脆弱性情報

Oracle Java の脆弱性対策について(CVE-2022-21628等)_IPA

Oracle 社から Java SE に関する脆弱性が公表されています。
同社からは攻撃された場合の影響が大きい脆弱性であることがアナウンスされているため、できるだけ早急に修正プログラムを適用してください。

サポートされている以下の Oracle 製品が対象です。
Oracle Java SE 19
Oracle Java SE 17.0.4.1
Oracle Java SE 11.0.16.1
Oracle Java SE 8 Update 345-perf
Oracle Java SE 8 Update 341

Java のアップデート方法
次のウェブサイトにアクセスし、Java の最新バージョンをインストールしてください。
全オペレーティング・システム用のJavaのダウンロード別ウィンドウで開く
Java Downloads別ウィンドウで開く

なお、Oracle 社より2019年4月16日以降の Java のリリースについて、ライセンスの変更が案内されております。特に商用利用を行う組織においてはライセンス別ウィンドウで開くをご確認の上、ベンダの有償サポートを受ける等の適切な対応をお取りください。なお、IPA ではライセンスの詳細やサポートの内容については把握しておりませんので、Oracle 社の公開している情報をご確認いただくか、もしくは直接 Oracle 社にお問合せください。

https://www.ipa.go.jp/security/ciadr/vul/20221019-jre.html

 

 

 

 

Windows共通ログファイルシステムの脆弱性、Windows 10と11で特権昇格確認_Texh+

Zscalerは10月14日(米国時間)、「Technical Analysis of Windows CLFS Zero-Day Vulnerability CVE-2022-37969 – Part 1: Root Cause Analysis」において、Windows共通ログファイルシステム(CLFS: Common Log File System)ドライバに存在した特権昇格の脆弱性に関する詳細な分析結果を伝えた。

2022年9月にこのゼロディ脆弱性が確認されており、Microsoftに報告されている。また、この脆弱性を修正するセキュリティパッチはすでに公開されている(参考「Windowsのゼロデイ脆弱性修正するセキュリティパッチが公開、Windows 7も対象 | TECH+(テックプラス)」)。

Windows共通ログファイルシステムは、高パフォーマンスのトランザクションログを構築するためにカーネルモードおよびユーザモードの両方で動作するアプリケーションに使用されている汎用ログサブシステムで、「CLFS.sys」ドライバで実装されている。このドライバに特権昇格のゼロディ脆弱性「CVE-2022-37969」があり、悪用に成功した攻撃者はSYSTEM権限を獲得する可能性があるとされている。

https://news.mynavi.jp/techplus/article/20221017-2482294/

 

 

 

 

CVE-2022-0030 PAN-OS: Authentication Bypass in Web Interface

Description
An authentication bypass vulnerability in the Palo Alto Networks PAN-OS 8.1 web interface allows a network-based attacker with specific knowledge of the target firewall or Panorama appliance to impersonate an existing PAN-OS administrator and perform privileged actions.

Severity:HIGH
CVSSv3.1 Base Score:8.1 (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)

Exploitation Status
Palo Alto Networks is not aware of any malicious exploitation of this issue.

Weakness Type
CWE-290 Authentication Bypass by Spoofing

Solution
This issue is fixed in PAN-OS 8.1.24 and all later PAN-OS versions.

Please note that PAN-OS 8.1 has reached its software end-of-life (EoL) and is supported only on PA-200, PA-500, and PA-5000 Series firewalls and on M-100 appliances and only until each of their respective hardware EoL dates: https://www.paloaltonetworks.com/services/support/end-of-life-announcements/hardware-end-of-life-dates.html.

Workarounds and Mitigations
Customers with a Threat Prevention subscription can block known attacks for this vulnerability by enabling Threat ID 92720 (Applications and Threats content update 8630-7638).

