<<< JPCERT/CC WEEKLY REPORT 2022-11-16 >>>
■11/06(日)〜11/12(土) のセキュリティ関連情報
目 次
【1】複数のマイクロソフト製品に脆弱性
【2】複数のCitrix製品に複数の脆弱性
【3】VMware製品に複数の脆弱性
【4】複数のCisco製品に脆弱性
【5】複数のIntel製品に脆弱性
【6】複数のApple製品に脆弱性
【7】Google Chromeに複数の脆弱性
【8】トレンドマイクロ製Apex OneおよびApex One SaaSに複数の脆弱性
【9】WordPressに複数の脆弱性
【10】複数のUEFI実装における競合状態に関する脆弱性
【11】アイホン製インターホンシステムに情報漏えいの脆弱性
【今週のひとくちメモ】Internet Week 2022開催のお知らせ
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr224501.txt
https://www.jpcert.or.jp/wr/2022/wr224501.xml
【1】複数のマイクロソフト製品に脆弱性
情報源
CISA Current Activity
Microsoft Releases November 2022 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/11/09/microsoft-releases-november-2022-security-updates
概要
複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三 者が任意のコードを実行するなどの可能性があります。 この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく ださい。
関連文書 (日本語)
マイクロソフト株式会社
2022 年 11 月のセキュリティ更新プログラム (月例)
https://msrc-blog.microsoft.com/2022/11/08/202211-security-update/JPCERT/CC 注意喚起
2022年11月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2022/at220031.html
【2】複数のCitrix製品に複数の脆弱性
情報源
CISA Current Activity
Citrix Releases Security Updates for ADC and Gateway
https://www.cisa.gov/uscert/ncas/current-activity/2022/11/09/citrix-releases-security-updates-adc-and-gateway
概要
複数のCitrix製品には、脆弱性があります。結果として、遠隔の第三者が認証を 回避するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Citrix ADCおよびCitrix Gateway 13.1-33.47より前の13.1系のバージョン - Citrix ADCおよびCitrix Gateway 13.0-88.12より前の13.0系のバージョン - Citrix ADCおよびCitrix Gateway 12.1-65.21より前の12.1系のバージョン - Citrix ADC 12.1-FIPS 12.1-55.289より前のバージョン - Citrix ADC 12.1-NDcPP 12.1-55.289より前のバージョン この問題は、該当する製品をCitrixが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Citrixが提供する情報を参照してください。
関連文書 (英語)
Citrix
Citrix Gateway and Citrix ADC Security Bulletin for CVE-2022-27510 CVE-2022-27513 and CVE-2022-27516
https://support.citrix.com/article/CTX463706/citrix-gateway-and-citrix-adc-security-bulletin-for-cve202227510-cve202227513-and-cve202227516
【3】VMware製品に複数の脆弱性
情報源
CISA Current Activity
VMware Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/11/09/vmware-releases-security-updates
概要
VMware Workspace ONE Assistには、複数の脆弱性があります。結果として、 遠隔の第三者が認証を経ずにアプリケーションへアクセスするなどの可能性が あります。 対象となる製品およびバージョンは次のとおりです。 - VMware Workspace ONE Assist 21系および22系のバージョン この問題は、対象の製品をVMwareが提供する修正済みのバージョンに更新する ことで解決します。詳細は、VMwareが提供する情報を参照してください。
関連文書 (英語)
VMware
VMSA-2022-0028
https://www.vmware.com/security/advisories/VMSA-2022-0028.html
【4】複数のCisco製品に脆弱性
情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/11/10/cisco-releases-security-updates-multiple-products
概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者がサー ビス運用妨害(DoS)攻撃などを行う可能性があります。 影響を受ける製品、バージョンは多岐にわたります。詳細は、Ciscoが提供す る情報を参照してください。 この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Ciscoが提供する情報を参照してください。
関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x
【5】複数のIntel製品に脆弱性
情報源
Japan Vulnerability Notes JVNVU#94499505
Intel製品に複数の脆弱性(2022年11月)
https://jvn.jp/vu/JVNVU94499505/
概要
Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security Center Advisoriesが公開されました。 詳細は、Intelが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Intel製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2022110901.html
関連文書 (英語)
Intel
Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html
【6】複数のApple製品に脆弱性
情報源
Apple
macOS Ventura 13.0.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213504Apple
