カテゴリー: セキュリティ情報

「お知らせ」に掲載するセキュリティ情報です(アプリケーションの脆弱性など)。

トレンドマイクロ製パスワードマネージャーに権限昇格の脆弱性

情報源

Japan Vulnerability Notes JVNVU#92641706
トレンドマイクロ製パスワードマネージャーにおける権限昇格の脆弱性
https://jvn.jp/vu/JVNVU92641706/

概要

トレンドマイクロ製パスワードマネージャーには、権限昇格の脆弱性があります。結果として、当該製品がインストールされたシステムにログイン可能なユーザーが、管理者権限を取得し、任意のコードを実行する可能性があります。

対象となるバージョンは次のとおりです。

– パスワードマネージャー(Windows版)5.0.0.1266およびそれ以前のバージョン

この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正済みのバージョンに更新することで解決します。詳細は、トレンドマイクロ株式会社が提供する情報を参照してください。

関連文書 (日本語)

トレンドマイクロ株式会社
アラート/アドバイザリ:パスワードマネージャーの脆弱性について (CVE-2022-30523)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-11008

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC Weekly Report 2022-06-01号」
https://www.jpcert.or.jp/wr/2022/wr222101.html

富士電機製V-SFT、V-ServerおよびV-Server Liteに複数の脆弱性

情報源

Japan Vulnerability Notes JVNVU#93134398
富士電機製V-SFT、V-ServerおよびV-Server Liteにおける複数の脆弱性
https://jvn.jp/vu/JVNVU93134398/

Japan Vulnerability Notes JVNVU#99188133
富士電機製V-SFTにおける複数の脆弱性
https://jvn.jp/vu/JVNVU99188133/

概要

富士電機株式会社が提供するV-SFT、V-ServerおよびV-Server Liteには、複数の脆弱性があります。結果として、細工された画面データファイルを開くことで、情報が漏えいしたり、任意のコードが実行されたりする可能性があります。

対象となる製品およびバージョンは次のとおりです。

– V-SFT v6.1.6.0より前のバージョン
– V-Server v4.0.11.0およびそれ以前のバージョン
– V-Server Lite v4.0.13.0およびそれ以前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)

富士電機株式会社/発紘電機株式会社
作画ソフトV-SFT 改善情報 2240H36
https://hakko-elec.co.jp/site/download/09vsft6_inf/Search.php

富士電機株式会社/発紘電機株式会社
遠隔監視ソフトウェアTELLUS and V-Server 改善情報 2250S01
https://hakko-elec.co.jp/site/download/03tellus_inf/index.php

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC Weekly Report 2022-06-01号」
https://www.jpcert.or.jp/wr/2022/wr222101.html

モバオク-オークション&フリマアプリにサーバー証明書の検証不備の脆弱性

情報源

Japan Vulnerability Notes JVN#13878856
iOS アプリ「モバオク-オークション&フリマアプリ」におけるサーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN13878856/

概要

株式会社ディー・エヌ・エーが提供するiOSアプリ「モバオク-オークション&フリマアプリ」には、サーバー証明書の検証不備の脆弱性があります。結果として、遠隔の第三者が、中間者攻撃により暗号通信を盗聴するなどの可能性があります。

対象となるバージョンは次のとおりです。

– iOSアプリ「モバオク-オークション&フリマアプリ」 5.5.16より前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)

株式会社ディー・エヌ・エー
株式会社ディー・エヌ・エーからの情報
https://jvn.jp/jp/JVN13878856/995314/

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC Weekly Report 2022-06-01号」
https://www.jpcert.or.jp/wr/2022/wr222101.html

Confluence ServerおよびData Centerに任意のコード実行の脆弱性

情報源

CISA Current Activity
Atlassian Releases New Versions of Confluence Server and Data Center to Address CVE-2022-26134
https://www.cisa.gov/uscert/ncas/current-activity/2022/06/03/atlassian-releases-new-versions-confluence-server-and-data-center

概要

Confluence ServerおよびData Centerには、任意のコード実行の脆弱性があります。

対象となる製品およびバージョンは次のとおりです。

– Confluence ServerおよびConfluence Data Centerの次のバージョン
– 7.4.17より前の7.4.x系
– 7.13.7より前の7.13.x系
– 7.14.3より前の7.14.x系
– 7.15.2より前の7.15.x系
– 7.16.4より前の7.16.x系
– 7.17.4より前の7.17.x系
– 7.18.1より前の7.18.x系

