-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2023-0308 JPCERT/CC 2023-03-08 <<< JPCERT/CC WEEKLY REPORT 2023-03-08 >>> ―――――――――――――――――――――――――――――――――――――― ■02/26(日)〜03/04(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数のCisco製品に脆弱性 【2】Trend Micro Apex OneおよびTrend Micro Apex One SaaSに複数の脆弱性 【3】トレンドマイクロ製ウイルスバスター クラウドに複数の脆弱性 【4】EC-CUBEに複数のクロスサイトスクリプティングの脆弱性 【5】IT資産管理ツール「SS1」および「らくらくPCクラウド」に複数の脆弱性 【6】web2pyの開発ツールにオープンリダイレクトの脆弱性 【7】Edgecross基本ソフトウェアWindows版に複数の脆弱性 【8】Trusted Computing GroupのTPM2.0実装に複数の脆弱性 【今週のひとくちメモ】IPAが「情報セキュリティ10大脅威 2023」解説書[組織編]を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2023/wr230308.html https://www.jpcert.or.jp/wr/2023/wr230308.xml ============================================================================ 【1】複数のCisco製品に脆弱性 情報源 CISA Cybersecurity Alerts & Advisories Cisco Releases Security Advisory for Cisco IP Phones https://www.cisa.gov/news-events/alerts/2023/03/02/cisco-releases-security-advisory-cisco-ip-phones 概要 複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が任意 のコードを実行したり、サービス運用妨害(DoS)攻撃を行ったりするなどの 可能性があります。 影響を受ける製品、バージョンは多岐にわたります。当該期間中は、計5件の アドバイザリ(Critical1件、Medium4件)が新たに公開されています。 この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Ciscoが提供する情報を参照してください。 関連文書 (英語) Cisco Cisco Security Advisories https://sec.cloudapps.cisco.com/security/center/publicationListing.x Cisco Cisco IP Phone 6800, 7800, 7900, and 8800 Series Web UI Vulnerabilities https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ip-phone-cmd-inj-KMFynVcP 【2】Trend Micro Apex OneおよびTrend Micro Apex One SaaSに複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#96221942 Trend Micro Apex OneおよびTrend Micro Apex One SaaSにおける複数の脆弱性 https://jvn.jp/vu/JVNVU96221942/ 概要 Trend Micro Apex OneおよびTrend Micro Apex One SaaSには、複数の脆弱性 があります。結果として、管理サーバーにアクセス可能な第三者が悪意のある アップロードを行い、サービス運用妨害 (DoS) 攻撃を行うなどの可能性があ ります。 対象となる製品およびバージョンは次のとおりです。 - Trend Micro Apex One 2019 - Trend Micro Apex One SaaS この問題は、該当する製品にトレンドマイクロ株式会社が提供するパッチを適 用することで解決します。詳細は、トレンドマイクロ株式会社が提供する情報 を参照してください。 関連文書 (日本語) トレンドマイクロ株式会社 アラート/アドバイザリ:Trend Micro Apex One 及びTrend Micro Apex One SaaSで確認した複数の脆弱性について(2023年02月) https://success.trendmicro.com/jp/solution/000292220 【3】トレンドマイクロ製ウイルスバスター クラウドに複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#96882769 トレンドマイクロ製ウイルスバスター クラウドにおける複数の脆弱性 https://jvn.jp/vu/JVNVU96882769/ 概要 トレンドマイクロ製ウイルスバスター クラウドには、複数の脆弱性がありま す。結果として、攻撃者が権限を昇格するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - ウイルスバスター クラウド バージョン17.7 - ウイルスバスター クラウド バージョン17.0 この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正済みの バージョンに更新することで解決します。詳細は、トレンドマイクロ株式会社 が提供する情報を参照してください。 