カテゴリー: セキュリティ情報

「お知らせ」に掲載するセキュリティ情報です(アプリケーションの脆弱性など)。

複数のマイクロソフト製品に脆弱性

最終更新日: 2023/01/19

情報源

CISA Current Activity
Microsoft Releases January 2023 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2023/01/10/microsoft-releases-january-2023-security-updates

概要

複数の マイクロソフト製品には、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。
この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してください。

関連文書 (日本語)

マイクロソフト株式会社
2023 年 1 月のセキュリティ更新プログラム (月例)
https://msrc-blog.microsoft.com/2023/1/10/202301-security-update/

JPCERT/CC 注意喚起

2023年1月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2023/at230002.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2023-01-18」
https://www.jpcert.or.jp/wr/2023/wr230118.html

 

Windows 8.1 サポート終了について

Windows 8.1 サポートは 2023 年 1 月 10 日に終了します

注意すべき点として、Windows 8.1 は 2023 年 1 月 10 日にサポートが終了し、その時
点でテクニカル アシスタントとソフトウェア更新プログラムは提供されなくなります。
Windows 8.1を実行しているデバイスがある場合は、より最新のサービス内およびサポー
トされている Windows リリースにアップグレードすることをお勧めします。 デバイスが
Windows のより最新のリリースを実行するための技術的な要件を満たしていない場合は、
デバイスを Windows 11 をサポートするデバイスに置き換えることをお勧めします。

Microsoft は、Windows 8.1用の拡張セキュリティ更新プログラム (ESU) プログラムを提
供しません。2023 年 1 月 10 日以降も Windows 8.1を引き続き使用すると、組織のセキ
ュリティ リスクにさらされたり、コンプライアンス義務を満たす能力に影響を与えたり
する可能性があります。

富士電機製V-SFT、TELLUSおよびV-Serverに複数の脆弱性

最終更新日: 2023/01/06

情報源

Japan Vulnerability Notes JVNVU#90679513
富士電機製V-SFTおよびTELLUSにおける複数の脆弱性
https://jvn.jp/vu/JVNVU90679513/

Japan Vulnerability Notes JVNVU#92811888

富士電機製V-Serverにおける複数の脆弱性
https://jvn.jp/vu/JVNVU92811888/

概要

富士電機株式会社が提供するV-SFT、TELLUSおよびV-Serverには、複数の脆弱性があります。結果として、ユーザーが細工されたファイルを開くことで、情報が漏えいしたり、任意のコードが実行されたりする可能性があります。
対象となる製品およびバージョンは次のとおりです。

– V-SFT v6.1.7.0およびそれ以前
– TELLUS v4.0.12.0およびそれ以前
– V-Server v4.0.12.0およびそれ以前

この問題は、当該製品を富士電機株式会社が提供する修正済みのバージョンに更新することで解決します。詳細は、富士電機株式会社が提供する情報を参照してください。

関連文書 (日本語)

富士電機株式会社/発紘電機株式会社
作画ソフトV-SFT Ver.6 改善情報
https://hakko-elec.co.jp/site/download/09vsft6_inf/

富士電機株式会社/発紘電機株式会社

TELLUS and V-Server 改善情報
https://hakko-elec.co.jp/site/download/03tellus_inf/

 

引用元:JPCERT/CC
「JPCERT/CC WEEKLY REPORT 2023-01-06」
https://www.jpcert.or.jp/wr/2023/wr230106.html

 

シャープ製デジタル複合機にコマンドインジェクションの脆弱性

最終更新日: 2022/12/22

情報源

Japan Vulnerability Notes JVNVU#96195138
シャープ製デジタル複合機におけるコマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU96195138/

概要

シャープ株式会社が提供する複数のデジタル複合機には、コマンドインジェクションの脆弱性があります。結果として、管理者権限でログイン可能な攻撃者により、複合機のファームウェア上で任意のコマンドが実行される可能性があります。
影響を受ける製品、機種名、ファームウェアバージョンは多岐にわたります。詳しくは、開発者が提供する情報をご確認ください。
この問題は、該当製品を開発者が提供する修正済みのバージョンに更新することで解決します。また、回避策が提示されています。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)

