<<< JPCERT/CC WEEKLY REPORT 2023-03-23 >>>

■03/12(日)〜03/18(土) のセキュリティ関連情報

目　次

【1】複数のマイクロソフト製品に脆弱性

【2】複数のMozilla製品に脆弱性

【3】複数のアドビ製品に脆弱性

【4】Drupalに不適切なアクセス制御の脆弱性

【5】TP-LINK製T2600G-28SQにおける脆弱なSSHホスト鍵使用

【今週のひとくちメモ】JPCERT/CCが「JSAC2023」の開催レポートを公開

【1】複数のマイクロソフト製品に脆弱性

情報源

CISA Cybersecurity & Alerts Advisories
Microsoft Releases March 2023 Security Updates

概要

複数のマイクロソフト製品には、脆弱性があります。結果として、第三者が
任意のコードを実行するなどの可能性があります。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく
ださい。

関連文書 (日本語)

マイクロソフト株式会社
2023 年 3 月のセキュリティ更新プログラム (月例)

JPCERT/CC 注意喚起
2023年3月マイクロソフトセキュリティ更新プログラムに関する注意喚起
//sumiekanekomusic.com/at/2023/at230005.html

【2】複数のMozilla製品に脆弱性

情報源

CISA Cybersecurity & Alerts Advisories
Mozilla Releases Security Updates for Firefox 111, Firefox ESR 102.9, and Thunderbird 102.9

概要

複数のMozilla製品には、脆弱性があります。結果として、遠隔の第三者がス
プーフィング攻撃などを行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

 - Mozilla Firefox 111より前のバージョン
 - Mozilla Firefox ESR 102.9より前のバージョン
 - Mozilla Thunderbird 102.9より前のバージョン

この問題は、Mozillaが提供する修正済みのバージョンに更新することで解決
します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)

Mozilla
Mozilla Foundation Security Advisory 2023-09

Mozilla
Mozilla Foundation Security Advisory 2023-10

Mozilla
Mozilla Foundation Security Advisory 2023-11

【3】複数のアドビ製品に脆弱性

情報源

CISA Cybersecurity & Alerts Advisories
Adobe Releases Security Updates for Multiple Products

概要

複数のアドビ製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe Commerce
- Adobe Experience Manager
- Adobe Illustrator
- Adobe Dimension
- Adobe Creative Cloud Desktop Application
- Adobe Substance 3D Stager
- Adobe Photoshop
- Adobe ColdFusion

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
//sumiekanekomusic.com/newsflash/2023031501.html

関連文書 (英語)

アドビ
Security update available for Adobe Commerce | APSB23-17

アドビ
Security updates available for Adobe Experience Manager | APSB23-18

アドビ
Security Updates Available for Adobe Illustrator | APSB23-19

アドビ
Security updates available for Dimension | APSB23-20

アドビ
Security update available for Adobe Creative Cloud Desktop Application | APSB23-21

アドビ
Security updates available for Substance 3D Stager | APSB23-22

アドビ
Security update available for Adobe Photoshop | APSB23-23

アドビ
Security updates available for Adobe ColdFusion | APSB23-25

【4】Drupalに不適切なアクセス制御の脆弱性

情報源

CISA Current Activity
Drupal Releases Security Advisory to Address Vulnerability in Drupal Core

概要

Drupalの複数のバージョンには、不適切なアクセス制御の脆弱性があります。
攻撃者がDrupalの管理者ユーザーのブラウザ上でクロスサイトスクリプティン
グを成功させた場合、本脆弱性を悪用して機微な情報にアクセスが可能となり、
さらなる攻撃に悪用される可能性があります。

対象となるバージョンは次のとおりです。

- Drupal 10.0.5より前の10.0系のバージョン
- Drupal 9.5.5より前の9.5系のバージョン
- Drupal 9.4.12より前の9系のバージョン
- Drupal 8系すべてのバージョン
- Drupal 7.95より前の7系のバージョン

なお、8系および9.4より前の9系のバージョンはEOLを迎えていることがアナ
ウンスされております。

この問題は、開発者が提供する修正済みのバージョンに更新することで解決し
ます。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)

Drupal
Drupal core - Moderately critical - Access bypass - SA-CORE-2023-004

【5】TP-LINK製T2600G-28SQにおける脆弱なSSHホスト鍵使用

情報源

Japan Vulnerability Notes JVN#62420378
TP-Link 製 T2600G-28SQ における脆弱な SSH ホスト鍵使用

概要

TP-Linkが提供するT2600G-28SQには、脆弱なSSHホスト鍵が使用されています。
結果として、悪意のある第三者が偽のデバイスを用意し、管理者に接続させる
ことで、当該製品に接続する際の認証情報を取得する可能性があります。

対象となるバージョンは次のとおりです。

- T2600G-28SQ「T2600G-28SQ(UN)_V1_1.0.6 Build 20230227」より前のファームウェア

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)

ティーピーリンクジャパン株式会社
T2600G-28SQ のコンテンツ | TP-Link 日本

■今週のひとくちメモ

○JPCERT/CCが「JSAC2023」の開催レポートを公開

JPCERT/CCは、2023年1月25日、26日にJSAC2023を開催しました。本カンファレ
ンスは、技術情報を共有し、日本国内のセキュリティアナリストの底上げを目
的に開催しており、6回目となりました。今回のJSAC2023では、2日間で12件の
講演、2件のワークショップ、7件のLightning talkを行いました。講演資料の
一部はJSACのWebサイトに公開、掲載しております。開催レポートでは、本カ
ンファレンスの様子をお伝えしています。

参考文献 (日本語)

JPCERT/CC Eyes
JSAC2023 開催レポート〜DAY 1〜

JPCERT/CC Eyes
JSAC2023 開催レポート〜DAY 2〜

JPCERT/CC Eyes
JSAC2023 開催レポート〜DAY 2 Workshop〜

JSAC2023
JSAC2023 - Time Table -

■JPCERT/CCからのお願い