<<< JPCERT/CC WEEKLY REPORT 2022-12-21 >>>
■12/11(日)〜12/17(土) のセキュリティ関連情報
目 次
【1】複数のCitrix製品に任意のコード実行の脆弱性
【2】FortiOSにヒープベースのバッファーオーバーフローの脆弱性
【3】複数のマイクロソフト製品に脆弱性
【4】複数のApple製品に脆弱性
【5】複数のMozilla製品に脆弱性
【6】Drupalの複数のモジュールに脆弱性
【7】複数のVMware製品に脆弱性
【8】Sambaに複数の脆弱性
【9】複数のアドビ製品に脆弱性
【10】Redmineにクロスサイトスクリプティングの脆弱性
【11】OpenSSLのX.509ポリシー制限における二重ロックの問題
【12】シャープ製デジタル複合機にコマンドインジェクションの脆弱性
【今週のひとくちメモ】日本シーサート協議会が「CSIRT人材の育成 Ver1.0」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr225001.txt
https://www.jpcert.or.jp/wr/2022/wr225001.xml
【1】複数のCitrix製品に任意のコード実行の脆弱性
情報源
CISA Current Activity
Citrix Releases Security Updates for Citrix ADC, Citrix Gateway
https://www.cisa.gov/uscert/ncas/current-activity/2022/12/13/citrix-releases-security-updates-citrix-adc-citrix-gateway
概要
複数のCitrix製品には、脆弱性があります。結果として、遠隔の第三者が任意 のコードを実行する可能性があります。 対象となる製品は次のとおりです。 - Citrix ADCおよびCitrix Gateway 13.0-58.32より前の13系のバージョン - Citrix ADCおよびCitrix Gateway 12.1-65.25より前の12.1系のバージョン - Citrix ADC 12.1-FIPS 12.1-55.291より前の12.1-FIPS系のバージョン - Citrix ADC 12.1-NDcPP 12.1-55.291より前の12.1-NDcPP系のバージョン この問題は、該当する製品をCitrixが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Citrixが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC 注意喚起
Citrix ADCおよびCitrix Gatewayの脆弱性(CVE-2022-27518)に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220033.html
関連文書 (英語)
Citrix
Citrix ADC and Citrix Gateway Security Bulletin for CVE-2022-27518
https://support.citrix.com/article/CTX474995/citrix-adc-and-citrix-gateway-security-bulletin-for-cve202227518
【2】FortiOSにヒープベースのバッファーオーバーフローの脆弱性
情報源
CISA Current Activity
Fortinet Releases Security Updates for FortiOS
https://www.cisa.gov/uscert/ncas/current-activity/2022/12/12/fortinet-releases-security-updates-fortios
概要
FortiOSには、ヒープベースのバッファーオーバーフローの脆弱性があります。 結果として、認証されていない遠隔の第三者が任意のコードやコマンドを実行 する可能性があります。 対象となる製品は次のとおりです。 - FortiOS バージョン 7.2.0から7.2.2まで - FortiOS バージョン 7.0.0から7.0.8まで - FortiOS バージョン 6.4.0から6.4.10まで - FortiOS バージョン 6.2.0から6.2.11まで - FortiOS バージョン 6.0.0から6.0.15まで - FortiOS バージョン 5.6.0から5.6.14まで - FortiOS バージョン 5.4.0から5.4.13まで - FortiOS バージョン 5.2.0から5.2.15まで - FortiOS バージョン 5.0.0から5.0.14まで - FortiOS-6K7K バージョン 7.0.0から7.0.7まで - FortiOS-6K7K バージョン 6.4.0から6.4.9まで - FortiOS-6K7K バージョン 6.2.0から6.2.11まで - FortiOS-6K7K バージョン 6.0.0から6.0.14まで この問題は、該当する製品をFortinetが提供する修正済みのバージョンに更新 することで解決します。詳細は、Fortinetが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC 注意喚起
FortiOSのヒープベースのバッファーオーバーフローの脆弱性(CVE-2022-42475)に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220032.html
関連文書 (英語)
Fortinet
FortiOS - heap-based buffer overflow in sslvpnd
https://www.fortiguard.com/psirt/FG-IR-22-398
【3】複数のマイクロソフト製品に脆弱性
情報源
CISA Current Activity
Microsoft Releases December 2022 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/12/13/microsoft-releases-december-2022-security-updates
概要
複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三 者が任意のコードを実行するなどの可能性があります。 この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく ださい。
関連文書 (日本語)
マイクロソフト株式会社
2022 年 12 月のセキュリティ更新プログラム (月例)
https://msrc-blog.microsoft.com/2022/12/13/202212-security-update/JPCERT/CC 注意喚起
2022年12月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2022/at220034.html
【4】複数のApple製品に脆弱性
情報源
CISA Current Activity
Apple Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/12/13/apple-releases-security-updates-multiple-products
概要
複数のApple製品には、脆弱性があります。結果として、第三者が任意のコー ドを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - iOS 16.2より前のバージョン - iOS 15.7.2より前のバージョン - iPadOS 16.2より前のバージョン - iPadOS 15.7.2より前のバージョン - macOS Ventura 13.1より前のバージョン - macOS Monterey 12.6.2より前のバージョン - macOS Big Sur 11.7.2より前のバージョン - tvOS 16.2より前のバージョン - watchOS 9.2より前のバージョン - Safari 16.2より前のバージョン - iCloud for Windows 14.1より前のバージョン この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Appleが提供する情報を参照してください。
