JPCERT-WR-2023-0215
2023-02-15
2023-02-05
2023-02-11
OpenSSLに複数の脆弱性
CISA Current Activity
OpenSSL Releases Security Advisory
https://www.cisa.gov/uscert/ncas/current-activity/2023/02/09/openssl-releases-security-advisory
OpenSSLには、X.509 GeneralNameにおけるX.400のアドレス処理において型の
取り違えが生じるなど、複数の脆弱性があります。結果として、第三者がサー
ビス運用妨害(DoS)攻撃を行うなどの可能性があります。
対象となるバージョンは次のとおりです。
- OpenSSL 3.0.8より前の3.0系のバージョン
- OpenSSL 1.1.1tより前の1.1.1系のバージョン
- OpenSSL 1.0.2zgより前の1.0.2系のバージョン
この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。
OpenSSL
OpenSSL Security Advisory [7th February 2023]
https://www.openssl.org/news/secadv/20230207.txt
Japan Vulnerability Notes JVNVU#91213144
OpenSSLに複数の脆弱性
https://jvn.jp/vu/JVNVU91213144/
Google Chromeに複数の脆弱性
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2023/02/stable-channel-update-for-desktop.html
Google Chromeには、複数の脆弱性があります。
対象となるバージョンは次のとおりです。
- Google Chrome 110.0.5481.77より前のバージョン
この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。
日本電気製「PC設定ツール」に重要な機能に対する認証の欠如の脆弱性
Japan Vulnerability Notes JVN#60320736
日本電気製「PC設定ツール」における重要な機能に対する認証の欠如の脆弱性
https://jvn.jp/jp/JVN60320736/
日本電気株式会社が提供する「PC設定ツール」には、重要な機能に対する認
証の欠如の脆弱性があります。結果として、当該製品がインストールされた
コンピューターの標準ユーザーが、管理者権限でレジストリを変更する可能
性があります。
対象となるバージョンは次のとおりです。
- 10.1.26.0およびそれ以前のバージョン (「PC設定ツール」に含まれる 10.x.x.x系)
- 11.0.22.0およびそれ以前のバージョン (「PC設定ツール2.0」に含まれる 11.x.x.x系)
この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。
日本電気株式会社
PC設定ツールおける入力値検証の不備に関する脆弱性
https://jpn.nec.com/security-info/secinfo/nv23-001.html
図研エルミック製KASAGOに不十分なランダム値の使用の脆弱性
Japan Vulnerability Notes JVNVU#99551468
図研エルミック製KASAGOにおける不十分なランダム値の使用の脆弱性
https://jvn.jp/vu/JVNVU99551468/
図研エルミック株式会社が提供する組み込み用TCP/IPプロトコルスタックKASAGO
では、TCP初期シーケンス番号の生成時に十分なランダム値が使用されていま
せん。結果として、第三者にTCP初期シーケンス番号(ISN)を特定され、既存
のTCP接続を乗っ取られたり、将来のTCP接続を偽装されたりする可能性があり
ます。
対象となる製品およびバージョンは次のとおりです。
- KASAGO IPv6/v4 Dual Ver6.0.1.34より前のバージョン
- KASAGO IPv4 Ver6.0.1.34より前のバージョン
- KASAGO IPv4 Light Ver6.0.1.34より前のバージョン
- KASAGO mobile IPv6 Ver6.0.1.34より前のバージョン
この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。
図研エルミック株式会社
KASAGO製品における脆弱性に関するお知らせ
https://www.elwsc.co.jp/news/6352
スマートフォンアプリ「一蘭公式アプリ」にサーバー証明書の検証不備の脆弱性
Japan Vulnerability Notes JVN#11257333
スマートフォンアプリ「一蘭公式アプリ」におけるサーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN11257333/
ビートレンド株式会社が開発し、株式会社一蘭が提供するスマートフォンア
プリ「一蘭公式アプリ」には、サーバー証明書の検証不備の脆弱性があります。
結果として、第三者が中間者攻撃による暗号通信の盗聴を行う可能性があり
ます。
対象となる製品およびバージョンは次のとおりです。
- iOS アプリ「一蘭公式アプリ」3.1.0より前のバージョン
- Android アプリ「一蘭公式アプリ」3.1.0より前のバージョン
この問題は、ビートレンド株式会社が提供する修正済みのバージョンに更新
することで解決します。詳細は、ビートレンド株式会社が提供する情報を参
照してください。
Google Play
一蘭公式アプリ
https://play.google.com/store/apps/details?id=jp.co.ichiran.app&hl=ja
APP Store
一蘭公式アプリ
https://apps.apple.com/jp/app/一蘭公式アプリ/id1118806170
IPAが「ビジネスメール詐欺(BEC)対策特設ページ」を更新
2023年2月9日、IPAは「ビジネスメール詐欺(BEC)対策特設ページ」を更新
し、これまで寄せられた質問および想定される質問を整理してまとめた「ビジ
ネスメール詐欺 FAQ」を追加しました。本ページでは、ビジネスメール詐欺
の対策に必要となる情報を集約しています。
情報処理推進機構(IPA)
ビジネスメール詐欺(BEC)対策特設ページ
https://www.ipa.go.jp/security/bec/
情報処理推進機構(IPA)
ビジネスメール詐欺 FAQ
https://www.ipa.go.jp/security/bec/bec_faq.html