iOS 16.1.1 および iPadOS 16.1.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213505
概要
複数のApple製品には、脆弱性があります。結果として、第三者が任意のコー ドを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - macOS Ventura 13.0.1より前のバージョン - iOS 16.1.1より前のバージョン - iPadOS 16.1.1より前のバージョン この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Appleが提供する情報を参照してください。
【7】Google Chromeに複数の脆弱性
情報源
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/11/stable-channel-update-for-desktop.html
概要
Google Chromeには、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 107.0.5304.106/107(Windows版)より前のバージョン - Google Chrome 107.0.5304.110(Mac版)より前のバージョン - Google Chrome 107.0.5304.110(Linux版)より前のバージョン この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新 することで解決します。詳細は、Googleが提供する情報を参照してください。
【8】トレンドマイクロ製Apex OneおよびApex One SaaSに複数の脆弱性
情報源
トレンドマイクロ株式会社
アラート/アドバイザリ:Trend Micro Apex One およびTrend Micro Apex One SaaSで確認した複数の脆弱性について(2022年11月)
https://success.trendmicro.com/jp/solution/000291774
概要
Apex OneおよびApex One SaaSには、複数の脆弱性があります。結果として、 脆弱な端末にアクセスできる第三者が権限を昇格するなどの可能性がありま す。 対象となる製品は次のとおりです。 - Apex One 2019 - Apex One SaaS この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正済みの バージョンに更新することで解決します。なお、Apex One SaaSについては 2022年10月のメンテナンスで修正済みとのことです。詳細はトレンドマイクロ 株式会社が提供する情報を参照してください。
【9】WordPressに複数の脆弱性
情報源
Japan Vulnerability Notes JVN#09409909
WordPress における複数の脆弱性
https://jvn.jp/jp/JVN09409909/
概要
WordPressには、複数の脆弱性があります。結果として、当該製品を使用する サイトを閲覧しているユーザーのWebブラウザー上で、任意のスクリプトが実 行されるなどの可能性があります。 対象となるバージョンは次のとおりです。 - WordPress 6.0.3より前のバージョン この問題は、該当する製品をWordPressが提供する修正済みのバージョンに更 新することで解決します。詳細は、WordPressが提供する情報を参照してくだ さい。
関連文書 (英語)
WordPress
WordPress 6.0.3 Security Release
https://wordpress.org/news/2022/10/wordpress-6-0-3-security-release/
【10】複数のUEFI実装における競合状態に関する脆弱性
情報源
Japan Vulnerability Notes JVNVU#96604488
複数のUEFI実装における競合状態に関する脆弱性
https://jvn.jp/vu/JVNVU96604488/
概要
複数のUEFI実装において、高い特権で任意のコードが実行される競合状態の問 題が発見されました。結果として、悪意のある第三者がSecureBootやBootGuard といった、UEFIのセキュリティ機能をバイパスするなどの可能性があります。 この問題に関する詳細は、CERT/CCが提供する情報を参照してください。
関連文書 (英語)
CERT/CC Vulnerability Note VU#434994
Multiple race conditions due to TOCTOU flaws in various UEFI Implementations
https://kb.cert.org/vuls/id/434994
【11】アイホン製インターホンシステムに情報漏えいの脆弱性
情報源
Japan Vulnerability Notes JVN#75437943
アイホン製インターホンシステムにおける情報漏えいの脆弱性
https://jvn.jp/jp/JVN75437943/
概要
アイホン株式会社が提供するインターホンシステムには、情報漏えいの脆弱性 があります。結果として、製品に関する特定の情報を不正に入手して当該製品 にアクセス可能な第三者が、機器内に登録されている機微な情報を取得する可 能性があります。 対象となる製品およびバージョンは次のとおりです。 - GT-DMB-N Ver3.00より前のバージョン - GT-DMB Ver3.00より前のバージョン - GT-DMB-LVN Ver3.00より前のバージョン - GT-DB-VN Ver2.00より前のバージョン 開発者によると、2021年12月7日以降に出荷した製品は対策ファームウェアを 適用済みとのことです。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
アイホン株式会社
テナントビル用インターホン集合玄関機「GT-DMB-N」・「GT-DMB」をご利用のお客様へ
https://www.aiphone.co.jp/customer/20221110.html
■今週のひとくちメモ
○Internet Week 2022開催のお知らせ
2022年11月21日(月)から30日(水)まで、一般社団法人日本ネットワークイン フォメーションセンター(JPNIC)は、「Internet Week 2022」をオンライン 開催および、一部会期を現地会場とオンラインのハイブリッドで開催します。 インターネットに関する技術の研究・開発、 構築・運用・サービスに関わる 人々が、主にインターネットの基盤技術の基礎知識や最新動向を学び、議論し、 理解と交流を深めるためのイベントです。JPCERT/CCは本カンファレンスを後 援しています。詳細は、JPNICが提供する情報を確認してください。
参考文献 (日本語)
一般社団法人日本ネットワークインフォメーションセンター (JPNIC)
Internet Week 2022
https://www.nic.ad.jp/iw2022/一般社団法人日本ネットワークインフォメーションセンター (JPNIC)
参加申込
https://www.nic.ad.jp/iw2022/apply/main/
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/