関連文書 (日本語) トレンドマイクロ株式会社 アラート/アドバイザリ:ウイルスバスター クラウドの脆弱性について(CVE-2022-30687) https://helpcenter.trendmicro.com/ja-jp/article/tmka-11014 トレンドマイクロ株式会社 アラート/アドバイザリ:ウイルスバスター クラウドの脆弱性について(CVE-2022-34893) https://helpcenter.trendmicro.com/ja-jp/article/tmka-11054 トレンドマイクロ株式会社 アラート/アドバイザリ:ウイルスバスター クラウドの脆弱性について(CVE-2022-35234/CVE-2022-37347/CVE-2022-37348) https://helpcenter.trendmicro.com/ja-jp/article/tmka-11055 トレンドマイクロ株式会社 アラート/アドバイザリ:ウイルスバスター クラウドの脆弱性について(CVE-2022-48191) https://helpcenter.trendmicro.com/ja-jp/article/tmka-11251 【4】EC-CUBEに複数のクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#04785663 EC-CUBE における複数のクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN04785663/ 概要 株式会社イーシーキューブが提供するEC-CUBEには、複数のクロスサイトスク リプティングの脆弱性があります。結果として、当該製品を使用しているサイ トにアクセスしたユーザーのWebブラウザー上で、任意のスクリプトを実行さ れるなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - EC-CUBE 4系 - EC-CUBE 4.2.0 - EC-CUBE 4.1.0から4.1.2-p1 - EC-CUBE 4.0.0から4.0.6-p2 - EC-CUBE 3系 - EC-CUBE 3.0.0から3.0.18-p5 - EC-CUBE 2系 - EC-CUBE 2.17.0から2.17.2 - EC-CUBE 2.13.0から2.13.5 - EC-CUBE 2.12.0から2.12.6 - EC-CUBE 2.11.0から2.11.5 この問題は、該当する製品を株式会社イーシーキューブが提供する修正済みの バージョンに更新することで解決します。詳細は、株式会社イーシーキューブ が提供する情報を参照してください。 関連文書 (日本語) 株式会社イーシーキューブ EC-CUBE4系におけるクロスサイトスクリプティングの脆弱性(JVN#04785663) https://www.ec-cube.net/info/weakness/weakness.php?id=87 株式会社イーシーキューブ EC-CUBE3系におけるクロスサイトスクリプティングの脆弱性(JVN#04785663) https://www.ec-cube.net/info/weakness/weakness.php?id=88 株式会社イーシーキューブ EC-CUBE2系におけるクロスサイトスクリプティングの脆弱性(JVN#04785663) https://www.ec-cube.net/info/weakness/weakness.php?id=89 【5】IT資産管理ツール「SS1」および「らくらくPCクラウド」に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#57224029 IT 資産管理ツール「SS1」および「らくらくPCクラウド」における複数の脆弱性 https://jvn.jp/jp/JVN57224029/ 概要 株式会社ディー・オー・エスが提供する「SS1」および「らくらくPCクラウド」 には、複数の脆弱性があります。結果として、遠隔の第三者がSYSTEM権限で任 意のコードを実行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - SS1 Ver.13.0.0.40およびそれ以前 - らくらくPCクラウド エージェント Ver.2.1.8およびそれ以前 この問題は、該当する製品を株式会社ディー・オー・エスが提供する修正済み のバージョンに更新することで解決します。詳細は、株式会社ディー・オー・ エスが提供する情報を参照してください。 関連文書 (日本語) 株式会社ディー・オー・エス 弊社製品「SS1」「らくらくPCクラウド」の脆弱性に関するお知らせ https://www.dos-osaka.co.jp/news/2023/03/230301.html 【6】web2pyの開発ツールにオープンリダイレクトの脆弱性 情報源 Japan Vulnerability Notes JVN#78253670 web2py の開発ツールにおけるオープンリダイレクトの脆弱性 https://jvn.jp/jp/JVN78253670/ 概要 web2pyのadmin開発ツールには、オープンリダイレクトの脆弱性があります。 結果として、web2pyの利用者が細工されたURLにアクセスすることで、任意の Webサイトにリダイレクトされる可能性があります。 対象となる製品およびバージョンは次のとおりです。 - web2py 2.23.1より前のバージョン この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。 【7】Edgecross基本ソフトウェアWindows版に複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#96890975 Edgecross 基本ソフトウェア Windows版における複数の脆弱性 https://jvn.jp/vu/JVNVU96890975/ 概要 一般社団法人Edgecrossコンソーシアムが提供するEdgecross基本ソフトウェア Windows版には、複数の脆弱性があります。