<<< JPCERT/CC WEEKLY REPORT 2022-08-31 >>>
■08/21(日)〜08/27(土) のセキュリティ関連情報
目 次
【1】Movable TypeのXMLRPC APIにおけるコマンドインジェクションの脆弱性
【2】VMware Toolsに権限昇格の脆弱性
【3】複数のMozilla製品に脆弱性
【4】複数のCisco製品に脆弱性
【5】ユニモテクノロジー製デジタルビデオレコーダにおける重要な機能に対する認証の欠如の脆弱性
【6】PukiWikiにおける複数の脆弱性
【7】Exmentにおける複数の脆弱性
【8】Hardening Designers Conference 2022開催のお知らせ
【今週のひとくちメモ】JAIPA Cloud Conference 2022開催のお知らせ
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr223401.txt
https://www.jpcert.or.jp/wr/2022/wr223401.xml
【1】Movable TypeのXMLRPC APIにおけるコマンドインジェクションの脆弱性
情報源
Japan Vulnerability Notes JVN#57728859
Movable Type の XMLRPC API におけるコマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN57728859/
概要
シックス・アパート株式会社が提供するMovable TypeのXMLRPC APIには、コマン ドインジェクションの脆弱性が存在します。結果として、遠隔の第三者が任意 のOSコマンドを実行する可能性があります。 対象となる製品とバージョンは次のとおりです。 - Movable Type 7 r.5202 およびそれ以前 (Movable Type 7系) - Movable Type Advanced 7 r.5202 およびそれ以前 (Movable Type Advanced 7系) - Movable Type 6.8.6 およびそれ以前 (Movable Type 6系) - Movable Type Advanced 6.8.6 およびそれ以前 (Movable Type Advanced 6系) - Movable Type Premium 1.52 およびそれ以前 - Movable Type Premium Advanced 1.52 およびそれ以前 この問題は、開発者が提供する修正済みのバージョンに更新または回避策とし てMovable TypeのXMLRPC API機能を無効化することで解決します。詳細は、開 発者が提供する情報を参照してください。
関連文書 (日本語)
シックス・アパート株式会社
[重要] Movable Type 7 r.5301 / Movable Type 6.8.7 / Movable Type Premium 1.53 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2022/08/24-1100.html
【2】VMware Toolsに権限昇格の脆弱性
情報源
CISA Current Activity
VMware Releases Security Update
https://www.cisa.gov/uscert/ncas/current-activity/2022/08/23/vmware-releases-security-update
概要
VMware Toolsには、権限昇格の脆弱性があります。結果として、ゲストOSのユー ザが権限を昇格する可能性があります。 対象となるバージョンは次のとおりです。 - VMware Tools 12.1.0より前の10系、11系、12系のバージョン(Windows) - VMware Tools 12.1.0より前の11系、12系のバージョン(Linux) - VMware Tools 10.3.25より前の10系のバージョン(Linux) この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す ることで解決します。詳細は、VMwareが提供する情報を参照してください。
関連文書 (英語)
VMware
VMSA-2022-0024
https://www.vmware.com/security/advisories/VMSA-2022-0024.html
【3】複数のMozilla製品に脆弱性
情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird
https://www.cisa.gov/uscert/ncas/current-activity/2022/08/23/mozilla-releases-security-updates-firefox-firefox-esr-and
概要
複数のMozilla製品には、脆弱性があります。結果として、攻撃者が任意のコー ドを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Mozilla Firefox 104より前のバージョン - Mozilla Firefox ESR 102.2より前のバージョン - Mozilla Firefox ESR 91.13より前のバージョン - Mozilla Thunderbird 102.2より前のバージョン - Mozilla Thunderbird 91.13より前のバージョン この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新 することで解決します。詳細は、Mozillaが提供する情報を参照してください。
関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 104
https://www.mozilla.org/en-US/security/advisories/mfsa2022-33/Mozilla
Security Vulnerabilities fixed in Firefox ESR 102.2
https://www.mozilla.org/en-US/security/advisories/mfsa2022-34/Mozilla
Security Vulnerabilities fixed in Firefox ESR 91.13
https://www.mozilla.org/en-US/security/advisories/mfsa2022-35/Mozilla
Security Vulnerabilities fixed in Thunderbird 102.2
https://www.mozilla.org/en-US/security/advisories/mfsa2022-36/Mozilla
Security Vulnerabilities fixed in Thunderbird 91.13
https://www.mozilla.org/en-US/security/advisories/mfsa2022-37/
【4】複数のCisco製品に脆弱性
情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/08/25/cisco-releases-security-updates-multiple-products
概要
複数のCisco製品には、複数の脆弱性があります。結果として、隣接するネッ トワーク上の第三者が当該製品上で任意のコードを実行するなどの可能性があ ります。 影響を受けるバージョンは多岐にわたります。詳細は、Ciscoが提供するアド バイザリ情報を参照してください。 この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Ciscoが提供する情報を参照してください。
