-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2023-0215 JPCERT/CC 2023-02-15 <<< JPCERT/CC WEEKLY REPORT 2023-02-15 >>> ―――――――――――――――――――――――――――――――――――――― ■02/05(日)〜02/11(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】OpenSSLに複数の脆弱性 【2】Google Chromeに複数の脆弱性 【3】日本電気製「PC設定ツール」に重要な機能に対する認証の欠如の脆弱性 【4】図研エルミック製KASAGOに不十分なランダム値の使用の脆弱性 【5】スマートフォンアプリ「一蘭公式アプリ」にサーバー証明書の検証不備の脆弱性 【今週のひとくちメモ】IPAが「ビジネスメール詐欺(BEC)対策特設ページ」を更新 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2023/wr230215.html https://www.jpcert.or.jp/wr/2023/wr230215.xml ============================================================================ 【1】OpenSSLに複数の脆弱性 情報源 CISA Current Activity OpenSSL Releases Security Advisory https://www.cisa.gov/uscert/ncas/current-activity/2023/02/09/openssl-releases-security-advisory 概要 OpenSSLには、X.509 GeneralNameにおけるX.400のアドレス処理において型の 取り違えが生じるなど、複数の脆弱性があります。結果として、第三者がサー ビス運用妨害(DoS)攻撃を行うなどの可能性があります。 対象となるバージョンは次のとおりです。 - OpenSSL 3.0.8より前の3.0系のバージョン - OpenSSL 1.1.1tより前の1.1.1系のバージョン - OpenSSL 1.0.2zgより前の1.0.2系のバージョン この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#91213144 OpenSSLに複数の脆弱性 https://jvn.jp/vu/JVNVU91213144/ 関連文書 (英語) OpenSSL OpenSSL Security Advisory [7th February 2023] https://www.openssl.org/news/secadv/20230207.txt 【2】Google Chromeに複数の脆弱性 情報源 Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2023/02/stable-channel-update-for-desktop.html 概要 Google Chromeには、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 110.0.5481.77より前のバージョン この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新 することで解決します。詳細は、Googleが提供する情報を参照してください。 【3】日本電気製「PC設定ツール」に重要な機能に対する認証の欠如の脆弱性 情報源 Japan Vulnerability Notes JVN#60320736 日本電気製「PC設定ツール」における重要な機能に対する認証の欠如の脆弱性 https://jvn.jp/jp/JVN60320736/ 概要 日本電気株式会社が提供する「PC設定ツール」には、重要な機能に対する認 証の欠如の脆弱性があります。結果として、当該製品がインストールされた コンピューターの標準ユーザーが、管理者権限でレジストリを変更する可能 性があります。 対象となるバージョンは次のとおりです。 - 10.1.26.0およびそれ以前のバージョン (「PC設定ツール」に含まれる 10.x.x.x系) - 11.0.22.0およびそれ以前のバージョン (「PC設定ツール2.0」に含まれる 11.x.x.x系) この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ とで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) 日本電気株式会社 PC設定ツールおける入力値検証の不備に関する脆弱性 https://jpn.nec.com/security-info/secinfo/nv23-001.html 【4】図研エルミック製KASAGOに不十分なランダム値の使用の脆弱性 情報源 Japan Vulnerability Notes JVNVU#99551468 図研エルミック製KASAGOにおける不十分なランダム値の使用の脆弱性 https://jvn.jp/vu/JVNVU99551468/ 概要 図研エルミック株式会社が提供する組み込み用TCP/IPプロトコルスタックKASAGO では、TCP初期シーケンス番号の生成時に十分なランダム値が使用されていま せん。