<<< JPCERT/CC WEEKLY REPORT 2023-02-15 >>>
■02/05(日)〜02/11(土) のセキュリティ関連情報
目 次
【1】OpenSSLに複数の脆弱性
【2】Google Chromeに複数の脆弱性
【3】日本電気製「PC設定ツール」に重要な機能に対する認証の欠如の脆弱性
【4】図研エルミック製KASAGOに不十分なランダム値の使用の脆弱性
【5】スマートフォンアプリ「一蘭公式アプリ」にサーバー証明書の検証不備の脆弱性
【今週のひとくちメモ】IPAが「ビジネスメール詐欺(BEC)対策特設ページ」を更新
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2023/wr230215.txt
https://www.jpcert.or.jp/wr/2023/wr230215.xml
【1】OpenSSLに複数の脆弱性
情報源
CISA Current Activity
OpenSSL Releases Security Advisory
https://www.cisa.gov/uscert/ncas/current-activity/2023/02/09/openssl-releases-security-advisory
概要
OpenSSLには、X.509 GeneralNameにおけるX.400のアドレス処理において型の 取り違えが生じるなど、複数の脆弱性があります。結果として、第三者がサー ビス運用妨害(DoS)攻撃を行うなどの可能性があります。 対象となるバージョンは次のとおりです。 - OpenSSL 3.0.8より前の3.0系のバージョン - OpenSSL 1.1.1tより前の1.1.1系のバージョン - OpenSSL 1.0.2zgより前の1.0.2系のバージョン この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#91213144
OpenSSLに複数の脆弱性
https://jvn.jp/vu/JVNVU91213144/
関連文書 (英語)
OpenSSL
OpenSSL Security Advisory [7th February 2023]
https://www.openssl.org/news/secadv/20230207.txt
【2】Google Chromeに複数の脆弱性
情報源
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2023/02/stable-channel-update-for-desktop.html
概要
Google Chromeには、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 110.0.5481.77より前のバージョン この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新 することで解決します。詳細は、Googleが提供する情報を参照してください。
【3】日本電気製「PC設定ツール」に重要な機能に対する認証の欠如の脆弱性
情報源
Japan Vulnerability Notes JVN#60320736
日本電気製「PC設定ツール」における重要な機能に対する認証の欠如の脆弱性
https://jvn.jp/jp/JVN60320736/
概要
日本電気株式会社が提供する「PC設定ツール」には、重要な機能に対する認 証の欠如の脆弱性があります。結果として、当該製品がインストールされた コンピューターの標準ユーザーが、管理者権限でレジストリを変更する可能 性があります。 対象となるバージョンは次のとおりです。 - 10.1.26.0およびそれ以前のバージョン (「PC設定ツール」に含まれる 10.x.x.x系) - 11.0.22.0およびそれ以前のバージョン (「PC設定ツール2.0」に含まれる 11.x.x.x系) この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ とで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
日本電気株式会社
PC設定ツールおける入力値検証の不備に関する脆弱性
https://jpn.nec.com/security-info/secinfo/nv23-001.html
【4】図研エルミック製KASAGOに不十分なランダム値の使用の脆弱性
情報源
Japan Vulnerability Notes JVNVU#99551468
図研エルミック製KASAGOにおける不十分なランダム値の使用の脆弱性
https://jvn.jp/vu/JVNVU99551468/
概要
図研エルミック株式会社が提供する組み込み用TCP/IPプロトコルスタックKASAGO では、TCP初期シーケンス番号の生成時に十分なランダム値が使用されていま せん。結果として、第三者にTCP初期シーケンス番号(ISN)を特定され、既存 のTCP接続を乗っ取られたり、将来のTCP接続を偽装されたりする可能性があり ます。 対象となる製品およびバージョンは次のとおりです。 - KASAGO IPv6/v4 Dual Ver6.0.1.34より前のバージョン - KASAGO IPv4 Ver6.0.1.34より前のバージョン - KASAGO IPv4 Light Ver6.0.1.34より前のバージョン - KASAGO mobile IPv6 Ver6.0.1.34より前のバージョン この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ とで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
図研エルミック株式会社
KASAGO製品における脆弱性に関するお知らせ
https://www.elwsc.co.jp/news/6352
【5】スマートフォンアプリ「一蘭公式アプリ」にサーバー証明書の検証不備の脆弱性
情報源
Japan Vulnerability Notes JVN#11257333
スマートフォンアプリ「一蘭公式アプリ」におけるサーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN11257333/
概要
ビートレンド株式会社が開発し、株式会社一蘭が提供するスマートフォンア プリ「一蘭公式アプリ」には、サーバー証明書の検証不備の脆弱性があります。 結果として、第三者が中間者攻撃による暗号通信の盗聴を行う可能性があり ます。 対象となる製品およびバージョンは次のとおりです。 - iOS アプリ「一蘭公式アプリ」3.1.0より前のバージョン - Android アプリ「一蘭公式アプリ」3.1.0より前のバージョン この問題は、ビートレンド株式会社が提供する修正済みのバージョンに更新 することで解決します。詳細は、ビートレンド株式会社が提供する情報を参 照してください。
関連文書 (日本語)
Google Play
一蘭公式アプリ
https://play.google.com/store/apps/details?id=jp.co.ichiran.app&hl=jaAPP Store
一蘭公式アプリ
https://apps.apple.com/jp/app/一蘭公式アプリ/id1118806170
■今週のひとくちメモ
○IPAが「ビジネスメール詐欺(BEC)対策特設ページ」を更新
2023年2月9日、IPAは「ビジネスメール詐欺(BEC)対策特設ページ」を更新 し、これまで寄せられた質問および想定される質問を整理してまとめた「ビジ ネスメール詐欺 FAQ」を追加しました。本ページでは、ビジネスメール詐欺 の対策に必要となる情報を集約しています。
参考文献 (日本語)
情報処理推進機構(IPA)
ビジネスメール詐欺(BEC)対策特設ページ
https://www.ipa.go.jp/security/bec/情報処理推進機構(IPA)
ビジネスメール詐欺 FAQ
https://www.ipa.go.jp/security/bec/bec_faq.html
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/