タイガー&ラビットピンボールマシン

サイバーインシデントがなくなるその日まで

JPCERT Coordination Center

  • このサイト内を検索
  • ウェブ全体を検索

Weekly Report 2023-03-29号

最終更新: 2023-03-29
JPCERT-WR-2023-0329
JPCERT/CC
2023-03-29

<<< JPCERT/CC WEEKLY REPORT 2023-03-29 >>>

■03/19(日)〜03/25(土) のセキュリティ関連情報

目 次

【1】複数のCisco製品に脆弱性

【2】Google Chromeに複数の脆弱性

【3】エレコム製法人向けアクセスポイント管理ツールWAB-MATによって登録されるWindowsサービスの実行ファイルパスが引用符で囲まれていない脆弱性

【4】Apache Tomcatに保護されていない認証情報の送信の脆弱性

【5】OpenSSLのX.509ポリシー制限の検証に過剰なリソース消費の問題

【今週のひとくちメモ】JPCERT/CC Weekly Reportリニューアルのお知らせ

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
//sumiekanekomusic.com/wr/

※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
//sumiekanekomusic.com/wr/2023/wr230329.txt
//sumiekanekomusic.com/wr/2023/wr230329.xml

【1】複数のCisco製品に脆弱性

情報源

CISA Cybersecurity Alerts & Advisories
Cisco Releases Security Advisories for Multiple Products

概要

複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害(DoS)攻撃を行うなどの可能性があります。

影響を受ける製品、バージョンは多岐にわたります。当該期間中は、計18件の
アドバイザリ(High9件、Medium9件)が新たに公開されています。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)

Cisco
Cisco Security Advisories

Cisco
Cisco IOS XE Software Virtual Fragmentation Reassembly Denial of Service Vulnerability

Cisco
Cisco IOS XE Software IOx Application Hosting Environment Privilege Escalation Vulnerability

Cisco
Cisco IOS XE SD-WAN Software Command Injection Vulnerability

Cisco
Cisco IOS XE Software Fragmented Tunnel Protocol Packet Denial of Service Vulnerability

Cisco
Cisco IOS and IOS XE Software IPv6 DHCP (DHCPv6) Relay and Server Denial of Service Vulnerability

Cisco
Cisco IOS XE Software for Wireless LAN Controllers HTTP Client Profiling Denial of Service Vulnerability

Cisco
Cisco DNA Center Privilege Escalation Vulnerability

Cisco
Cisco IOS XE Software for Cisco Catalyst 9300 Series Switches Secure Boot Bypass Vulnerability

Cisco
Cisco Access Point Software Association Request Denial of Service Vulnerability

【2】Google Chromeに複数の脆弱性

情報源

Google
Stable Channel Update for Desktop

概要

Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 111.0.5563.110(Linux版およびMac版)より前のバージョン
- Google Chrome 111.0.5563.110/.111(Windows版)より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

【3】エレコム製法人向けアクセスポイント管理ツールWAB-MATによって登録されるWindowsサービスの実行ファイルパスが引用符で囲まれていない脆弱性

情報源

Japan Vulnerability Notes JVN#35246979
エレコム製法人向けアクセスポイント管理ツール WAB-MAT によって登録される Windows サービスの実行ファイルパスが引用符で囲まれていない脆弱性

概要

エレコム株式会社が提供する法人向けアクセスポイント管理ツールWAB-MATに
よって登録されるWindowsサービスは、登録される実行ファイルのパスが引用
符で囲まれていません。結果として、特定のパスに置かれた実行ファイルが当
該Windowsサービスの権限で実行される可能性があります。

対象となるバージョンは次のとおりです。

- 法人向けアクセスポイント管理ツールWAB-MAT Ver.5.0.0.8およびそれ以前のバージョン

この問題は、エレコム株式会社が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、エレコム株式会社が提供する情報を参照してくださ
い。

関連文書 (日本語)

エレコム株式会社
法人向けアクセスポイント管理ツール「WAB-MAT」セキュリティ向上のためのアップデートのお願い

【4】Apache Tomcatに保護されていない認証情報の送信の脆弱性

情報源

Japan Vulnerability Notes JVNVU#90635957
Apache Tomcatにおける保護されていない認証情報の送信の脆弱性

概要

Apache Tomcatには、httpsが設定されたX-Forwarded-Protoヘッダーを含むリ
クエストをHTTP経由でリバースプロキシから受信し、RemoteIpFilterを使用し
ている場合において、Apache Tomcatが作成するセッションCookieにSecure属
性が含まれない問題が存在します。結果として、ユーザーエージェントが安全
でないチャネルでセッションCookieを送信する可能性があります。

対象となるバージョンは次のとおりです。

- Apache Tomcat 11.0.0-M1から11.0.0-M2までのバージョン
- Apache Tomcat 10.1.0-M1から10.1.5までのバージョン
- Apache Tomcat 9.0.0-M1から9.0.71までのバージョン
- Apache Tomcat 8.5.0から8.5.85までのバージョン

この問題は、Apache TomcatをThe Apache Software Foundationが提供する修
正済みのバージョンに更新することで解決します。詳細は、開発者が提供する
情報を参照してください。

関連文書 (英語)

The Apache Software Foundation
Fixed in Apache Tomcat 11.0.0-M3

The Apache Software Foundation
Fixed in Apache Tomcat 10.1.6

The Apache Software Foundation
Fixed in Apache Tomcat 9.0.72

The Apache Software Foundation
Fixed in Apache Tomcat 8.5.86

【5】OpenSSLのX.509ポリシー制限の検証に過剰なリソース消費の問題

情報源

Japan Vulnerability Notes JVNVU#94632906
OpenSSLのX.509ポリシー制限の検証における過剰なリソース消費の問題

概要

OpenSSLには、ポリシー制限が含まれているX.509証明書チェーンの検証におい
てリソースが過剰に消費される問題があります。結果として、第三者がサービ
ス運用妨害(DoS)攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- OpenSSL 3.1
- OpenSSL 3.0
- OpenSSL 1.1.1
- OpenSSL 1.0.2

この問題は、深刻度が低であるため2023年3月24日現在修正済みのバージョン
は公開されておらず、コミットで修正されています。詳細は、開発者が提供す
る情報を参照してください。

関連文書 (英語)

OpenSSL Project
Excessive Resource Usage Verifying X.509 Policy Constraints (CVE-2023-0464)

■今週のひとくちメモ

○JPCERT/CC Weekly Reportリニューアルのお知らせ

JPCERT/CCは、2023年4月5日より、Weekly Reportをリニューアルいたします。
今回のリニューアルでは、適切な情報をわかりやすく、正確にお伝えできるよ
う、Weekly Reportの構成などを変更いたしました。皆さまに使いやすいWeekly
Reportの提供をめざして、内容を充実してまいります。詳細に関しては以下の
お知らせをご確認ください。

参考文献 (日本語)

JPCERT/CC
JPCERT/CC Weekly Report リニューアルのお知らせ
//sumiekanekomusic.com/wr/wrrenewal02303.html

■JPCERT/CCからのお願い

  • 本レポートに関するお問い合わせは ew-info@jpcert.sumiekanekomusic.com 宛 にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
    //sumiekanekomusic.com/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
    //sumiekanekomusic.com/announce.html
  • JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
    //sumiekanekomusic.com/form/

Topへ

公開資料を見る

おすすめ情報