シャープ株式会社
弊社複合機におけるセキュリティ脆弱性について
https://jp.sharp/business/print/information/info_security_2022-11.html

 

引用元:JPCERT/CC
「JPCERT/CC WEEKLY REPORT 2022-12-21」
https://www.jpcert.or.jp/wr/2022/wr225001.html

OpenSSLのX.509ポリシー制限における二重ロックの問題

最終更新日: 2022/12/22

情報源

Japan Vulnerability Notes JVNVU#96155097
OpenSSLのX.509ポリシー制限における二重ロックの問題
https://jvn.jp/vu/JVNVU96155097/

概要

OpenSSLのX.509証明書に不正なポリシー制限が含まれていて、ポリシー処理が有効な場合、書き込みロックが二重に行われる問題があります。結果として、一部のオペレーティングシステム(最も一般的なのは Windows)では、影響を受けるプロセスがハングし、サービス運用妨害(DoS)状態となる可能性があります。
対象となるバージョンは次のとおりです。

– OpenSSL 3.0.0から3.0.7

OpenSSL 1.1.1および1.0.2は、本脆弱性の影響を受けないとのことです。
OpenSSLによると、本脆弱性の深刻度が低であるため、修正は提供されていません。ただし、開発者向けに回避策を提示しています。詳細は、OpenSSLが提供する情報を参照してください。

関連文書(英語)

OpenSSL Project

OpenSSL Security Advisory [13 December 2022]
https://www.openssl.org/news/secadv/20221213.txt

openssl/openssl

x509 fix double locking problem
https://github.com/openssl/openssl/commit/7725e7bfe6f2ce8146b6552b44e0d226be7638e7

 

引用元:JPCERT/CC
「JPCERT/CC WEEKLY REPORT 2022-12-21」
https://www.jpcert.or.jp/wr/2022/wr225001.html

Redmineにクロスサイトスクリプティングの脆弱性

最終更新日: 2022/12/22

情報源

Japan Vulnerability Notes JVN#60211811
Redmine におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN60211811/

概要

Redmineには、クロスサイトスクリプティングの脆弱性があります。結果として、当該製品を使用しているユーザーのWebブラウザ上で、任意のスクリプトを実行される可能性があります。
対象となるバージョンは次のとおりです。

– Redmine すべてのバージョン

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書(英語)

Redmine

Redmine Security Advisories
https://www.redmine.org/projects/redmine/wiki/Security_Advisories

 

引用元:JPCERT/CC
「JPCERT/CC WEEKLY REPORT 2022-12-21」
https://www.jpcert.or.jp/wr/2022/wr225001.html

複数のアドビ製品に脆弱性

最終更新日: 2022/12/22

情報源

アドビ
Security updates available for Adobe Campaign Classic | APSB22-58
https://helpx.adobe.com/security/products/campaign/apsb22-58.html

アドビ

Security updates available for Adobe Experience Manager | APSB22-59
https://helpx.adobe.com/security/products/experience-manager/apsb22-59.html

アドビ

Security Updates Available for Adobe Illustrator | APSB22-60
https://helpx.adobe.com/security/products/illustrator/apsb22-60.html

概要

複数のアドビ製品には、脆弱性があります。結果として、当該製品にアクセスしたユーザーのWebブラウザー上で、任意のコードが実行されるなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。

– Adobe Campaign Classic 7.3.1およびそれ以前のバージョン
– Adobe Campaign Classic 8.3.9およびそれ以前のバージョン
– Adobe Experience Manager Cloud Service Release 2022.10.0より前のバージョン
– Adobe Experience Manager 6.5.14.0およびそれ以前のバージョン
– Adobe Illustrator 2022 26.5.1およびそれ以前のバージョン
– Adobe Illustrator 2023 27.0およびそれ以前のバージョン

