<<< JPCERT/CC WEEKLY REPORT 2022-08-03 >>>
■07/24(日)〜07/30(土) のセキュリティ関連情報
目 次
【1】Sambaに複数の脆弱性
【2】複数のMozilla製品に脆弱性
【3】SonicWall Global Management SystemおよびAnalyticsにSQLインジェクションの脆弱性
【4】複数のCitrix製品に脆弱性
【5】ニンテンドーWi-Fiネットワークアダプタに複数の脆弱性
【6】「JUSTオンラインアップデート for J-License」における実行ファイルのパスが引用符で囲まれていない脆弱性
【7】「Hulu/フールー」iOSアプリにサーバー証明書の検証不備の脆弱性
【8】WordPress用プラグインNewsletterにクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】JPCERT/CCが「サイバー政策動向を知ろう Watch! Cyber World vol.3 | 中国の法整備」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr223001.txt
https://www.jpcert.or.jp/wr/2022/wr223001.xml
【1】Sambaに複数の脆弱性
情報源
CISA Current Activity
Samba Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/07/27/samba-releases-security-updates
概要
Sambaには、複数の脆弱性があります。結果として、攻撃者がドメインの管理 者権限を取得するなどの可能性があります。 影響を受けるバージョンは多岐にわたります。詳細は、The Samba Teamが提供 するアドバイザリ情報を参照してください。 この問題は、SambaをThe Samba Teamが提供する修正済みのバージョンに更新 することで解決します。詳細は、The Samba Teamが提供する情報を参照してく ださい。
関連文書 (英語)
The Samba Team
Samba Security Releases
https://www.samba.org/samba/history/security.html
【2】複数のMozilla製品に脆弱性
情報源
Mozilla
Mozilla Foundation Security Advisories
https://www.mozilla.org/en-US/security/advisories/
概要
複数のMozilla製品には、脆弱性があります。結果として、攻撃者が任意の コードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Mozilla Firefox 103より前のバージョン - Mozilla Firefox ESR 91.12より前のバージョン - Mozilla Firefox ESR 102.1より前のバージョン - Mozilla Thunderbird 91.12より前のバージョン - Mozilla Thunderbird 102.1より前のバージョン この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新 することで解決します。詳細は、Mozillaが提供する情報を参照してください。
関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 103
https://www.mozilla.org/en-US/security/advisories/mfsa2022-28/Mozilla
Security Vulnerabilities fixed in Firefox ESR 91.12
https://www.mozilla.org/en-US/security/advisories/mfsa2022-29/Mozilla
Security Vulnerabilities fixed in Firefox ESR 102.1
https://www.mozilla.org/en-US/security/advisories/mfsa2022-30/Mozilla
Security Vulnerabilities fixed in Thunderbird 91.12
https://www.mozilla.org/en-US/security/advisories/mfsa2022-31/Mozilla
Security Vulnerabilities fixed in Thunderbird 102.1
https://www.mozilla.org/en-US/security/advisories/mfsa2022-32/
【3】SonicWall Global Management SystemおよびAnalyticsにSQLインジェクションの脆弱性
情報源
SonicWall
Unauthenticated SQL Injection in SonicWall GMS and Analytics
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2022-0007
概要
SonicWall Global Management SystemおよびAnalyticsには、SQLインジェク ションの脆弱性があります。結果として、遠隔の第三者がデータベースを不正 に操作する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - SonicWall Global Management System 9.3.1-SP2-Hotfix1およびそれ以前 - SonicWall Analytics 2.5.0.3-2520およびそれ以前 この問題は、SonicWallが提供するパッチを適用することで解決します。詳細 は、SonicWallが提供する情報を参照してください。
関連文書 (英語)
SonicWall
Security Notice: SonicWall GMS SQL Injection Vulnerability
https://www.sonicwall.com/support/knowledge-base/security-notice-sonicwall-gms-sql-injection-vulnerability/220613083124303/
【4】複数のCitrix製品に脆弱性
情報源
Citrix
Citrix ADC and Citrix Gateway Security Bulletin for CVE-2022-27509
https://support.citrix.com/article/CTX457836/
概要