To exploit this issue, the attacker must have network access to the PAN-OS web interface. You can mitigate the impact of this issue by following best practices for securing the PAN-OS web interface. Please review the Best Practices for Securing Administrative Access in the PAN-OS technical documentation at https://docs.paloaltonetworks.com/best-practices/10-1/administrative-access-best-practices/administrative-access-best-practices/deploy-administrative-access-best-practices.

https://security.paloaltonetworks.com/CVE-2022-0030

 

 

 

 

【重要・要対応】bingo!CMS 認証回避脆弱性に関する対応をお願いいたします_シフトテック

平素よりお世話になっております。
この度、シフトテックが開発・販売する「bingo!CMS」におきまして、認証回避の脆弱性(CWE-288)の存在が確認されました。
bingo!CMSをご利用のお客様におかれましては、お手数をおかけいたしますが、下記をご確認の上、至急ご対応くださいますようお願い申し上げます。

確認された脆弱性
「ログイン認証を必要とする管理機能の一部に対し、特定のURLでアクセスすることにより、不正なコードを含むファイルがアップロードされる認証回避の脆弱性」(JVN識別番号 #74592196)

攻撃者がアップロードされたファイルに対し特定のリクエストを送信することで、任意スクリプトの実行や不正なファイルの作成、ファイルが改竄される恐れがあり、すでに脆弱性を悪用した攻撃が確認されています。

影響を受けるバージョン
bingo!CMS(インストール版)v1.7.4.1 およびそれ以前のすべてのバージョン
なお、bingo!CMS(クラウド版)は脆弱性対策済み、bingo!CMSエンタープライズ版とbingo!Expressは本件対象外のためお客様による対応は不要です。

対策の実施が必要なお客様
bingo!CMS(インストール版)を購入されたbingo!CMSパートナー
→ このお知らせを最後までご覧いただき、貴社がbingo!CMSで構築されたサイトへ対策を実施してください。
bingo!CMS(インストール版)を購入された制作会社
→ このお知らせを最後までご覧いただき、貴社がbingo!CMSで構築されたサイトへ対策を実施してください。
弊社にてサイト制作、システム開発をさせていただいたお客様
→ 弊社の担当者より個別にご連絡いたします。
bingo!CMSパートナーや制作会社を通してbingo!CMSを購入されたお客様
→ bingo!CMSパートナーまたは制作会社へ直接対策をご依頼ください。

対策のお願い
bingo!CMS(インストール版)を最新版のv1.7.4.2へバージョンアップしてください。(PHP5.6以上のサーバー環境が必要です)
ご利用のbingo!CMS(インストール版)のバージョンにより対応方法が異なります。下記の表をご確認の上、製品ごとに実施をお願いいたします。
bingo!CMSのバージョンはログイン画面右下に記載がございます。バージョンの記載がない場合は、bingo!CMSv1.4以下となります。
一次対策済みのサイトも、本バージョンアップにて検証済みの正しいプログラムへ置き換えられます。ぜひこの機会に実施ください。

https://www.bingo-cms.jp/information/20221011.html

トレンドマイクロ製Deep SecurityおよびCloud One – Workload SecurityのWindows版Agentにおける複数の脆弱性_JPCERT_JVNVU#99960963

次の製品のWindows版Agentが本脆弱性の影響を受けます。
Deep Security Agent バージョン 20.0
Cloud One – Workload Security Agent バージョン 20.0

想定される影響
境界外読み取りの脆弱性による情報漏えい
リンク解釈の脆弱性による権限昇格

対策方法
パッチを適用する
トレンドマイクロ株式会社が提供する情報をもとにパッチを適用してください

https://jvn.jp/vu/JVNVU99960963/index.html

 

 

 

 

JVNVU#96017091_Microsoft Exchange Serverに複数の脆弱性_JPCERT

  • Microsoft Exchange Server 2013
  • Microsoft Exchange Server 2016
  • Microsoft Exchange Server 2019
      Microsoftから、Microsoft Exchange Serverの脆弱性に対する情報が公開されました。
  • Autodiscoverサービスを利用したサーバサイドリクエストフォージェリの脆弱性 – CVE-2022-41040
  • PowerShellにアクセス可能な第三者が、リモートでコードが実行可能な脆弱性 – CVE-2022-41082
なお、開発者によると、これらの脆弱性を悪用した限定的な標的型攻撃が既に確認されているとのことです。
    https://jvn.jp/vu/JVNVU96017091/

 

 

 

 