関連文書 (英語)
Cisco
Cisco ACI Multi-Site Orchestrator Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-mso-prvesc-BPFp9cZsCisco
Cisco FXOS and NX-OS Software Cisco Discovery Protocol Denial of Service and Arbitrary Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-cdp-dos-ce-wWvPucC9Cisco
Cisco FXOS Software Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fxos-cmdinj-TxcLNZNHCisco
Cisco NX-OS Software OSPFv3 Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-ospfv3-dos-48qutcu
【5】ユニモテクノロジー製デジタルビデオレコーダにおける重要な機能に対する認証の欠如の脆弱性
情報源
Japan Vulnerability Notes JVNVU#90821877
ユニモテクノロジー製デジタルビデオレコーダにおける重要な機能に対する認証の欠如の脆弱性
https://jvn.jp/vu/JVNVU90821877/
概要
ユニモテクノロジー株式会社が提供する複数のデジタルビデオレコーダ製品に は、重要な機能に対する認証の欠如の脆弱性が存在します。結果として、遠隔 の第三者が当該製品上で任意のOSコマンドを実行する可能性があります。 対象となる製品とバージョンは次のとおりです。 - UDR-JA1004/JA1008/JA1016 ファームウェアバージョン v1.0.20.13およびそれ以前 - UDR-JA1016 ファームウェアバージョン v2.0.20.13およびそれ以前 この問題は、開発者が提供する修正済みのバージョンに更新することで解決し ます。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
ユニモテクノロジー株式会社
UDR-JA1004/JA1008/JA1016 ファームウエアを更新しました
http://www.unimo.co.jp/table_notice/index.php?act=1&resid=1643590226-637355
【6】PukiWikiにおける複数の脆弱性
情報源
Japan Vulnerability Notes JVNVU#96002401
PukiWikiにおける複数の脆弱性
https://jvn.jp/vu/JVNVU96002401/Japan Vulnerability Notes JVN#43979089
PukiWiki におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN43979089/
概要
PukiWiki Development Teamが提供するPukiWikiには、複数の脆弱性が存在し ます。結果として、遠隔の第三者が任意のスクリプトを実行するなどの可能性 があります。 影響を受けるバージョンは多岐にわたります。詳細は、開発者が提供するアド バイザリ情報を参照してください。 この問題は、開発者が提供する修正済みのバージョンに更新することで解決し ます。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
PukiWiki Development Team
PukiWiki/Errata
https://pukiwiki.osdn.jp/?PukiWiki/Errata
【7】Exmentにおける複数の脆弱性
情報源
Japan Vulnerability Notes JVN#46239102
Exment における複数の脆弱性
https://jvn.jp/jp/JVN46239102/
概要
株式会社カジトリが提供するExmentには、複数の脆弱性が存在します。結果と して、データベース内の情報を窃取されたり、改ざんされたりするなどの可能 性があります。 対象となるバージョンは次のとおりです。 - (PHP8) exceedone/exment v5.0.2およびそれ以前、exceedone/laravel-admin v3.0.0およびそれ以前 - (PHP7) exceedone/exment v4.4.2およびそれ以前、exceedone/laravel-admin v2.2.2およびそれ以前 この問題は、開発者が提供する修正済みのバージョンに更新することで解決し ます。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
株式会社カジトリ
脆弱性対応 クロスサイトスクリプティング、ならびにSQLインジェクション
https://exment.net/docs/#/ja/weakness/20220817
【8】Hardening Designers Conference 2022開催のお知らせ
情報源
Hardening Project
Hardening Designers Conference 2022
https://wasforum.jp/2022/07/hardening-designers-conf2022/
概要
2022年9月1日から、Hardening ProjectはMicro Hardeningを含む3日間のハー ドニング・コミュニティ・カンファレンスを開催します。今回はHardening Design― 「堅牢化実践のデザイン」をテーマとしています。セキュリティの実践に関心 のある方は参加申し込みが可能です。JPCERT/CCはHardening Designers Conference 2022を後援しています。
関連文書 (日本語)
Hardening Project | Doorkeeper
参加登録ページ
https://hardening.doorkeeper.jp/events/139964
■今週のひとくちメモ
○JAIPA Cloud Conference 2022開催のお知らせ
2022年9月8日、一般社団法人 日本インターネットプロバイダー協会 クラウド 部会は「JAIPA Cloud Conference 2022」をオンラインで開催します。クラウ ドサービスプロバイダー(IaaS/PaaS/SaaS)、システムインテグレーター、ソ リューションベンダーなどが参加し、クラウド業界の未来について知見を深め るイベントです。参加費は無料、参加には事前の申し込みが必要です。JPCERT/CC はJAIPA Cloud Conference 2022を後援しています。
参考文献 (日本語)
JAIPA Cloud Conference
JAIPA Cloud Conference 2022
https://cloudconference.jaipa.or.jp/JAIPA Cloud Conference
Facebookページ
https://www.facebook.com/cloudconference.jaipa/JAIPA Cloud Conference
事前登録ページ
https://cloudcon-stream.jaipa.or.jp/register
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/