本記事は、1月上旬に発表された脆弱性情報をまとめたものになります。
脆弱性対応状況の振り返りなどにご活用下さい。
JPCERT Weekly Report
富士電機製V-SFT、TELLUSおよびV-Serverに複数の脆弱性
下記製品・バージョンには脆弱性があり、情報が流出したり、任意のコードを実行される可能性があります。
- V-SFT v6.1.7.0およびそれ以前
- TELLUS v4.0.12.0およびそれ以前
- V-Server v4.0.12.0およびそれ以前
FortiADCにOSコマンドインジェクションの脆弱性
下記製品・バージョンにはOSコマンドインジェクションの脆弱性があり、第三者に任意のコードを実行される可能性があります。
- FortiADC バージョン7.0.0から7.0.1まで
- FortiADC バージョン6.2.0から6.2.3まで
- FortiADC バージョン6.1.0から6.1.6まで
- FortiADC バージョン6.0.0から6.0.4まで
- FortiADC バージョン5.4.0から5.4.5まで
Synology VPN Plus Serverに任意のコード実行の脆弱性
下記製品・バージョンには脆弱性があり、遠隔の第三者が任意のコードを実行する可能性があります。
- VPN Plus Server for SRM 1.3 1.4.4-0635より前のバージョン
- VPN Plus Server for SRM 1.2 1.4.3-0534より前のバージョン
デジタルアーツ製m-FILTERに認証不備の脆弱性
下記製品・バージョンには特定の条件下においてメール送信時に認証不備の脆弱性があり、遠隔の第三者によって意図しないメールを送信される可能性があります。
- m-FILTER Ver.5.70R01より前のバージョン (Ver.5系)
- m-FILTER Ver.4.87R04より前のバージョン (Ver.4系)
Apache TomcatのJsonErrorReportValveにエスケープ処理不備の問題
下記バージョンのApache TomcatのJsonErrorReportValveクラスには、エスケープ処理不備の問題があり、JSON出力を無効化されたり、操作されたりする可能性があります。
- Apache Tomcat 10.1.0-M1から10.1.1までのバージョン
- Apache Tomcat 9.0.40から9.0.68までのバージョン
- Apache Tomcat 8.5.83
ruby-gitに複数のコードインジェクションの脆弱性
下記バージョンのruby-gitには、複数のコードインジェクションの脆弱性があり、任意のrubyコードを実行される可能性があります。
- ruby-git v1.13.0より前のバージョン
CVE
Apache Tomcatの脆弱性(Low: CVE-2022-45143)
ユーザーが与えたデータから構築される一部のJSON出力がエスケープされていなかったため、任意の出力を行えてしまう可能性があります。
Linux KernelのSYSCTLサブシステムでスタックオーバーフローの脆弱性(Important: CVE-2022-4378)
スタックオーバーフローの脆弱性があり、ローカルユーザがシステムをクラッシュさせたり特権を昇格することができる可能性があります。
jsonwebtokenに任意のファイル書き込みの脆弱性(High: CVE-2022-23529)
悪意の有る攻撃者がキー取得パラメータを変更できる場合、ホストマシンに任意のファイルを書き込むことができます。
参考サイト:
https://www.jpcert.or.jp/wr/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-45143
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-4378
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23529
※本記事は掲載時点の情報であり、最新の情報とは異なる場合があります。予めご了承ください。