関連文書 (日本語)
Apple
iOS 16.2 および iPadOS 16.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213530Apple
iOS 15.7.2 および iPadOS 15.7.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213531Apple
macOS Ventura 13.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213532Apple
macOS Monterey 12.6.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213533Apple
macOS Big Sur 11.7.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213534Apple
tvOS 16.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213535Apple
watchOS 9.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213536Apple
Safari 16.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213537Apple
Windows 用 iCloud 14.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213538
【5】複数のMozilla製品に脆弱性
情報源
CISA Current Activity
Mozilla Releases Security Updates for Thunderbird and Firefox
https://www.cisa.gov/uscert/ncas/current-activity/2022/12/13/mozilla-releases-security-updates-thunderbird-and-firefox
概要
複数のMozilla製品には、複数の脆弱性があります。結果として、攻撃者が対 象のMozilla製品をクラッシュさせるなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Mozilla Firefox 108より前のバージョン - Mozilla Firefox ESR 102.6より前のバージョン - Mozilla Thunderbird 102.6より前のバージョン この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新 することで解決します。詳細は、Mozillaが提供する情報を参照してください。
関連文書 (英語)
Mozilla
Mozilla Foundation Security Advisory 2022-51
https://www.mozilla.org/en-US/security/advisories/mfsa2022-51/Mozilla
Mozilla Foundation Security Advisory 2022-52
https://www.mozilla.org/en-US/security/advisories/mfsa2022-52/Mozilla
Mozilla Foundation Security Advisory 2022-53
https://www.mozilla.org/en-US/security/advisories/mfsa2022-53/
【6】Drupalの複数のモジュールに脆弱性
情報源
CISA Current Activity
Drupal Releases Security Updates to Address Vulnerabilities in H5P and File (Field) Paths
https://www.cisa.gov/uscert/ncas/current-activity/2022/12/15/drupal-releases-security-updates-address-vulnerabilities-h5p-and
概要
Drupalの複数のモジュールに脆弱性があります。結果として、攻撃者が任意の コードを実行するなどの可能性があります。 対象となるモジュールおよびバージョンは次のとおりです。 - H5P 7.x-1.51より前のバージョン - File (Field) Paths 7.x-1.2より前のバージョン この問題は、Drupalが提供する修正済みのバージョンに更新することで解決し ます。詳細は、Drupalが提供する情報を参照してください。
関連文書 (英語)
Drupal
H5P - Create and Share Rich Content and Applications - Moderately critical - Remote Code Execution - SA-CONTRIB-2022-064
https://www.drupal.org/sa-contrib-2022-064Drupal
File (Field) Paths - Moderately critical - Access bypass - SA-CONTRIB-2022-065
https://www.drupal.org/sa-contrib-2022-065
【7】複数のVMware製品に脆弱性
情報源
CISA Current Activity
VMware Releases Security Updates for Multiple products
https://www.cisa.gov/uscert/ncas/current-activity/2022/12/13/vmware-releases-security-updates-multiple-products
概要
複数のVMware製品には、脆弱性があります。結果として、攻撃者がコマンドを 実行するなどの可能性があります。 対象となる製品は次のとおりです。 - VMware vRealize Network Insight (vRNI) - VMware ESXi - VMware Fusion - VMware Cloud Foundation - VMware Workstation この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す るか、回避策を適用することで解決します。詳細は、VMwareが提供する情報を 参照してください。
関連文書 (英語)
VMware
VMSA-2022-0031
https://www.vmware.com/security/advisories/VMSA-2022-0031.htmlVMware
VMSA-2022-0033
https://www.vmware.com/security/advisories/VMSA-2022-0033.html
【8】Sambaに複数の脆弱性
情報源
CISA Current Activity
Samba Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/12/16/samba-releases-security-updates
概要
Sambaには、複数の脆弱性があります。結果として、遠隔のユーザーが権限を 昇格するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Samba 4.17.4より前のバージョン - Samba 4.16.8より前のバージョン - Samba 4.15.13より前のバージョン この問題は、SambaをThe Samba Teamが提供する修正済みのバージョンに更新 することで解決します。詳細は、The Samba Teamが提供する情報を参照してく ださい。
