<<< JPCERT/CC WEEKLY REPORT 2023-08-02 >>>
■07/23(日)〜07/29(土) のセキュリティ関連情報
目 次
【1】京セラドキュメントソリューションズ製複合機およびプリンターのCommand Center RX(CCRX)に複数の脆弱性
【2】富士通製リアルタイム映像伝送装置「IPシリーズ」にハードコードされた認証情報の使用の脆弱性
【3】複数のApple製品に脆弱性
【4】富士通製ネットワーク機器Si-RシリーズおよびSR-Mシリーズに認証回避の脆弱性
【5】複数のVMware製品に脆弱性
【6】Thunderbirdに複数の脆弱性
【7】Ivanti Endpoint Manager Mobile(旧: MobileIron Core)に脆弱性
【8】トレンドマイクロ製ウイルスバスター クラウドに権限昇格の脆弱性
【9】申請人プログラムにXML外部実体参照(XXE)に関する脆弱性
【10】フィッシング対策協議会がインターネットサービス利用者に対する「認証方法」に関するアンケート調査結果を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
【1】京セラドキュメントソリューションズ製複合機およびプリンターのCommand Center RX(CCRX)に複数の脆弱性
情報源
概要
京セラドキュメントソリューションズ株式会社が提供する複合機およびプリンターのWebインタフェースであるCommand Center RX(CCRX)には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。アップデートを適用するまでの間、信頼できない第三者からのアクセスを防ぐための回避策の情報も提供されています。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.kyoceradocumentsolutions.com/en/our-business/security/information/2023-07-14.html
【2】富士通製リアルタイム映像伝送装置「IPシリーズ」にハードコードされた認証情報の使用の脆弱性
情報源
概要
富士通株式会社が提供するリアルタイム映像伝送装置「IPシリーズ」には、ハードコードされた認証情報の使用の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。脆弱性の影響を軽減するための回避策の情報も提供されています。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.fujitsu.com/jp/products/network/support/2023/ip-01/
【3】複数のApple製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/07/25/apple-releases-security-updates-multiple-products
概要
複数のApple製品には、脆弱性があります。対象は多岐にわたります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。Appleは今回修正された脆弱性の一部を悪用する攻撃をすでに確認しているとのことです。詳細は開発者が提供する情報を参照してください。
関連文書
【4】富士通製ネットワーク機器Si-RシリーズおよびSR-Mシリーズに認証回避の脆弱性
情報源
概要
富士通株式会社が提供するネットワーク機器Si-RシリーズおよびSR-Mシリーズには、認証回避の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。アップデートが提供されない製品については、回避策を適用することで、本脆弱性の影響を軽減することが可能です。 詳細は開発者が提供する情報を参照してください。
関連文書
https://www.fujitsu.com/jp/products/network/support/2023/fjlan-01/
【5】複数のVMware製品に脆弱性
情報源
https://www.vmware.com/security/advisories/VMSA-2023-0016.html
概要
複数のVMware製品には、脆弱性があります。VMware Tanzu Application Service for VMsおよびIsolation Segmentが影響を受けます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
【6】Thunderbirdに複数の脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2023-27/
概要
Thundurbirdには、複数の脆弱性があります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参考にしてください。
【7】Ivanti Endpoint Manager Mobile(旧: MobileIron Core)に脆弱性
情報源
概要
Ivantiが提供するIvanti Endpoint Manager Mobile(旧: MobileIron Core)には、複数の脆弱性があります。この問題は、当該製品に修正済みのパッチを適用することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://forums.ivanti.com/s/article/CVE-2023-35078-Remote-unauthenticated-API-access-vulnerability
https://forums.ivanti.com/s/article/CVE-2023-35081-Arbitrary-File-Write
【8】トレンドマイクロ製ウイルスバスター クラウドに権限昇格の脆弱性
情報源
概要
トレンドマイクロ株式会社から、ウイルスバスタークラウド向けのアップデートが公開されました。トレンドマイクロ株式会社が提供する情報をもとに最新版へアップデートしてください。アップデートは自動的に配信・適用されるとのことです。
関連文書
【9】申請人プログラムにXML外部実体参照(XXE)に関する脆弱性
情報源
概要
法務省が提供する申請人プログラムには、XML外部実体参照(XXE)に関する脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
【10】フィッシング対策協議会がインターネットサービス利用者に対する「認証方法」に関するアンケート調査結果を公開
情報源
https://www.antiphishing.jp/report/wg/authentication_20230721.html
概要
フィッシング対策協議会の認証方法調査・推進ワーキンググループは、フィッシング対策と関連の高いインターネットサービスの利用者認証についての2020年に実施した利用者へアンケート調査の追跡調査を行い、その調査結果を報告書として公開しました。
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/