NECグループ製品セキュリティ情報に3件追加 | ScanNetSecurity
2022.11.28(月)

NECグループ製品セキュリティ情報に3件追加

 日本電気株式会社(NEC)は9月22日、「NECグループ製品セキュリティ情報」に脆弱性問題を3件追加したと発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 日本電気株式会社(NEC)は9月22日、「NECグループ製品セキュリティ情報」に脆弱性問題を3件追加したと発表した。

 追加した脆弱性問題は下記の3点。

・Apache HTTP Server 2.4における複数の脆弱性に対するアップデート
攻撃者によって、リクエストをAJPサーバに転送される(CVE-2022-26377)
攻撃者によって、境界外読み取りが行われる(CVE-2022-28330)
攻撃者によって、意図しないメモリを読み取られる(CVE-2022-28614)
攻撃者によって、サーバのクラッシュや情報の窃取が行われる(CVE-2022-28615)
攻撃者によって、サービス運用妨害(DoS)状態にされる(CVE-2022-29404、CVE-2022-30522)
攻撃者によって、情報が窃取される(CVE-2022-30556)
攻撃者によって、IPベースの認証を回避される(CVE-2022-31813)

 対象となる製品はSimpWright すべてのバージョン。

・OpenSSLに複数の脆弱性
リモートコード実行(CVE-2022-2274)
 OpenSSL 3.0.4リリースのAVX512IFMA命令をサポートするX86_64CPUのRSA実装不備により、2048ビットの秘密鍵を使用すると、計算中にメモリ破壊が発生する可能性がある。

メモリ内のデータが読み取られる(CVE-2022-2097)
 32ビットx86プラットフォーム向けのAES OCBモードにて、AES-NIアセンブリ最適化実装を使用するとデータが暗号化されない場合がある。

 対象となる製品はReportFiling すべてのバージョン。

・Apache Struts 2において任意のコードを実行される脆弱性(S2-062)
 Apache Struts 2は不適切な入力確認(CVE-2021-31805)に起因する任意のコードが実行可能な脆弱性により、遠隔の第三者に任意のコードを実行される可能性がある。本脆弱性はS2-061(CVE-2020-17530、JVN#43969166)における修正が不十分であったことが原因。

 対象となる製品はESMPRO/ServerManager SM6.10~6.58、SM7.00~7.12。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 埼玉大学でドッペルゲンガードメイン「@gmai.com」に自動転送、約10ヶ月間続く

    埼玉大学でドッペルゲンガードメイン「@gmai.com」に自動転送、約10ヶ月間続く

  2. 「非対称パスワード認証」の実証に成功、パスワード漏えいの脅威を一掃

    「非対称パスワード認証」の実証に成功、パスワード漏えいの脅威を一掃

  3. 田沢医院にランサムウェア攻撃、電子カルテシステムが使用できない状況に

    田沢医院にランサムウェア攻撃、電子カルテシステムが使用できない状況に

  4. サイバー犯罪インテリジェンス企業 KELA社が日本で初めてワークショップ開催、アナリスト池上遥氏 登壇(CPEクレジット付与)

    サイバー犯罪インテリジェンス企業 KELA社が日本で初めてワークショップ開催、アナリスト池上遥氏 登壇(CPEクレジット付与)PR

  5. 契約に反し個人情報取扱事務を再委託、横浜市委託先でPC盗難被害

    契約に反し個人情報取扱事務を再委託、横浜市委託先でPC盗難被害

  6. 庁内グループウェアへの不正ログインを繰り返した職員を戒告処分

    庁内グループウェアへの不正ログインを繰り返した職員を戒告処分

  7. 水道メータ取替業務 委託先社員、業務上知った個人情報もとにLINEで連絡

    水道メータ取替業務 委託先社員、業務上知った個人情報もとにLINEで連絡

  8. 秘匿処理が不十分、三重大学の提出資料 個人情報が閲覧可能な状態に

    秘匿処理が不十分、三重大学の提出資料 個人情報が閲覧可能な状態に

  9. サプライチェーンのセキュリティマネジメントの現状

    サプライチェーンのセキュリティマネジメントの現状

  10. 8大詐欺ワードとは、VISAグローバル調査

    8大詐欺ワードとは、VISAグローバル調査

ランキングをもっと見る