<<< JPCERT/CC WEEKLY REPORT 2023-03-23 >>>
■03/12(日)〜03/18(土) のセキュリティ関連情報
目 次
【1】複数のマイクロソフト製品に脆弱性
【2】複数のMozilla製品に脆弱性
【3】複数のアドビ製品に脆弱性
【4】Drupalに不適切なアクセス制御の脆弱性
【5】TP-LINK製T2600G-28SQにおける脆弱なSSHホスト鍵使用
【今週のひとくちメモ】JPCERT/CCが「JSAC2023」の開催レポートを公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2023/wr230323.txt
https://www.jpcert.or.jp/wr/2023/wr230323.xml
【1】複数のマイクロソフト製品に脆弱性
情報源
CISA Cybersecurity & Alerts Advisories
Microsoft Releases March 2023 Security Updates
https://www.cisa.gov/news-events/alerts/2023/03/14/microsoft-releases-march-2023-security-updates
概要
複数のマイクロソフト製品には、脆弱性があります。結果として、第三者が 任意のコードを実行するなどの可能性があります。 この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく ださい。
関連文書 (日本語)
マイクロソフト株式会社
2023 年 3 月のセキュリティ更新プログラム (月例)
https://msrc.microsoft.com/blog/2023/03/202303-security-update/JPCERT/CC 注意喚起
2023年3月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2023/at230005.html
【2】複数のMozilla製品に脆弱性
情報源
CISA Cybersecurity & Alerts Advisories
Mozilla Releases Security Updates for Firefox 111, Firefox ESR 102.9, and Thunderbird 102.9
https://www.cisa.gov/news-events/alerts/2023/03/14/mozilla-releases-security-updates-firefox-111-firefox-esr-1029-and-thunderbird-1029
概要
複数のMozilla製品には、脆弱性があります。結果として、遠隔の第三者がス プーフィング攻撃などを行う可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Mozilla Firefox 111より前のバージョン - Mozilla Firefox ESR 102.9より前のバージョン - Mozilla Thunderbird 102.9より前のバージョン この問題は、Mozillaが提供する修正済みのバージョンに更新することで解決 します。詳細は、Mozillaが提供する情報を参照してください。
関連文書 (英語)
Mozilla
Mozilla Foundation Security Advisory 2023-09
https://www.mozilla.org/en-US/security/advisories/mfsa2023-09/Mozilla
Mozilla Foundation Security Advisory 2023-10
https://www.mozilla.org/en-US/security/advisories/mfsa2023-10/Mozilla
Mozilla Foundation Security Advisory 2023-11
https://www.mozilla.org/en-US/security/advisories/mfsa2023-11/
【3】複数のアドビ製品に脆弱性
情報源
CISA Cybersecurity & Alerts Advisories
Adobe Releases Security Updates for Multiple Products
https://www.cisa.gov/news-events/alerts/2023/03/14/adobe-releases-security-updates-multiple-products
概要
複数のアドビ製品には、脆弱性があります。結果として、遠隔の第三者が任意 のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Adobe Commerce - Adobe Experience Manager - Adobe Illustrator - Adobe Dimension - Adobe Creative Cloud Desktop Application - Adobe Substance 3D Stager - Adobe Photoshop - Adobe ColdFusion この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ とで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2023031501.html
関連文書 (英語)
アドビ
Security update available for Adobe Commerce | APSB23-17
https://helpx.adobe.com/security/products/magento/apsb23-17.htmlアドビ
Security updates available for Adobe Experience Manager | APSB23-18
https://helpx.adobe.com/security/products/experience-manager/apsb23-18.htmlアドビ
Security Updates Available for Adobe Illustrator | APSB23-19
