<<< JPCERT/CC WEEKLY REPORT 2023-08-09 >>>
■07/30(日)〜08/05(土) のセキュリティ関連情報
目 次
【1】FUJITSU Software Infrastructure Manager(ISM)に重要な情報の平文保存の脆弱性
【2】Google Chromeに複数の脆弱性
【3】複数のMozilla製品に脆弱性
【4】セイコーエプソン製プリンターのWeb Configにサービス運用妨害(DoS)の脆弱性
【5】OpenSSLのDH_check()関数におけるDHキーとパラメータのチェックに過剰な時間がかかる問題
【6】オムロン製CJシリーズおよびCS/CJシリーズのEtherNet/IPユニットにおけるサービス運用妨害(DoS)の脆弱性
【7】オムロン製CX-Programmerに複数の脆弱性
【8】IPAが「夏休みにおける情報セキュリティに関する注意喚起」を公開
【9】IPAが「インターネット境界に設置された装置に対するサイバー攻撃」に関する注意喚起を公開
【10】Proselfの認証バイパスおよびリモートコード実行の脆弱性に関する注意喚起
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
【1】FUJITSU Software Infrastructure Manager(ISM)に重要な情報の平文保存の脆弱性
情報源
概要
富士通株式会社が提供するFUJITSU Software Infrastructure Manager(ISM)には、重要な情報の平文保存の脆弱性があります。この問題は、当該製品にパッチを適用することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
【2】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2023/08/stable-channel-update-for-desktop.html
概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
【3】複数のMozilla製品に脆弱性
情報源
概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Thunderbirdが影響を受けます。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参考にしてください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2023-29/
https://www.mozilla.org/en-US/security/advisories/mfsa2023-30/
https://www.mozilla.org/en-US/security/advisories/mfsa2023-31/
https://www.mozilla.org/en-US/security/advisories/mfsa2023-32/
https://www.mozilla.org/en-US/security/advisories/mfsa2023-33/
【4】セイコーエプソン製プリンターのWeb Configにサービス運用妨害(DoS)の脆弱性
情報源
概要
セイコーエプソン株式会社が提供するプリンターのWeb Configには、サービス運用妨害(DoS)の脆弱性があります。この問題に関して、ファームウェア提供予定はないとし、ワークアラウンドの適用を強く推奨しています。詳細は開発者が提供する情報を参照してください。
関連文書
【5】OpenSSLのDH_check()関数におけるDHキーとパラメータのチェックに過剰な時間がかかる問題
情報源
概要
OpenSSLのDH_check()関数には、非常に大きな係数を使用しようとすると処理速度が遅くなる問題があります。この問題に対しては、OpenSSL gitリポジトリーでcommitのみが提供されていましたが、現地時間2023年8月1日に本脆弱性を修正したバージョンのOpenSSLがリリースされています。詳細はOpenSSL Projectが提供する情報を参照してください。
関連文書
【6】オムロン製CJシリーズおよびCS/CJシリーズのEtherNet/IPユニットにおけるサービス運用妨害(DoS)の脆弱性
情報源
概要
オムロン株式会社が提供するCJシリーズおよびCS/CJシリーズのEtherNet/IPユニットには、サービス運用妨害(DoS)の脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.fa.omron.co.jp/product/vulnerability/OMSR-2023-006_ja.pdf
【7】オムロン製CX-Programmerに複数の脆弱性
情報源
概要
オムロン株式会社が提供するCX-Programmerには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.fa.omron.co.jp/product/vulnerability/OMSR-2023-005_ja.pdf
【8】IPAが「夏休みにおける情報セキュリティに関する注意喚起」を公開
情報源
https://www.ipa.go.jp/security/anshin/heads-up/alert20230803.html
概要
2023年8月3日、独立行政法人情報処理推進機構(IPA)は「夏休みにおける情報セキュリティに関する注意喚起」を公開しました。長期休暇を取得する時期を迎えるにあたり、IPAが公開している長期休暇における情報セキュリティ対策などが案内されています。
【9】IPAが「インターネット境界に設置された装置に対するサイバー攻撃」に関する注意喚起を公開
情報源
https://www.ipa.go.jp/security/security-alert/2023/alert20230801.html
概要
2023年8月1日、独立行政法人情報処理推進機構(IPA)は「インターネット境界に設置された装置に対するサイバー攻撃について」と題して注意喚起を公開しました。昨今、企業や組織のネットワークとインターネットとの境界に設置されるセキュリティ製品の脆弱性が狙われ攻撃に利用されているとし、一般的な対策や最近の動向などが紹介されています。
【10】Proselfの認証バイパスおよびリモートコード実行の脆弱性に関する注意喚起
情報源
概要
2023年7月20日から、株式会社ノースグリッドはオンラインストレージ構築パッケージ製品「Proself」の認証バイパスおよびリモートコード実行の脆弱性に関する情報を公開しています。すでに多くの利用組織が本件の調査や対応を進めている状況であると認識していますが、まだ本件を確認できていない利用組織が存在している可能性を危惧し、8月1日にJPCERT/CCは注意喚起を公開し、本製品の販売や提供、運用や保守などを行う利用組織に対しても問題の認識や調査、対策実施を呼びかけることにいたしました。
関連文書
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/