JPCERT2月上旬 緊急脆弱性情報

本記事は、2月上旬に発表された脆弱性情報をまとめたものになります。
脆弱性対応状況の振り返りなどにご活用下さい。

JPCERT Weekly Report

複数のApple製品に脆弱性

第三者が任意のコードを実行するなどの可能性があります。

VMware vRealize Log Insightに複数の脆弱性

遠隔の第三者が、認証なしで任意のコードを実行するなどの可能性があります。

ISC BIND 9に複数の脆弱性

遠隔の第三者がnamedを異常終了させるなどの可能性があります。

Google Chromeに複数の脆弱性

リモートの攻撃者が細工された HTML ページを介してヒープの破損を悪用する可能性がありました。

pgAdmin 4にディレクトリトラバーサルの脆弱性

当該製品のユーザーが、別のユーザーの設定を変更したり、データベースを書き換えたりする可能性があります。

EasyMailにクロスサイトスクリプティングの脆弱性

当該製品を使用しているサイトにアクセスしたユーザーのウェブブラウザー上で、任意のスクリプトを実行される可能性があります。

VMware vRealize Operationsにクロスサイトリクエストフォージェリの脆弱性

攻撃者が当該製品のユーザーの権限で意図しない操作を行う可能性があります

複数のCisco製品に脆弱性

当該製品のユーザーが製品が動作しているOS上でroot権限で任意のコマンドを実行するなどの可能性があります。

DrupalのApigee Edgeモジュールに脆弱性

不適切なアクセス制御の脆弱性があります。

富士フイルムビジネスイノベーション製ドライバー配布ツールに復元可能な形式でのパスワード保存の脆弱性

当該製品の設定ファイルを入手した第三者が、暗号化された管理者の認証情報を復号する可能性があります。

三菱電機製GOT2000シリーズおよびGT SoftGOT2000のGOT Mobile機能に複数の脆弱性

クリックジャッキングにより、ユーザーの意図しない操作が実行されるなどの可能性があります。

ジェイテクトエレクトロニクス製Screen Creator Advance 2に複数の脆弱性

細工されたScreen Creator Advance 2のプロジェクトファイルをユーザーが開くことで、情報が漏えいしたり、任意のコードが実行されたりする可能性があります。

Androidアプリ「スシロー」にログファイルからの情報漏えいの脆弱性

第三者が当該製品のログファイルからユーザーIDおよびパスワードを取得する可能性があります。

詳しい脆弱性情報は、下記URLをご参照ください。

https://www.jpcert.or.jp/wr/2023/wr230201.html

https://www.jpcert.or.jp/wr/2023/wr230208.html

CVE

Linux Kernelの脆弱性

システムユーザの特権昇格が発生する可能性があります。

Apache Portable Runtime(apr)/及びApache Portable Runtime Utility(apr-util)の脆弱性

攻撃者がバッファーの境界を超えて書き込みができる可能性があります。

OpenSSHの脆弱性

メモリが二重開放される脆弱性があります。

phpMyAdminの脆弱性

認証されたユーザーが特別に細工された .sql ファイルをドラッグ・アンド・ドロップインターフェースを介してアップロードすることにより、XSS攻撃を実行できます。

参考サイト：
https://www.jpcert.or.jp/wr/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0240
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0266
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24963
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-25147
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-25136
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-25727

※本記事は掲載時点の情報であり、最新の情報とは異なる場合があります。予めご了承ください。