この問題は、該当する製品をAtlassianが提供する修正済みのバージョンに更新することで解決します。詳細は、Atlassianが提供するアドバイザリ情報を参照してください。

関連文書 (日本語)

Atlassian
Confluence Server および Data Center – CVE-2022-26134 -未認証のリモート コード実行についての重大な深刻度の脆弱性
https://ja.confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html

JPCERT/CC 注意喚起
Confluence ServerおよびData Centerの脆弱性(CVE-2022-26134)に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220015.html

引用元:JPCERTコーディネーションセンター
「JPCERT/CC Weekly Report 2022-06-08号」
https://www.jpcert.or.jp/wr/2022/wr222201.html

マイクロソフトサポート診断ツールに任意のコード実行の脆弱性

情報源

CISA Current Activity
Microsoft Releases Workaround Guidance for MSDT “Follina” Vulnerability
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/31/microsoft-releases-workaround-guidance-msdt-follina-vulnerability

概要

マイクロソフトサポート診断ツールには、第三者が細工したファイルをユーザーに実行または読み込ませることで、任意のコードを実行できる脆弱性があります。

対象となる製品およびバージョンは次のとおりです。

– Windows OS
– Windows 11
– Windows 10
– Windows 8.1
– Windows RT 8.1
– Windows 7
– Windows Server 2022
– Windows Server 2019
– Windows Server 2016
– Windows Server 2012/2012 R2
– Windows Server 2008/2008 R2
– Windows Server, version 20H2 (Server Core Installation)

2022年6月8日時点で、マイクロソフト株式会社から本脆弱性の対策となる更新プログラムは提供されていません。マイクロソフト株式会社の情報を確認し、更新プログラムが公開された場合は速やかに適用することを推奨します。

関連文書 (日本語)

マイクロソフト株式会社
CVE-2022-30190 マイクロソフト サポート診断ツールの脆弱性に関するガイダンス
https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability-jp/

マイクロソフト株式会社
Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2022-30190

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC Weekly Report 2022-06-08号」
https://www.jpcert.or.jp/wr/2022/wr222201.html

【12/16更新】Movable TypeのXMLRPC APIにおける脆弱性(CVE-2021-20837)

 JPCERT/CCからの「Movable TypeのXMLRPC APIにおける脆弱性(CVE-2021-20837)に関する注意喚起」を更新しましたので、お知らせいたします。
各位
JPCERT-AT-2020-0047
JPCERT/CC
2021-10-20
<<< JPCERT/CC Alert 2021-10-20 >>>
Movable TypeのXMLRPC APIにおける脆弱性(CVE-2021-20837)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210047.html

I.概要

** 更新: 2021年12月16日追記 ******************************************
2021年12月16日、シックス・アパート株式会社は、2021年10月20日に公開した
バージョンの修正が不十分であることが確認されたと発表し、本脆弱性を修正
するバージョンを公開しました。

シックス・アパート株式会社
[重要] Movable Type 7 r.5005 / Movable Type 6.8.5 / Movable Type Premium 1.49 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2021/12/16-1400.html

**********************************************************************
2021年10月20日、シックス・アパート株式会社は、Movable TypeのXMLRPC APIにおけるOSコマンドインジェクションの脆弱性(CVE-2021-20837)に関する情報を公開しました。本脆弱性が悪用された場合、遠隔の第三者が、任意のOSコマンドを実行する可能性があります。

シックス・アパート株式会社

[重要] Movable Type 7 r.5003 / Movable Type 6.8.3 / Movable Type Premium 1.47 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2021/10/20-1100.html

影響を受けるMovable Typeを使用している場合、シックス・アパート株式会社が公開している情報を確認し、速やかに対策を適用することを推奨します。

II.対象

** 更新: 2021年12月16日追記 ******************************************
脆弱性(CVE-2021-20837)の影響を受けるバージョン情報を更新しました。

**********************************************************************
次のバージョンのMovable Typeが本脆弱性の影響を受けます。
– Movable Type 7 r.5004およびそれ以前(Movable Type 7系)
– Movable Type 6.8.4およびそれ以前(Movable Type 6系)
– Movable Type Advanced 7 r.5004およびそれ以前(Movable Type Advanced 7系)
– Movable Type Advanced 6.8.4およびそれ以前(Movable Type Advanced 6系)
– Movable Type Premium 1.48およびそれ以前
– Movable Type Premium Advanced 1.48およびそれ以前

