<<< JPCERT/CC WEEKLY REPORT 2022-04-06 >>>
■03/27(日)〜04/02(土) のセキュリティ関連情報
目 次
【1】Google Chromeに複数の脆弱性
【2】複数のApple製品に脆弱性
【3】Spring Frameworkに任意のコード実行の脆弱性
【4】Trend Micro Apex CentralおよびTrend Micro Apex Central as a Serviceにファイルコンテンツの検証不備の脆弱性
【5】オムロン製CX-Positionに複数の脆弱性
【6】複数の三菱電機製FA製品に脆弱性
【7】アタッシェケースにDLL読み込み不備の脆弱性
【8】WordPress用プラグインAdvanced Custom Fieldsに認証欠如の脆弱性
【9】ぜろちゃんねるプラスにクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】IPAが「クラウドサービスのサプライチェーンリスクマネジメント調査」の結果を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr221401.txt
https://www.jpcert.or.jp/wr/2022/wr221401.xml
【1】Google Chromeに複数の脆弱性
情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/30/google-releases-security-updates-chrome
概要
Google Chromeには、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 100.0.4896.60より前のバージョン この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新 することで解決します。詳細は、Googleが提供する情報を参照してください。
関連文書 (英語)
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/03/stable-channel-update-for-desktop_29.html
【2】複数のApple製品に脆弱性
情報源
CISA Current Activity
Apple Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/04/01/apple-releases-security-updates-0
概要
複数のApple製品には、脆弱性があります。結果として、遠隔の第三者が任意 のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - iOS 15.4.1より前のバージョン - iPadOS 15.4.1より前のバージョン - macOS Monterey 12.3.1より前のバージョン この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Appleが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Apple製品のアップデートについて(2022年4月)
https://www.jpcert.or.jp/newsflash/2022040102.htmlApple
iOS 15.4.1 および iPadOS 15.4.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213219Apple
macOS Monterey 12.3.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213220
【3】Spring Frameworkに任意のコード実行の脆弱性
情報源
Japan Vulnerability Notes JVNVU#94675398
Spring Frameworkにおける不適切なデータバインディング処理による任意コード実行の脆弱性
https://jvn.jp/vu/JVNVU94675398/
概要
Spring Frameworkには、データバインディングで使用するPropertyDescriptor オブジェクトを安全に処理しない脆弱性があります。結果として、遠隔の第三 者がアプリケーションの権限で任意のコードを実行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Spring Framework バージョン5.3.0から5.3.17 - Spring Framework バージョン5.2.0から5.2.19 この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Spring Frameworkの任意のコード実行の脆弱性(CVE-2022-22965)について
https://www.jpcert.or.jp/newsflash/2022040101.html
関連文書 (英語)
VMWare
CVE-2022-22965: Spring Framework RCE via Data Binding on JDK 9+
https://tanzu.vmware.com/security/cve-2022-22965VMWare
Spring Framework RCE, Early Announcement
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
【4】Trend Micro Apex CentralおよびTrend Micro Apex Central as a Serviceにファイルコンテンツの検証不備の脆弱性
情報源
Japan Vulnerability Notes JVNVU#99107357
Trend Micro Apex CentralおよびTrend Micro Apex Central as a Serviceにおけるファイルコンテンツの検証不備の脆弱性
https://jvn.jp/vu/JVNVU99107357/
概要
トレンドマイクロ株式会社が提供するTrend Micro Apex CentralおよびTrend Micro Apex Central as a Service(Apex One SaaSのApex Central機能部分) には、ファイルコンテンツの検証不備の脆弱性があります。結果として、遠隔 の第三者が任意のファイルをアップロードし、任意のコードを実行する可能性 があります。 対象となる製品およびバージョンは次のとおりです。 - Trend Micro Apex Central 2019 Build 6016より前のバージョン - Trend Micro Apex Central as a Service(Apex One SaaSのApex Central機能部分)Build 202203より前のバージョン この問題は、該当する製品にトレンドマイクロ株式会社が提供する修正パッチ を適用することで解決します。詳細は、トレンドマイクロ株式会社が提供する 情報を参照してください。
関連文書 (日本語)
JPCERT/CC 注意喚起
Trend Micro Apex Central製品の脆弱性(CVE-2022-26871)に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220008.htmlトレンドマイクロ株式会社
アラート/アドバイザリ:CVE-2022-26871 Apex CentralおよびApex Central (SaaS)で任意のファイルがアップロードされる脆弱性について(2022年3月)
