<<< JPCERT/CC WEEKLY REPORT 2022-07-06 >>>
■06/26(日)〜07/02(土) のセキュリティ関連情報
目 次
【1】複数のMozilla製品に脆弱性
【2】ruby-mysqlに任意のファイルを読み取り可能な脆弱性
【3】HOME SPOT CUBE2にOSコマンドインジェクションの脆弱性
【4】三菱電機製FAエンジニアリングソフトウェア製品に複数の脆弱性
【5】複数のオムロン製品に脆弱性
【今週のひとくちメモ】JPCERT/CC 感謝状 2022
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr222601.txt
https://www.jpcert.or.jp/wr/2022/wr222601.xml
【1】複数のMozilla製品に脆弱性
情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird
https://www.cisa.gov/uscert/ncas/current-activity/2022/06/29/mozilla-releases-security-updates-firefox-firefox-esr-and
概要
複数のMozilla製品には、複数の脆弱性があります。結果として、第三者が任 意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Mozilla Firefox 102より前のバージョン - Mozilla Firefox ESR 91.11より前のバージョン - Mozilla Firefox for iOS 102より前のバージョン - Mozilla Thunderbird 91.11より前のバージョン - Mozilla Thunderbird 102より前のバージョン この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新 することで解決します。詳細は、Mozillaが提供する情報を参照してください。
関連文書 (英語)
Mozilla
Mozilla Foundation Security Advisory 2022-24
https://www.mozilla.org/en-US/security/advisories/mfsa2022-24/Mozilla
Mozilla Foundation Security Advisory 2022-25
https://www.mozilla.org/en-US/security/advisories/mfsa2022-25/Mozilla
Mozilla Foundation Security Advisory 2022-26
https://www.mozilla.org/en-US/security/advisories/mfsa2022-26/Mozilla
Mozilla Foundation Security Advisory 2022-27
https://www.mozilla.org/en-US/security/advisories/mfsa2022-27/
【2】ruby-mysqlに任意のファイルを読み取り可能な脆弱性
情報源
Japan Vulnerability Notes JVN#92799903
ruby-mysqlにおけるファイル参照に関する脆弱性
https://jvn.jp/vu/JVNVU92799903/
概要
ruby-mysqlには、クライアント側のローカルファイルに適切な認可処理を経ずに アクセスすることが可能となる脆弱性が存在します。結果として、遠隔の第三者 が任意のファイルを読み取り、データを不正に窃取する可能性があります。 対象となるバージョンは次のとおりです。 - ruby-mysql 2.10.0より前のバージョン この問題は、ruby-mysqlを開発者が提供する修正済みのバージョンに更新する ことで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
tommy
ruby-mysql 3.0.1
https://rubygems.org/gems/ruby-mysql/
【3】HOME SPOT CUBE2にOSコマンドインジェクションの脆弱性
情報源
Japan Vulnerability Notes JVN#41017328
HOME SPOT CUBE2 における OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN41017328/
概要
KDDI株式会社が提供するHOME SPOT CUBE2には、DHCPサーバーから受け取った データの処理の不備に起因する、OSコマンドインジェクションの脆弱性が存在 します。結果として、攻撃者が用意したDHCPサーバーを当該製品のWAN側に設 置した場合、当該製品上で任意のOSコマンドを実行する可能性があります。 対象となるバージョンは次のとおりです。 - HOME SPOT CUBE2 V102およびそれ以前 この問題は、KDDI株式会社が提供する回避策を適用することで本脆弱性の影響 を軽減することが可能とのことです。詳細は、KDDI株式会社が提供する情報を 参照してください。
関連文書 (日本語)
KDDI株式会社
重要なお知らせ HOME SPOT CUBE2 ご利用上の注意
https://www.au.com/support/service/mobile/guide/wlan/home_spot_cube_2/
【4】三菱電機製FAエンジニアリングソフトウェア製品に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#93817405
三菱電機製FAエンジニアリングソフトウェア製品における複数の脆弱性
https://jvn.jp/vu/JVNVU93817405/
概要
三菱電機株式会社が提供する複数のFAエンジニアリングソフトウェア製品に は、複数の脆弱性が存在します。結果として、攻撃者が細工したプロジェクト ファイルを当該ソフトウェア製品で開いた場合、当該ソフトウェア製品がサー ビス運用妨害(DoS)状態になる可能性があります。 対象となる製品およびバージョンは次のとおりです。 - GX Works2 Ver. 1.606Gおよびそれ以前 - MELSOFT Navigator Ver. 2.84Nおよびそれ以前 - EZSocketすべてのバージョン この問題について、三菱電機株式会社より修正済みのバージョンの提供または 脆弱性の影響を軽減するための回避策に関する情報が提供されています。詳細 は、三菱電機株式会社が提供する情報を参照してください。
関連文書 (日本語)
三菱電機株式会社
複数の FA エンジニアリングソフトウェア製品における複数のサービス拒否(DoS)の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-021.pdf
【5】複数のオムロン製品に脆弱性
情報源
Japan Vulnerability Notes JVNVU#97111518
オムロン製SYSMAC CS/CJ/CPシリーズおよびNJ/NXシリーズにおける複数の脆弱性
https://jvn.jp/vu/JVNVU97111518/Japan Vulnerability Notes JVNVU#97050784
オムロン製複数製品における複数の脆弱性
https://jvn.jp/vu/JVNVU97050784/
概要
複数のオムロン製品には、脆弱性が存在します。結果として、サービス運用 妨害(DoS)攻撃や任意のプログラムが実行されるなどの可能性があります。 対象となる製品は、多岐にわたります。詳細や最新の情報については、オムロ ン株式会社が提供するアドバイザリ情報を参照してください。 この問題について、オムロン株式会社より修正済みのバージョンの提供または 脆弱性の影響を軽減するための回避策に関する情報が提供されています。詳細 は、オムロン株式会社が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes
オムロン株式会社からの情報
https://jvn.jp/vu/JVNVU97111518/995504/オムロン株式会社
マシンオートメーションコントローラ NJ/NX シリーズの通信機能における認証回避の脆弱性
https://www.fa.omron.co.jp/product/vulnerability/OMSR-2022-001_ja.pdfオムロン株式会社
マシンオートメーションコントローラ NJ/NX シリーズにおける悪意のあるプログラムが実行される脆弱性
https://www.fa.omron.co.jp/product/vulnerability/OMSR-2022-002_ja.pdf
■今週のひとくちメモ
○JPCERT/CC 感謝状 2022
JPCERT/CCは、2014年4月より、国内においてサイバーセキュリティインシデン トの被害の低減に大きく貢献した方へ感謝の意を表することを目的に、感謝状 制度を制定しています。2022年度は第9回目を迎えました。 JPCERT/CCは、多くの報告者の方々に日々ご協力いただいております。 JPCERT/CC に報告をくださったすべての方々に、この場を借りて感謝申し上げます。引き 続きJPCERT/CCの活動にご協力いただければと存じます。
参考文献 (日本語)
JPCERT/CC
JPCERT/CC 感謝状 2022
https://www.jpcert.or.jp/award/appreciation-award/2022.html
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/