• 2023.02.07

1月下旬 緊急脆弱性情報

本記事は、1月下旬に発表された脆弱性情報をまとめたものになります。
脆弱性対応状況の振り返りなどにご活用下さい。

JPCERT Weekly Report

複数のマイクロソフト製品に脆弱性

第三者に任意のコードを実行される可能性があります。

Windows 8.1サポートは2023年1月10日に終了しました

ソフトウェア更新プログラムが提供されなくなり、脆弱性が修正されなくなります。

複数のアドビ製品に脆弱性

任意のコードを実行される可能性があります。

複数のJuniper Networks製品に脆弱性

第三者がサービス運用妨害(DoS)攻撃を行う可能性があります。

DrupalのPrivate Taxonomy Termsモジュールに脆弱性

適切な権限が設定されず、ユーザーに悪用される恐れがあります。

Google Chromeに複数の脆弱性

動作が重たくなったり、異常終了する可能性があります。

OpenAM Web Policy Agent(OpenAMコンソーシアム版)にパストラバーサル脆弱性

第三者に予期せぬファイルやリソースにアクセスされる可能性があります。

TP-Link SG105PEに認証回避の脆弱性

第三者に管理者権限で情報の閲覧や設定変更を行われる可能性があります。

pgAdmin 4にオープンリダイレクトの脆弱性

任意のウェブサイトにリダイレクトされる可能性があります。

Intel製oneAPIツールキットに権限昇格の脆弱性

第三者に権限を昇格される可能性があります。

CLUSTERPRO Xに複数の脆弱性

任意のコードを実行される可能性があります。

MAHO-PBX NetDevancerシリーズに複数の脆弱性

任意のOSコマンドを実行する可能性があります。

ピクセラ製PIX-RT100に複数の脆弱性

ドキュメント化されていないTelnetやSSHで製品にアクセスされてしまう可能性があります。

Firefoxに複数の脆弱性

第三者が任意のファイルを読み取る可能性があります。

Cisco Unified Communications ManagerにSQLインジェクションの脆弱性

第三者がデータベースの読み取りや変更、権限昇格を行う可能性があります。

Drupalに複数の脆弱性

コンテンツの編集権限を持つ攻撃者が、アクセスを許可されていないメディアアイテムのメタデータを閲覧する可能性があります。

2023年1月Oracle Critical Patch Updateについて

認証情報なしでリモートから様々な脆弱性を悪用される可能性があります。

Apache HTTP Serverに複数の脆弱性

プロセスをクラッシュされる可能性があります。

WordPress用プラグインWelcart e-Commerceにディレクトリトラバーサルの脆弱性

第三者にサーバー上の任意のファイルを閲覧される可能性があります。

Pgpool-IIに情報漏えいの脆弱性

情報漏洩が起き、取得した認証情報でデータベース内の情報を改ざんされるなどの可能性があります。

TP-Link製ルーターに複数の脆弱性

任意のコードを実行される可能性があります。

Netcomm製ルーターに複数の脆弱性

任意のコードを実行される可能性があります。

詳しい脆弱性情報は、下記URLをご参照ください。
https://www.jpcert.or.jp/wr/2023/wr230118.html
https://www.jpcert.or.jp/wr/2023/wr230125.html

CVE

Apache HTTP Serverの脆弱性情報(Moderate: CVE-2006-20001, CVE-2022-36760, CVE-2022-37436)

リクエストスマグリングやキャッシュ偽造、プロセスのクラッシュを行われる可能性があります。

”sudo -e”オプション(sudoedit)の脆弱性(Important: CVE-2023-22809)

スタックオーバーフローの可能性があります。

BIND 9の脆弱性情報(High: CVE-2022-3094, CVE-2022-3488, CVE-2022-3736, CVE-2022-3924)と新バージョン(9.16.37, 9.18.11, 9.19.9 )

DNSサーバーの動作が不安定になり、異常終了する恐れがあります。

参考サイト:
https://www.jpcert.or.jp/wr/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-20001
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-36760
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-37436
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-22809
https://kb.isc.org/docs/cve-2022-3094
https://kb.isc.org/docs/cve-2022-3488
https://kb.isc.org/docs/cve-2022-3736
https://kb.isc.org/docs/cve-2022-3924

※本記事は掲載時点の情報であり、最新の情報とは異なる場合があります。予めご了承ください。