPJaUjkETkWT7tjX+BCnD6rVQdmAl7szNrEZ jOkOvLBrvkwdKnfLoJVcuh8t3y6MVe8TKc4tQvhR7bpQyvyZcfauTuhfe4M4x9VY 2sYZE9SjKZN3RAJToxNYgb5GKVsEYyok5S4DNqZR0X7y74rC6ewKsNQoZvIvh/YJ Qr4TmDAra8dVWLinrjlW/eYmLjScyX6ZwvsLZi5qjXJg5yb3KFqTnPZm6HE0+CxF nbmm+yLnyfiyHO2DBQTKDvWjD6yiVBkLH6wYF3iLMMbjpmHd0LVDjnUHqbV0cGmz XEkeJqqC0f33DbxYEFj5 =lODu -----END PGP SIGNATURE-----