開発者によると、すでにサポート終了をしたバージョンを含む、Movable Type 4.0以降のすべてのバージョンが本脆弱性の影響を受けるとのことです。

III. 対策

** 更新: 2021年12月16日追記 ******************************************
脆弱性(CVE-2021-20837)の対策バージョン情報を更新しました。

**********************************************************************
シックス・アパート株式会社から本脆弱性を修正した次のバージョンが公開されています。速やかに対策の実施をご検討ください。

– Movable Type 7 r.5005(Movable Type 7系)
– Movable Type 6.8.5(Movable Type 6系)
– Movable Type Advanced 7 r.5005(Movable Type Advanced 7系)
– Movable Type Advanced 6.8.5(Movable Type Advanced 6系)
– Movable Type Premium 1.49
– Movable Type Premium Advanced 1.49

IV. 回避策

本脆弱性への早期対策実施が難しい場合、脆弱性を悪用する攻撃の影響を軽減するため、シックス・アパート株式会社より回避策が公開されています。
詳しくは、シックス・アパート株式会社が提供する情報をご確認ください。

V. 参考情報

** 更新: 2021年12月16日追記 ******************************************
シックス・アパート株式会社
[重要] Movable Type 7 r.5005 / Movable Type 6.8.5 / Movable Type Premium 1.49 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2021/12/16-1400.html

**********************************************************************
シックス・アパート株式会社
[重要] Movable Type 7 r.5003 / Movable Type 6.8.3 / Movable Type Premium 1.47 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2021/10/20-1100.html

Japan Vulnerability Notes JVN#41119755

Movable Type の XMLRPC API における OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN41119755/

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email:
https://www.jpcert.or.jp/

内閣サイバーセキュリティセンター(NISC)がランサムウェア特設ページ「ストップ!ランサムウェア」を公開

最終更新日: 2021/10/25

2021年10月13日、内閣サイバーセキュリティセンター(NISC)は、日本国内の関係機関におけるランサムウェアに関する取り組みを紹介する特設ページ「ストップ!ランサムウェア」を公開しました。ランサムウェアによるサイバー攻撃は国内外のさまざまな組織で確認されており、注意が必要です。被害防止の対策や緊急時の対応体制などをご検討いただく上での参考情報としてご活用ください。

参考文献 (日本語)

内閣サイバーセキュリティセンター(NISC)
ランサムウェア特設ページ
https://security-portal.nisc.go.jp/stopransomware/

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2021-10-20」
https://www.jpcert.or.jp/wr/2021/wr214101.html

 

オムロン製CX-Supervisorに領域外のメモリ参照の脆弱性

最終更新日: 2021/10/25

情報源

Japan Vulnerability Notes JVNVU#90041391
オムロン製CX-Supervisorにおける領域外のメモリ参照の脆弱性
https://jvn.jp/vu/JVNVU90041391/

概要

オムロン株式会社が提供するCX-Supervisorには、領域外のメモリ参照の脆弱性があります。結果として、当該製品の設定を変更可能なユーザーが、細工されたSCSプロジェクトファイルを開くことで、情報漏えいが起きたり、任意のコードを実行されたりする可能性があります。
対象となるバージョンは次のとおりです。
– CX-Supervisor v4.0.0.13、v4.0.0.16
開発者によると、本脆弱性を検証し再現することを確認したバージョンは上記であるとのことです。また、CX-Supervisorは日本国外でのみ販売されている製品であるとのことです。
この問題は、該当する製品をオムロン株式会社が提供する修正済みのバージョンに更新することで解決します。詳細は、オムロン株式会社が提供する情報を参照してください。

関連文書 (英語)

オムロン株式会社
Release Notes For CX-Supervisor 4.1.1.2
https://www.myomron.com/index.php?action=kb&article=1692

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2021-10-20」
https://www.jpcert.or.jp/wr/2021/wr214101.html

 

複数のIntel製品に脆弱性

最終更新日: 2021/10/25

情報源

Japan Vulnerability Notes JVNVU#92532697
Intel製品に複数の脆弱性(2021年10月)
https://jvn.jp/vu/JVNVU92532697/

概要

複数のIntel製品には、脆弱性があります。結果として、第三者が権限を昇格したり、情報を窃取したりする可能性があります。
対象となる製品は、多岐にわたります。詳細は、Intelが提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC CyberNewsFlash
Intel製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2021101301.html

関連文書 (英語)

Intel
Intel HAXM Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00544.html

Intel

Intel SGX SDK Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00548.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2021-10-20」
https://www.jpcert.or.jp/wr/2021/wr214101.html