https://helpx.adobe.com/security/products/illustrator/apsb23-19.htmlアドビ
Security updates available for Dimension | APSB23-20
https://helpx.adobe.com/security/products/dimension/apsb23-20.htmlアドビ
Security update available for Adobe Creative Cloud Desktop Application | APSB23-21
https://helpx.adobe.com/security/products/creative-cloud/apsb23-21.htmlアドビ
Security updates available for Substance 3D Stager | APSB23-22
https://helpx.adobe.com/security/products/substance3d_stager/apsb23-22.htmlアドビ
Security update available for Adobe Photoshop | APSB23-23
https://helpx.adobe.com/security/products/photoshop/apsb23-23.htmlアドビ
Security updates available for Adobe ColdFusion | APSB23-25
https://helpx.adobe.com/security/products/coldfusion/apsb23-25.html
【4】Drupalに不適切なアクセス制御の脆弱性
情報源
CISA Current Activity
Drupal Releases Security Advisory to Address Vulnerability in Drupal Core
https://www.cisa.gov/news-events/alerts/2023/03/17/drupal-releases-security-advisory-address-vulnerability-drupal-core
概要
Drupalの複数のバージョンには、不適切なアクセス制御の脆弱性があります。 攻撃者がDrupalの管理者ユーザーのブラウザ上でクロスサイトスクリプティン グを成功させた場合、本脆弱性を悪用して機微な情報にアクセスが可能となり、 さらなる攻撃に悪用される可能性があります。 対象となるバージョンは次のとおりです。 - Drupal 10.0.5より前の10.0系のバージョン - Drupal 9.5.5より前の9.5系のバージョン - Drupal 9.4.12より前の9系のバージョン - Drupal 8系すべてのバージョン - Drupal 7.95より前の7系のバージョン なお、8系および9.4より前の9系のバージョンはEOLを迎えていることがアナ ウンスされております。 この問題は、開発者が提供する修正済みのバージョンに更新することで解決し ます。詳細は、開発者が提供する情報を参照してください。
関連文書 (英語)
Drupal
Drupal core - Moderately critical - Access bypass - SA-CORE-2023-004
https://www.drupal.org/sa-core-2023-004
【5】TP-LINK製T2600G-28SQにおける脆弱なSSHホスト鍵使用
情報源
Japan Vulnerability Notes JVN#62420378
TP-Link 製 T2600G-28SQ における脆弱な SSH ホスト鍵使用
https://jvn.jp/jp/JVN62420378/
概要
TP-Linkが提供するT2600G-28SQには、脆弱なSSHホスト鍵が使用されています。 結果として、悪意のある第三者が偽のデバイスを用意し、管理者に接続させる ことで、当該製品に接続する際の認証情報を取得する可能性があります。 対象となるバージョンは次のとおりです。 - T2600G-28SQ「T2600G-28SQ(UN)_V1_1.0.6 Build 20230227」より前のファームウェア この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ とで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
ティーピーリンクジャパン株式会社
T2600G-28SQ のコンテンツ | TP-Link 日本
https://www.tp-link.com/jp/support/download/t2600g-28sq/#Firmware
■今週のひとくちメモ
○JPCERT/CCが「JSAC2023」の開催レポートを公開
JPCERT/CCは、2023年1月25日、26日にJSAC2023を開催しました。本カンファレ ンスは、技術情報を共有し、日本国内のセキュリティアナリストの底上げを目 的に開催しており、6回目となりました。今回のJSAC2023では、2日間で12件の 講演、2件のワークショップ、7件のLightning talkを行いました。講演資料の 一部はJSACのWebサイトに公開、掲載しております。開催レポートでは、本カ ンファレンスの様子をお伝えしています。
参考文献 (日本語)
JPCERT/CC Eyes
JSAC2023 開催レポート〜DAY 1〜
https://blogs.jpcert.or.jp/ja/2023/03/jsac2023day1.htmlJPCERT/CC Eyes
JSAC2023 開催レポート〜DAY 2〜
https://blogs.jpcert.or.jp/ja/2023/03/jsac2023day2.htmlJPCERT/CC Eyes
JSAC2023 開催レポート〜DAY 2 Workshop〜
https://blogs.jpcert.or.jp/ja/2023/03/jsac2023day2-workshop.htmlJSAC2023
JSAC2023 - Time Table -
https://jsac.jpcert.or.jp/timetable.html
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/