<<< JPCERT/CC WEEKLY REPORT 2023-11-08 >>>
■10/29(日)〜11/04(土) のセキュリティ関連情報
目 次
【1】e-TaxソフトにXML外部実体参照(XXE)に関する脆弱性
【2】複数のCisco製品に脆弱性
【3】Google Chromeに複数の脆弱性
【4】富士フイルムビジネスイノベーション製およびXerox Corporation製複合機(MFP)に脆弱性
【5】Atlassian製Confluence Data CenterおよびConfluence Serverに不適切な認可の脆弱性
【6】サイボウズ リモートサービスにリソース枯渇の脆弱性
【7】MCL Technologies製MCL-Netにディレクトリトラバーサルの脆弱性
【8】Inkdropにコードインジェクションの脆弱性
【9】複数のVMware製品に脆弱性
【10】JPCERT/CCが「TSUBAMEレポート Overflow(2023年7-9月)」を公開
【11】JPCERT/CC ベストレポーター賞 2023
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
【1】e-TaxソフトにXML外部実体参照(XXE)に関する脆弱性
情報源
概要
国税庁が提供するe-Taxソフトには、同製品が内包するXMLパーサの実装方法に起因したXML外部実体参照(XXE)に関する脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
【2】複数のCisco製品に脆弱性
情報源
概要
Ciscoは同社製品における脆弱性に関するアドバイザリを計24件(Critical 1件、High 9件、Medium 14件)公開しました。対象は多岐にわたります。影響を受ける製品、バージョンなどの詳細は、開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x
【3】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2023/10/stable-channel-update-for-desktop_31.html
概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
【4】富士フイルムビジネスイノベーション製およびXerox Corporation製複合機(MFP)に脆弱性
情報源
概要
富士フイルムビジネスイノベーション製およびXerox Corporation製の複数の複合機(MFP)では、アドレス帳に格納された情報をエクスポートする際、十分な強度の暗号化を行っていません。この問題は、ファームウェアをアップデートすることで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.fujifilm.com/fb/company/news/notice/2023/1031_addressbook_announce.html
【5】Atlassian製Confluence Data CenterおよびConfluence Serverに不適切な認可の脆弱性
情報源
概要
Atlassian社が提供するConfluence Data CenterおよびConfluence Serverには、不適切な認可の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
【6】サイボウズ リモートサービスにリソース枯渇の脆弱性
情報源
概要
サイボウズ株式会社が提供するサイボウズ リモートサービスには、リソース枯渇の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
【7】MCL Technologies製MCL-Netにディレクトリトラバーサルの脆弱性
情報源
概要
MCL Technologiesが提供するMCL-Netには、ディレクトリトラバーサルの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.mcl-mobilityplatform.com/downloads.php
https://download.mcl4e.com/mcl4/help/releasenotes/Release%20Notes%20MCL%20Net%204.6.pdf
https://holdings.panasonic/global/corporate/product-security/psirt/advisories.html
【8】Inkdropにコードインジェクションの脆弱性
情報源
概要
Inkdropには、コードインジェクションの脆弱性があります。該当製品にはオートアップデート機能があり、これにより自動的に修正版にアップデートされます。詳細は開発者が提供する情報を参照してください。
関連文書
【9】複数のVMware製品に脆弱性
情報源
概要
VMware ToolsおよびWorkspace ONE UEMには、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.vmware.com/security/advisories/VMSA-2023-0024.html
https://www.vmware.com/security/advisories/VMSA-2023-0025.html
【10】JPCERT/CCが「TSUBAMEレポート Overflow(2023年7-9月)」を公開
情報源
https://blogs.jpcert.or.jp/ja/2023/10/tsubame_overflow_2023-07-09.html
概要
2023年10月31日、JPCERT/CCは「TSUBAMEレポート Overflow(2023年7-9月)」に関するブログを公開しました。2023年7-9月の観測結果として、海外に設置しているセンサーの観測動向の比較や、その他の活動などについて紹介しています。
関連文書
https://www.jpcert.or.jp/tsubame/report/report202307-09.html
【11】JPCERT/CC ベストレポーター賞 2023
情報源
https://www.jpcert.or.jp/award/best-reporter-award/2023.html
概要
JPCERT/CCは10月30日、ベストレポーター賞2023の受賞者を発表しました。ベストレポーター賞は、インシデント報告と脆弱性報告のそれぞれの部門において、情報提供によりJPCERT/CCの活動に顕著な貢献をいただいた方に年1回、記念品の贈呈とともに感謝の意を表するものです。 JPCERT/CCは、多くの報告者の方々に日々ご協力いただいております。JPCERT/CCに報告をくださったすべての方々に、この場を借りて感謝申し上げます。引き続きJPCERT/CCの活動にご協力いただければと存じます。
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/