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新することで解決します。詳細は、アドビが提供する情報を参照してください。

 

引用元:JPCERT/CC
「JPCERT/CC WEEKLY REPORT 2022-12-21」
https://www.jpcert.or.jp/wr/2022/wr225001.html

Sambaに複数の脆弱性

最終更新日: 2022/12/22

情報源

CISA Current Activity
Samba Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/12/16/samba-releases-security-updates

概要

Sambaには、複数の脆弱性があります。結果として、遠隔のユーザーが権限を昇格するなどの可能性があります。
対象となるバージョンは次のとおりです。

– Samba 4.17.4より前のバージョン
– Samba 4.16.8より前のバージョン
– Samba 4.15.13より前のバージョン

この問題は、SambaをThe Samba Teamが提供する修正済みのバージョンに更新することで解決します。詳細は、The Samba Teamが提供する情報を参照してください。

関連文書(英語)

The Samba Team

CVE-2022-38023.html:
https://www.samba.org/samba/security/CVE-2022-38023.html

The Samba Team

CVE-2022-37966.html:
https://www.samba.org/samba/security/CVE-2022-37966.html

The Samba Team

CVE-2022-37967.html:
https://www.samba.org/samba/security/CVE-2022-37967.html

The Samba Team

CVE-2022-45141.html:
https://www.samba.org/samba/security/CVE-2022-45141.html

 

引用元:JPCERT/CC
「JPCERT/CC WEEKLY REPORT 2022-12-21」
https://www.jpcert.or.jp/wr/2022/wr225001.html

複数のVMware製品に脆弱性

最終更新日: 2022/12/22

情報源

CISA Current Activity
VMware Releases Security Updates for Multiple products
https://www.cisa.gov/uscert/ncas/current-activity/2022/12/13/vmware-releases-security-updates-multiple-products

概要

複数のVMware製品には、脆弱性があります。結果として、攻撃者がコマンドを実行するなどの可能性があります。
対象となる製品は次のとおりです。

– VMware vRealize Network Insight (vRNI)
– VMware ESXi
– VMware Fusion
– VMware Cloud Foundation
– VMware Workstation

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新するか、回避策を適用することで解決します。詳細は、VMwareが提供する情報を参照してください。

関連文書(英語)

VMware

VMSA-2022-0031
https://www.vmware.com/security/advisories/VMSA-2022-0031.html

VMware

VMSA-2022-0033
https://www.vmware.com/security/advisories/VMSA-2022-0033.html

 

引用元:JPCERT/CC
「JPCERT/CC WEEKLY REPORT 2022-12-21」
https://www.jpcert.or.jp/wr/2022/wr225001.html

Drupalの複数のモジュールに脆弱性

最終更新日: 2022/12/22

情報源

CISA Current Activity
Drupal Releases Security Updates to Address Vulnerabilities in H5P and File (Field) Paths
https://www.cisa.gov/uscert/ncas/current-activity/2022/12/15/drupal-releases-security-updates-address-vulnerabilities-h5p-and

概要

Drupalの複数のモジュールに脆弱性があります。結果として、攻撃者が任意のコードを実行するなどの可能性があります。
対象となるモジュールおよびバージョンは次のとおりです。

– H5P 7.x-1.51より前のバージョン
– File (Field) Paths 7.x-1.2より前のバージョン

この問題は、Drupalが提供する修正済みのバージョンに更新することで解決します。詳細は、Drupalが提供する情報を参照してください。

関連文書(英語)

Drupal

H5P – Create and Share Rich Content and Applications – Moderately critical – Remote Code Execution – SA-CONTRIB-2022-064
https://www.drupal.org/sa-contrib-2022-064

Drupal

File (Field) Paths – Moderately critical – Access bypass – SA-CONTRIB-2022-065
https://www.drupal.org/sa-contrib-2022-065

 

引用元:JPCERT/CC
「JPCERT/CC WEEKLY REPORT 2022-12-21」
https://www.jpcert.or.jp/wr/2022/wr225001.html