複数のCitrix製品には、データの信頼性確認が不十分である脆弱性があります。 結果として、攻撃者が特別に細工したURLを用意し、不正なWebサイトにリダイ レクトさせる可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Citrix ADCおよびCitrix Gateway 13.1-24.38より前の13.1系のバージョン - Citrix ADCおよびCitrix Gateway 13.0-86.17より前の13.0系のバージョン - Citrix ADCおよびCitrix Gateway 12.1-65.15より前の12.1系のバージョン - Citrix ADC 12.1-FIPS 12.1-55.282より前のバージョン - Citrix ADC 12.1-NDcPP 12.1-55.282より前のバージョン この問題は、該当する製品をCitrixが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Citrixが提供する情報を参照してください。
【5】ニンテンドーWi-Fiネットワークアダプタに複数の脆弱性
情報源
Japan Vulnerability Notes JVNVU#17625382
ニンテンドーWi-Fiネットワークアダプタ WAP-001 における複数の脆弱性
https://jvn.jp/jp/JVN17625382/
概要
任天堂株式会社が提供するニンテンドーWi-FiネットワークアダプタWAP-001 には、複数の脆弱性が存在します。結果として、当該製品の管理画面にログイ ン可能なユーザーが任意のコードやOSコマンドを実行するなどの可能性があり ます。 対象となる製品およびバージョンは次のとおりです。 - ニンテンドーWi-FiネットワークアダプタWAP-001すべてのバージョン 当該製品のサポートはすでに終了しているため、開発者によると恒久的な対策 として、製品の使用を中止するようアナウンスされています。詳細は、開発者 が提供する情報を参照してください。
関連文書 (日本語)
任天堂株式会社
「ニンテンドーWi-Fi USBコネクタ」および「ニンテンドーWi-Fiネットワークアダプタ」使用中止のお願い
https://www.nintendo.co.jp/support/information/2022/0720.html
【6】「JUSTオンラインアップデート for J-License」における実行ファイルのパスが引用符で囲まれていない脆弱性
情報源
Japan Vulnerability Notes JVNVU#57073973
「JUSTオンラインアップデート for J-License」が特定のプログラムを起動する際に実行ファイルのパスが引用符で囲まれていない脆弱性
https://jvn.jp/jp/JVN57073973/
概要
複数の法人ユーザー向けジャストシステム製品に同梱されている「JUSTオンラ インアップデート for J-License」は、特定のプログラムを実行する際に実行 ファイルのパスが引用符で囲まれていない脆弱性が存在します。結果として、 攻撃者が当該Windowsサービスの実行権限で不正なファイルを実行する可能性 があります。 対象となる製品は多岐に渡ります。詳細は株式会社ジャストシステムが提供す る情報を参照してください。 この問題は、株式会社ジャストシステムが提供する修正済みのバージョンに更 新することで解決します。詳細は、株式会社ジャストシステムが提供する情報 を参照してください。
関連文書 (日本語)
株式会社ジャストシステム
[JS22001]ライセンス商品に添付のオンラインアップデート機能の脆弱性対策
https://www.justsystems.com/jp/corporate/info/js22001.html
【7】「Hulu/フールー」iOSアプリにサーバー証明書の検証不備の脆弱性
情報源
Japan Vulnerability Notes JVN#81563390
iOS アプリ「Hulu / フールー」におけるサーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN81563390/
概要
HJホールディングス株式会社が提供する「Hulu/フールー」iOSアプリには、 サーバー証明書の検証不備の脆弱性があります。結果として、悪意のある第三 者が中間者攻撃による暗号通信の盗聴を行う可能性があります。 対象となる製品およびバージョンは次のとおりです。 - iOSアプリ「Hulu/フールー」バージョン3.0.81より前のバージョン この問題は、HJホールディングス株式会社が提供する修正済みのバージョンに 更新することで解決します。詳細は、HJホールディングス株式会社が提供する 情報を参照してください。
関連文書 (日本語)
HJホールディングス株式会社
【脆弱性情報】「Hulu / フールー」iOS版における SSL サーバ証明書の検証不備の脆弱性に関するお知らせ
https://help.hulu.jp/hc/ja/articles/8358166490649/
【8】WordPress用プラグインNewsletterにクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#77850327
WordPress 用プラグイン Newsletter におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN77850327/
概要
WordPress用プラグインNewsletterには、クロスサイトスクリプティングの脆 弱性が存在します。結果として、当該プラグインを使用しているWordPressに 管理者権限でログインしているユーザーのWebブラウザー上で、任意のスクリ プトを実行される可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Newsletter 7.4.5より前のバージョン この問題は、開発者が提供する修正済みのバージョンに更新することで解決し ます。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
Stefano Lissa & The Newsletter Team
Newsletter - Send awesome emails from WordPress
https://ja.wordpress.org/plugins/newsletter/
■今週のひとくちメモ
○JPCERT/CCが「サイバー政策動向を知ろう Watch! Cyber World vol.3 | 中国の法整備」を公開
2022年7月29日、JPCERT/CCは「サイバー政策動向を知ろう Watch! Cyber World vol.3 | 中国の法整備」をJPCERT/CC Eyesで公開しました。JPCERT/CC は、サイバーセキュリティ政策に関する諸外国の動向調査として政府機関、国 際機関、企業などのニュースの収集を行っています。 vol.3となる今回は、中国におけるサイバーセキュリティ関連の法整備に関し て解説しています。
参考文献 (日本語)
JPCERT/CC Eyes
サイバー政策動向を知ろう Watch! Cyber World vol.3 | 中国の法整備
https://blogs.jpcert.or.jp/ja/2022/07/cyberworld3.html
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/