結果として、第三者にTCP初期シーケンス番号(ISN)を特定され、既存 のTCP接続を乗っ取られたり、将来のTCP接続を偽装されたりする可能性があり ます。 対象となる製品およびバージョンは次のとおりです。 - KASAGO IPv6/v4 Dual Ver6.0.1.34より前のバージョン - KASAGO IPv4 Ver6.0.1.34より前のバージョン - KASAGO IPv4 Light Ver6.0.1.34より前のバージョン - KASAGO mobile IPv6 Ver6.0.1.34より前のバージョン この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ とで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) 図研エルミック株式会社 KASAGO製品における脆弱性に関するお知らせ https://www.elwsc.co.jp/news/6352 【5】スマートフォンアプリ「一蘭公式アプリ」にサーバー証明書の検証不備の脆弱性 情報源 Japan Vulnerability Notes JVN#11257333 スマートフォンアプリ「一蘭公式アプリ」におけるサーバ証明書の検証不備の脆弱性 https://jvn.jp/jp/JVN11257333/ 概要 ビートレンド株式会社が開発し、株式会社一蘭が提供するスマートフォンア プリ「一蘭公式アプリ」には、サーバー証明書の検証不備の脆弱性があります。 結果として、第三者が中間者攻撃による暗号通信の盗聴を行う可能性があり ます。 対象となる製品およびバージョンは次のとおりです。 - iOS アプリ「一蘭公式アプリ」3.1.0より前のバージョン - Android アプリ「一蘭公式アプリ」3.1.0より前のバージョン この問題は、ビートレンド株式会社が提供する修正済みのバージョンに更新 することで解決します。詳細は、ビートレンド株式会社が提供する情報を参 照してください。 関連文書 (日本語) Google Play 一蘭公式アプリ https://play.google.com/store/apps/details?id=jp.co.ichiran.app&hl=ja APP Store 一蘭公式アプリ https://apps.apple.com/jp/app/一蘭公式アプリ/id1118806170 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○IPAが「ビジネスメール詐欺(BEC)対策特設ページ」を更新 2023年2月9日、IPAは「ビジネスメール詐欺(BEC)対策特設ページ」を更新 し、これまで寄せられた質問および想定される質問を整理してまとめた「ビジ ネスメール詐欺 FAQ」を追加しました。本ページでは、ビジネスメール詐欺 の対策に必要となる情報を集約しています。 参考文献 (日本語) 情報処理推進機構(IPA) ビジネスメール詐欺(BEC)対策特設ページ https://www.ipa.go.jp/security/bec/ 情報処理推進機構(IPA) ビジネスメール詐欺 FAQ https://www.ipa.go.jp/security/bec/bec_faq.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CCからのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下のURLからご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下のURLを参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJj7B9JAAoJEDoQgdvpn3qqZiAP/jRMCjbPINvL7zh8Z/WEPlNr kPzlpXYe+vD21HfSzO9AvTBTQH1ys26HlCfkkIn8LUp8vkgAKcnJscBdFAavfzC8 WOdKopCS8LJB0mZbFKL3sGpc/Rkr/jO2MPRvN0032sMALGg9o5POg/oUzB+lyiIN 0nKPodddDJpv49MBQcr6tOoMYr4uLGx1RBgY+4Yi8uhCBmDb69mC2dNJ4kX7VLaZ TQMZPyiystaTwHWhQ2Yb8J4qg9ekqegYJa/D67x4ia+YK0jp3sLDjwHCS8rLaNrP x3DMe02RU4UupR63lU9ui7vucfKKfjbwfYQ3ZLRzRGskqLk9B6PvU5/vXVI/BlA0 7l5Rsew+AiHbrF+xAu2EOteLHwMbS50+EdiEa4X8dH8YsctKzGYtiGQDR1TPZvCU ew2Dh6ZUSpM+x6EXExbrVU0NFO4V7pjH82UbX6YA924DAOhzTQ0FwBLGxofzIRPO QE35XJNLJDC8POIBaUDsn0nGRcFk3pddCAc5sCsGqodkmy1ODA6QNm4CQuXUC7Cu Ipv9F8rtn9OL/b7fGqYUzT9Ljq/0a0CVPdDbPUvF/vcMsps+U7lPahAuX5o0ZMMD ACq0wM77ek2S3P8KAvSGLv4m1skkpSnIFB8lEUbpYdpQy+y3qO/de8Vn04FwAUKr Nr+gwbUrVPdqhFBvrk91 =EOjB -----END PGP SIGNATURE-----