結果として、マネジメントシェル のサービスを明示的に停止していない場合、遠隔の第三者がサービス運用妨害 (DoS)攻撃を行う可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Edgecross基本ソフトウェアWindows版 ECP-BS1-W 1.10から1.26までのバージョン - 開発者用Edgecross基本ソフトウェアWindows版 ECP-BS1-W-D 1.10から1.26までのバージョン この問題は、該当する製品を一般社団法人Edgecrossコンソーシアムが提供す る修正済みのバージョンに更新することで解決します。詳細は、一般社団法人 Edgecrossコンソーシアムが提供する情報を参照してください。 関連文書 (日本語) 一般社団法人Edgecrossコンソーシアム Edgecross 基本ソフトウェア Windows 版における複数の脆弱性 https://www.edgecross.org/ja/data-download/pdf/ECD-TE10-0005-01-JA.pdf 【8】Trusted Computing GroupのTPM2.0実装に複数の脆弱性 情報源 CERT/CC Vulnerability Note VU#782720 TCG TPM2.0 implementations vulnerable to memory corruption https://kb.cert.org/vuls/id/782720 Japan Vulnerability Notes JVNVU#95600622 Trusted Computing GroupのTPM2.0実装における複数の脆弱性 https://jvn.jp/vu/JVNVU95600622/ 概要 Trusted Computing GroupのTPM2.0実装には、複数の脆弱性があります。結果 として、TPMがクラッシュさせられたり、TPM内で任意のコードが実行されたり するなどの可能性があります。 対象となる製品は次のとおりです。 - Trusted Computing GroupのTPM2.0を実装した製品 この問題について、Trusted Computing Groupは、これらの脆弱性に対処する ための説明を記載したErrata for TPM2.0 Library Specificationを公開して います。ハードウェアおよびソフトウェアメーカーが提供する情報を注視し、 最新のアップデートを適用してください。 関連文書 (英語) Trusted Computing Group Errata for TPM Library Specification 2.0 https://trustedcomputinggroup.org/resource/errata-for-tpm-library-specification-2-0/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○IPAが「情報セキュリティ10大脅威 2023」解説書[組織編]を公開 2023年2月28日、情報処理推進機構(IPA)は「情報セキュリティ10大脅威 2023」 解説書[組織編]を公開しました。これは、IPAが昨年発生した情報セキュリ ティにおける事案から脅威候補を選出し、情報セキュリティ関連に携わるメンバー で審議・投票を行い、順位を決定したものに対して各脅威の解説をまとめた資 料です。個人の脅威に対する解説は後日公開予定とのことです。 参考文献 (日本語) 情報処理推進機構(IPA) 情報セキュリティ10大脅威 2023 https://www.ipa.go.jp/security/vuln/10threats2023.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CCからのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下のURLからご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下のURLを参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJkB8+zAAoJEDoQgdvpn3qqOr8P/Rl3gacYvvpcizeTR8tvYaK6 z7gb7wYP1/ARE/3MQj7FOgPUfPePJ7wZpNxzrFoiZ2pSfGOMItehqbMahY9uJq02 /h9u8+SmYECGTani7++S7TK53eRkXq6S/Vs0dNQ6ve5VL6G7+EHnmsjPeqfXr6d2 VmxYL7/vrg9D2zrwtaljlMpmjnm02rtwn3aEmieU9m73rkJfs5d1CVCApv5OoAZC KlY6Nt50B+01oja0dXULf7hrJNkoHqIH/UEfSBBfAnKTNVsf0c5Z0zGRTrSAk5JG PKDAx9r+k6HA+8PXNwmDKWNm1dcxTncpGdC5RkgZ7MfWXcSoADfFF91ECnV3Dryv 9Zdf6Cvh2MlHTK8jR8BBMhN5XJTkI7SFPrzznFi4nZM/54bAFd09A0APb+dWZvSH A0s6pbUcjRBc5iVMx+2pRXxTRJTWsjVAw9YRPeVpPjUxQLAvBP0Jd/tCXttQ3Xyo w9hFoFGUOjgL2etL3mD0XAGk5u5yeVAT9M3KrzIoGFnGrSbUqJa0lF6E+i+1v++U NXTIGvCper8HJWoMDuTkPP9w/xhi3OEwZUsyE1mhEjybcMHXOnFTT0cUiI3Bh4+m GXYD8UIQL2XBuq42F1HIsMRNY8nUdehl6GuBI3dAPt7Aya/dC7/2kvz/EamBHjWX lxMbFGgnpSKXI1HW3kGW =6NOM -----END PGP SIGNATURE-----