JVNVU#92805279_株式会社バッファローが提供するルータ等のネットワーク製品には、複数の脆弱性が存在します_JPCERT

CVE-2022-39044
CVE-2022-34840
CVE-2022-40966
    株式会社バッファローが提供する複数のネットワーク機器には、次の脆弱性が存在します。
  • ドキュメント化されていないデバッグ機能を有効化される問題 (CWE-912) – CVE-2022-39044
    CVSS v3 CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値: 6.8
  • ハードコードされた認証情報の使用 (CWE-798) – CVE-2022-34840
    CVSS v3 CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N 基本値: 4.3
  • 認証回避 (CWE-288) – CVE-2022-40966
    CVSS v3 CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 8.8

 

https://jvn.jp/vu/JVNVU92805279/

 

 

 

 

複数の当社家電製品における情報漏えいの脆弱性_三菱電機株式会社

■概要
三菱電機製の家電製品に、HTTP 接続で Basic 認証を使用していることに起因する、情報漏えいの脆弱性が存在することが 判明しました。HTTP 接続で Basic 認証を使用すると、第三者が盗聴により認証情報(ユーザ名、パスワード)を入手することがで きます。第三者への認証情報(ユーザ名、パスワード)の漏えいは不正アクセスにつながります。この脆弱性を悪意のある攻撃者 に悪用された場合、結果として情報漏えい又は情報改ざんが発生したり、当該製品がサービスの停止(DoS)状態に陥る等の可 能性があります(CVE-2022-33321)。本脆弱性の影響を受ける製品名を以下に示しますので、対策又は軽減策・回避策の実施 をお願いいたします。
■CVSS スコア CVE-2022-33321 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値:5.9
■脆弱性の説明
三菱電機製の複数の家電製品は、HTTP 接続で Basic 認証を使用しています。Basic 認証は、認証情報(ユーザ名、パスワー ド)を Base64 エンコードして、Web サーバに送信します。認証情報(ユーザ名、パスワード)は暗号化されません。そのため、通信 データが平文で流れる HTTP 接続で Basic 認証を使用すると、第三者が盗聴により認証情報(ユーザ名、パスワード)を入手する ことができます。(CWE-319)
■脆弱性がもたらす脅威
第三者への認証情報(ユーザ名、パスワード)の漏えいは不正アクセスにつながります。この脆弱性を悪意のある攻撃者に悪 用された場合、結果として情報漏えい又は情報改ざんが発生したり、当該製品がサービスの停止(DoS)状態に陥る等の可能性 があります。  
■対象
[1] 【太陽光発電システム カラーモニター エコガイド】
[2]【HEMS 対応アダプター・無線 LAN アダプター】
[3]【ルームエアコン】
[4]【IHクッキングヒーター】
[5]【三菱 HEMS 用エネルギー計測ユニット】
[6]【無線 LAN アダプター】
[7]【ルームエアコン・無線 LAN アダプター】
[8]【冷蔵庫】
[9]【ヒートポンプ給湯機・HEMS 対応アダプター、無線 LAN アダプター】
[10]【バス乾燥・暖房・換気システム】
[11]【炊飯器】
[12]【三菱 HEMS 用 制御アダプター、無線 LAN アダプター】
[13]【ロスナイセントラル換気システム】
[14]【スマートスイッチ】
[15]【バス乾燥・暖房・換気システム】
[16]【ダクト用換気扇】
[17]【レンジフードファン】
[18]【ロスナイセントラル換気システム】
[19]【HEMS 対応アダプター、LAN アダプター】
[20]【エネルギー計測ユニット】
      https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2022-010.pdf

 

 

 

 

 

ソフトウェア等の脆弱性関連情報に関する届出状況[2022年第2四半期(4月~6月)]_IPA

ソフトウェア等の脆弱性に関する取扱状況(概要)

1-1. 脆弱性関連情報の届出状況
 ~脆弱性の届出件数の累計は17,465件~  表1-1は情報セキュリティ早期警戒パートナーシップ(*1)における本四半期の脆弱性関連情報の届出件数、および届出受付開始(2004年7月8日)から本四半期末までの累計を示しています。本四半期のソフトウェア製品に関する届出件数は75件、ウェブアプリケーション(以降「ウェブサイト」)に関する届出は88件、合計163件でした。届出受付開始からの累計は17,465件で、内訳はソフトウェア製品に関するもの5,157件、ウェブサイトに関するもの12,308件でウェブサイトに関する届出が全体の約7割を占めています。  図1-1は過去3年間の届出件数の四半期ごとの推移を示したものです。本四半期は、ソフトウェア製品よりもウェブサイトに関して多くの届出がありました。表1-2は過去3年間の四半期ごとの届出の累計および1就業日あたりの届出件数の推移です。本四半期末までの1就業日あたりの届出件数は3.99件(*2)でした。