関連文書 (英語)
The Samba Team
CVE-2022-38023.html:
https://www.samba.org/samba/security/CVE-2022-38023.htmlThe Samba Team
CVE-2022-37966.html:
https://www.samba.org/samba/security/CVE-2022-37966.htmlThe Samba Team
CVE-2022-37967.html:
https://www.samba.org/samba/security/CVE-2022-37967.htmlThe Samba Team
CVE-2022-45141.html:
https://www.samba.org/samba/security/CVE-2022-45141.html
【9】複数のアドビ製品に脆弱性
情報源
アドビ
Security updates available for Adobe Campaign Classic | APSB22-58
https://helpx.adobe.com/security/products/campaign/apsb22-58.htmlアドビ
Security updates available for Adobe Experience Manager | APSB22-59
https://helpx.adobe.com/security/products/experience-manager/apsb22-59.htmlアドビ
Security Updates Available for Adobe Illustrator | APSB22-60
https://helpx.adobe.com/security/products/illustrator/apsb22-60.html
概要
複数のアドビ製品には、脆弱性があります。結果として、当該製品にアクセス したユーザーのWebブラウザー上で、任意のコードが実行されるなどの可能性 があります。 対象となる製品およびバージョンは次のとおりです。 - Adobe Campaign Classic 7.3.1およびそれ以前のバージョン - Adobe Campaign Classic 8.3.9およびそれ以前のバージョン - Adobe Experience Manager Cloud Service Release 2022.10.0より前のバージョン - Adobe Experience Manager 6.5.14.0およびそれ以前のバージョン - Adobe Illustrator 2022 26.5.1およびそれ以前のバージョン - Adobe Illustrator 2023 27.0およびそれ以前のバージョン この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す ることで解決します。詳細は、アドビが提供する情報を参照してください。
【10】Redmineにクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#60211811
Redmine におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN60211811/
概要
Redmineには、クロスサイトスクリプティングの脆弱性があります。結果とし て、当該製品を使用しているユーザーのWebブラウザ上で、任意のスクリプト を実行される可能性があります。 対象となるバージョンは次のとおりです。 - Redmine すべてのバージョン この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ とで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (英語)
Redmine
Redmine Security Advisories
https://www.redmine.org/projects/redmine/wiki/Security_Advisories
【11】OpenSSLのX.509ポリシー制限における二重ロックの問題
情報源
Japan Vulnerability Notes JVNVU#96155097
OpenSSLのX.509ポリシー制限における二重ロックの問題
https://jvn.jp/vu/JVNVU96155097/
概要
OpenSSLのX.509証明書に不正なポリシー制限が含まれていて、ポリシー処理が 有効な場合、書き込みロックが二重に行われる問題があります。結果として、 一部のオペレーティングシステム(最も一般的なのは Windows)では、影響を受 けるプロセスがハングし、サービス運用妨害(DoS)状態となる可能性があり ます。 対象となるバージョンは次のとおりです。 - OpenSSL 3.0.0から3.0.7 OpenSSL 1.1.1および1.0.2は、本脆弱性の影響を受けないとのことです。 OpenSSLによると、本脆弱性の深刻度が低であるため、修正は提供されていま せん。ただし、開発者向けに回避策を提示しています。詳細は、OpenSSLが提 供する情報を参照してください。
関連文書 (英語)
OpenSSL Project
OpenSSL Security Advisory [13 December 2022]
https://www.openssl.org/news/secadv/20221213.txtopenssl/openssl
x509 fix double locking problem
https://github.com/openssl/openssl/commit/7725e7bfe6f2ce8146b6552b44e0d226be7638e7
【12】シャープ製デジタル複合機にコマンドインジェクションの脆弱性
情報源
Japan Vulnerability Notes JVNVU#96195138
シャープ製デジタル複合機におけるコマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU96195138/
概要
シャープ株式会社が提供する複数のデジタル複合機には、コマンドインジェク ションの脆弱性があります。結果として、管理者権限でログイン可能な攻撃者 により、複合機のファームウェア上で任意のコマンドが実行される可能性があ ります。 影響を受ける製品、機種名、ファームウェアバージョンは多岐にわたります。 詳しくは、開発者が提供する情報をご確認ください。 この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ とで解決します。また、回避策が提示されています。詳細は、開発者が提供す る情報を参照してください。
関連文書 (日本語)
シャープ株式会社
弊社複合機におけるセキュリティ脆弱性について
https://jp.sharp/business/print/information/info_security_2022-11.html
■今週のひとくちメモ
○日本シーサート協議会が「CSIRT人材の育成 Ver1.0」を公開
2022年12月13日、日本シーサート協議会は、「CSIRT人材の育成 Ver1.0」を公 開しました。 本資料では、「CSIRT人材の定義と確保 Ver.2.1」により定義されたCSIRTに必 要な役割とスキルをベースとして、その役割毎にどのように育成していくのか という解決策、また要員不足に対しては兼任できる役割をグループ化して育成 するという解決策をWGメンバーのベストプラクティスとして集約し作成したも のになります。CSIRT人材の育成方法について悩まれている組織のCSIRT活動の 参考にしてください。
参考文献 (日本語)
日本シーサート協議会
CSIRT人材の育成 Ver1.0
https://www.nca.gr.jp/activity/imgs/development-hr20220331.pdf
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/