https://success.trendmicro.com/jp/solution/000290660トレンドマイクロ株式会社
【注意喚起】Trend Micro Apex Centralの脆弱性を悪用した攻撃を確認したことによる修正プログラム適用のお願い(CVE-2022-26871)
https://appweb.trendmicro.com/supportNews/NewsDetail.aspx?id=4435
【5】オムロン製CX-Positionに複数の脆弱性
情報源
Japan Vulnerability Notes JVNVU#96756124
オムロン製CX-Positionにおける複数の脆弱性
https://jvn.jp/vu/JVNVU96756124/
概要
オムロン株式会社が提供するCX-Positionには、複数の脆弱性があります。結 果として、第三者が任意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - CX-Position 2.5.3およびそれ以前のバージョン この問題は、該当する製品をオムロン株式会社が提供する修正済みのバージョ ンに更新することで解決します。詳細は、オムロン株式会社が提供する情報を 参照してください。
関連文書 (日本語)
オムロン株式会社
CX-One バージョンアップ プログラム ダウンロード
https://www.fa.omron.co.jp/product/tool/26/cxone/one1.html
【6】複数の三菱電機製FA製品に脆弱性
情報源
Japan Vulnerability Notes JVNVU#96577897
三菱電機製FA製品における複数の脆弱性
https://jvn.jp/vu/JVNVU96577897/
概要
三菱電機株式会社が提供する複数のFA製品には、脆弱性があります。結果と して、遠隔の第三者が当該製品へ不正ログインするなどの可能性があります。 対象となる製品は次のとおりです。 - iQ-Fシリーズ FX5U(C) CPUユニット 全機種 全バージョン - iQ-Fシリーズ FX5UJ CPUユニット 全機種 全バージョン この問題について、三菱電機株式会社より脆弱性の影響を軽減するための回避 策に関する情報が提供されています。詳細は、三菱電機株式会社が提供する情 報を参照してください。
関連文書 (日本語)
三菱電機株式会社
複数の FA 製品における認証回避、情報漏えい及び情報改ざんの脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-031.pdf
【7】アタッシェケースにDLL読み込み不備の脆弱性
情報源
Japan Vulnerability Notes JVN#10140834
アタッシェケースにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN10140834/
概要
HiBARA Softwareが提供するアタッシェケースには、DLL読み込みに関する脆弱 性があります。結果として、第三者がアタッシュケースの実行ファイルを実行 している権限で、任意のコードを実行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - アタッシェケース ver.4.0.2.7およびそれ以前のバージョン - アタッシェケース ver.3.6.1.0およびそれ以前のバージョン この問題は、該当する製品をHiBARA Softwareが提供する修正済みのバージョ ンに更新することで解決します。詳細は、HiBARA Softwareが提供する情報を 参照してください。
関連文書 (日本語)
HiBARA Software
アタッシェケース4( 正式版 )
https://hibara.org/software/attachecase/
【8】WordPress用プラグインAdvanced Custom Fieldsに認証欠如の脆弱性
情報源
Japan Vulnerability Notes JVN#42543427
WordPress 用プラグイン Advanced Custom Fields における認証欠如の脆弱性
https://jvn.jp/jp/JVN42543427/
概要
WordPress用プラグインAdvanced Custom Fieldsには、認証欠如の脆弱性があ ります。結果として、遠隔の第三者がデータベース上のアクセス権限のないデー タを閲覧する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Advanced Custom Fields 5.12.1より前のバージョン - Advanced Custom Fields Pro 5.12.1より前のバージョン この問題は、該当する製品をDelicious Brainsが提供する修正済みのバージョ ンに更新することで解決します。詳細は、Delicious Brainsが提供する情報を 参照してください。
関連文書 (日本語)
Delicious Brains
Advanced Custom Fields
https://ja.wordpress.org/plugins/advanced-custom-fields/
関連文書 (英語)
Delicious Brains
Edit smarter with Advanced Custom Fields for WordPress Developers.
https://www.advancedcustomfields.com/
【9】ぜろちゃんねるプラスにクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#59576930
ぜろちゃんねるプラスにおけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN59576930/
概要
ぜろちゃんねるプラスには、クロスサイトスクリプティングの脆弱性がありま す。結果として、当該製品の管理画面にアクセスしたユーザーのウェブブラウ ザー上で、任意のスクリプトを実行され、管理アカウントを作成されるなどの 可能性があります。 対象となる製品およびバージョンは次のとおりです。 - ぜろちゃんねるプラス 0.7.4およびそれ以前のバージョン この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
ぜろちゃんねるプラス開発チーム
zerochplus 0.7.5
https://osdn.net/projects/zerochplus/releases/77053
■今週のひとくちメモ
○IPAが「クラウドサービスのサプライチェーンリスクマネジメント調査」の結果を公開
2022年3月30日、独立行政法人情報処理推進機構(IPA)は、「クラウドサービ スのサプライチェーンリスクマネジメント調査」の結果を公開しました。クラ ウドサービスの利用が増加するなか、特に利用されているSaaSに焦点を当て、 SaaS事業者へのインタビュー調査などを実施し、ITサプライチェーンのリスク マネジメントの向上に資するため、SaaSのサプライチェーンのインシデント情 報の収集と分析および脅威、リスク、今後の課題などを明らかにした内容となっ ています。
参考文献 (日本語)
独立行政法人情報処理推進機構
クラウドサービスのサプライチェーンリスクマネジメント調査
https://www.ipa.go.jp/security/fy2021/reports/scrm/index-cloud.html
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/