1-2. 脆弱性の修正完了状況
 ~ソフトウェア製品およびウェブサイトの修正件数は累計10,707件~

 表1-3は本四半期、および届出受付開始から本四半期末までのソフトウェア製品とウェブサイトの修正完了件数を示しています。ソフトウェア製品の場合、修正が完了すると(回避方法の策定のみでプログラムを修正しない場合を含む)、脆弱性情報や対策方法などをJVNに公表しています。

 本四半期にJVN公表したソフトウェア製品の件数は27件(累計2,417件)でした。そのうち、4件は製品開発者による自社製品の脆弱性の届出でした。なお、届出を受理してからJVN公表までの日数が45日以内のものは6件(22%)でした。また、JVN公表前に重要インフラ事業者等へ脆弱性対策情報を優先提供したのは、2件(累計56件)でした。

 修正完了したウェブサイトの件数は29件(累計8,290件)でした。修正を完了した29件のうち、ウェブアプリケーションを修正したものは25件(86%)、当該ページを削除したものは4件(14%)で、運用で回避したものは0件(0%)でした。なお、修正を完了した29件のうち、ウェブサイト運営者へ脆弱性関連情報を通知してから90日(*3)以内に修正が完了したものは28件(97%)でした。

1-3. 連絡不能案件の取扱状況
 本制度では、調整機関から連絡が取れない製品開発者を「連絡不能開発者」と呼び、連絡の糸口を得るため、当該製品開発者名等を公表して情報提供を求めています(4)。製品開発者名を公表後、3ヶ月経過しても製品開発者から応答が得られない場合は、製品情報(対象製品の具体的な名称およびバージョン)を公表します。それでも応答が得られない場合は、情報提供の期限を追記します。情報提供の期限までに製品開発者から応答がない場合は、当該脆弱性情報の公表に向け、「情報セキュリティ早期警戒パートナーシップガイドライン」に定められた条件を満たしているかを公表判定委員会(5)で判定します。その判定を踏まえ、IPAが公表すると判定した脆弱性情報はJVNに公表されます。

 本四半期は、連絡不能開発者として新たに製品開発者名を公表したものはありませんでした。本四半期末時点の連絡不能開発者の累計公表件数は251件になります。

https://www.ipa.go.jp/security/vuln/report/vuln2022q2.html

 

 

 

Oracle Java の脆弱性対策について(CVE-2022-34169等)_IPA

概要
Oracle 社から Java SE に関する脆弱性が公表されています。

同社からは攻撃された場合の影響が大きい脆弱性であることがアナウンスされているため、できるだけ早急に修正プログラムを適用してください。

対象
サポートされている以下の Oracle 製品が対象です。

Oracle Java SE 18.0.1.1
Oracle Java SE 17.0.3.1
Oracle Java SE 11.0.15.1
Oracle Java SE 8 Update 333
Oracle Java SE 7 Update 343

対策
脆弱性の解消 – 修正プログラムの適用 –
Oracle 社から提供されている最新版に更新してください。

Java のアップデート方法
次の URL にアクセスし、Java の最新バージョンをインストールしてください。
https://java.com/ja/download/manual.jsp別ウィンドウで開く
https://www.oracle.com/technetwork/java/javase/downloads/index.html別ウィンドウで開く

なお、Oracle 社より2019年4月16日以降の Java のリリースについて、ライセンスの変更が案内されております。特に商用利用を行う組織においてはライセンス別ウィンドウで開くをご確認の上、ベンダの有償サポートを受ける等の適切な対応をお取りください。なお、IPAではライセンスの詳細やサポートの内容については把握しておりませんので、Oracle 社の公開している情報をご確認いただくか、もしくは直接 Oracle 社にお問合せください。

https://www.ipa.go.jp/security/ciadr/vul/20220720-jre.html