<<< JPCERT/CC WEEKLY REPORT 2023-03-15 >>>

■03/05(日)〜03/11(土) のセキュリティ関連情報

目　次

【1】複数のFortinet製品に脆弱性

【2】複数のCisco製品に脆弱性

【3】Apache HTTP Serverに複数の脆弱性

【4】PostgreSQL拡張モジュールpg_ivmに複数の脆弱性

【5】バッファロー製ネットワーク機器に複数の脆弱性

【6】セイコーエプソン製プリンターおよびネットワークインターフェイス製品のWeb Configに複数の脆弱性

【今週のひとくちメモ】「サイバー攻撃被害に係る情報の共有・公表ガイダンス（案）」に対する意見募集の結果及び「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の公表

【1】複数のFortinet製品に脆弱性

情報源

CISA Cybersecurity Alerts & Advisories
Fortinet Releases March 2023 Vulnerability Advisories

概要

複数のFortinet製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行したり、サービス運用妨害（DoS）攻撃を行ったりするなど
の可能性があります。

影響を受ける製品、バージョンは多岐にわたります。
影響度がCriticalの脆弱性（CVE-2023-25610）の対象製品は次のとおりです。

- FortiOS
- FortiProxy
- FortiOS-6K7K

対象のバージョンは、Fortinetが提供をする情報を参照してください。また、
対象のOSが動作している製品によって影響が異なります。

この問題は、該当する製品をFortinetが提供する修正済みのバージョンに更新
することで解決します。詳細は、Fortinetが提供する情報を参照してください。

関連文書 (日本語)

情報処理推進機構（IPA）
Fortinet 製 FortiOS および FortiProxy の脆弱性対策について(CVE-2023-25610)

関連文書 (英語)

Fortinet
March 2023 Vulnerability Advisories

Fortinet
FortiOS / FortiProxy - Heap buffer underflow in administrative interface

Fortinet
Analysis of FG-IR-22-369

【2】複数のCisco製品に脆弱性

情報源

CISA Cybersecurity Alerts & Advisories
Cisco Releases Security Advisory for IOS XR Software

概要

複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害（DoS）攻撃を行うなどの可能性があります。

影響を受ける製品、バージョンは多岐にわたります。当該期間中は、計2件の
アドバイザリ（High1件、Medium1件）が新たに公開されています。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)

Cisco
Cisco Security Advisories

Cisco
Cisco IOS XR Software for ASR 9000 Series Routers Bidirectional Forwarding Detection Denial of Service Vulnerability

Cisco
Cisco IOS XR Software Bootloader Unauthenticated Information Disclosure Vulnerability

【3】Apache HTTP Serverに複数の脆弱性

情報源

Japan Vulnerability Notes JVNVU#94155938
Apache HTTP Server 2.4における複数の脆弱性に対するアップデート

概要

Apache HTTP Server 2.4系には、複数の脆弱性があります。結果として、攻撃
者がプロキシサーバーのアクセス制御をバイパスしたり、キャッシュポイズニン
グを引き起こすなどの可能性があります。

対象となるバージョンは次のとおりです。

- Apache HTTP Server 2.4.55およびそれ以前

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)

The Apache Software Foundation
Fixed in Apache HTTP Server 2.4.56

【4】PostgreSQL拡張モジュールpg_ivmに複数の脆弱性

情報源

Japan Vulnerability Notes JVN#19872280
PostgreSQL 拡張モジュール pg_ivm における複数の脆弱性

概要

IVM Development Groupが提供するpg_ivmには、複数の脆弱性があります。結
果として、行レベルセキュリティで保護されているテーブル内の情報が、本来
アクセス権限のないユーザーに漏えいするなどの可能性があります。

対象となる製品は次のとおりです。

- pg_ivm 1.5.1より前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)

IVM Development Group
IVM (Incremental View Maintenance) implementation as a PostgreSQL extension

IVM Development Group
pg_ivm 1.5.1 (2023-03-02)

【5】バッファロー製ネットワーク機器に複数の脆弱性

情報源

Japan Vulnerability Notes JVNVU#96824262
バッファロー製ネットワーク機器における複数の脆弱性

概要

バッファロー製ネットワーク機器には、複数の脆弱性があります。結果として、
当該製品の特定ファイルを窃取され、製品の設定を不正に変更されるなどの可
能性があります。

対象となる製品は多岐にわたります。詳細は、株式会社バッファローが提供す
る情報を参照してください。

この問題は、該当する製品を株式会社バッファローが提供する修正済みのバー
ジョンに更新することで解決します。詳細は、株式会社バッファローが提供す
る情報を参照してください。

関連文書 (日本語)

株式会社バッファロー
スイッチの一部商品における複数の脆弱性とその対処方法

【6】セイコーエプソン製プリンターおよびネットワークインターフェイス製品のWeb Configに複数の脆弱性

情報源

Japan Vulnerability Notes JVN#82424996
セイコーエプソン製プリンターおよびネットワークインターフェイス製品の Web Config における複数の脆弱性

概要

セイコーエプソン株式会社が提供するプリンターおよびネットワークインター
フェイス製品のWeb Configには、複数の脆弱性があります。結果として、当該
製品の設定画面にアクセスしたユーザーのWebブラウザー上で、任意のスクリ
プトを実行されるなどの可能性があります。

対象となる製品は多岐にわたります。

この問題は、該当する製品をセイコーエプソン株式会社が提供する修正済みの
バージョンに更新するまたは回避策を適用することで解決します。なお、対策
ファームウェアは 2023年4月以降順次リリース予定とのことです。詳細は、セ
イコーエプソン株式会社が提供する情報を参照してください。

関連文書 (日本語)

セイコーエプソン株式会社
プリンターおよびネットワークインターフェイス製品のWeb Configにおける脆弱性について

■今週のひとくちメモ

○「サイバー攻撃被害に係る情報の共有・公表ガイダンス（案）」に対する意見募集の結果及び「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の公表

2023年3月8日、「サイバー攻撃被害に係る情報の共有・公表ガイダンス」が策
定されました。本ガイダンスは、サイバー攻撃を受けた被害組織がサイバーセ
キュリティ関係組織とサイバー攻撃被害に係る情報を共有する際の実務上の参
考となるポイントをFAQ形式でまとめたもので、2022年12月26日に公開されたガ
イダンス案への意見募集を踏まえて公開されました。
JPCERT/CCは同検討会の共同事務局を務め、ガイダンス素案の作成を行いました。

参考文献 (日本語)

経済産業省
「サイバー攻撃被害に係る情報の共有・公表ガイダンス（案）」に対する意見募集の結果及び「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の公表

■JPCERT/CCからのお願い