公開日:2023/10/19 最終更新日:2023/10/19

JVN#28846531
ジャストシステム製品における複数の脆弱性

概要

ジャストシステム製品には、複数の脆弱性が存在します。

影響を受けるシステム

  • 一太郎シリーズ
  • 楽々はがきシリーズ
  • JUST Officeシリーズ
  • JUST Governmentシリーズ
  • JUST Policeシリーズ
影響を受ける製品は広範囲に及びます。詳細は製品開発者が提供する情報を確認してください。

詳細情報

ジャストシステム製品には、次の複数の脆弱性が存在します。

  • 解放済みメモリの使用 (use-after-free) (CWE-416) - CVE-2023-34366
    CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L 基本値: 3.3
    CVSS v2 AV:L/AC:M/Au:N/C:N/I:N/A:P 基本値: 1.9
  • 整数オーバーフロー (CWE-190) - CVE-2023-38127
    CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L 基本値: 3.3
    CVSS v2 AV:L/AC:M/Au:N/C:N/I:N/A:P 基本値: 1.9
  • 型の取り違え (CWE-843) - CVE-2023-38128
    CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L 基本値: 3.3
    CVSS v2 AV:L/AC:M/Au:N/C:N/I:N/A:P 基本値: 1.9
  • 配列インデックスに対する不適切な検証 (CWE-129) - CVE-2023-35126
    CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L 基本値: 3.3
    CVSS v2 AV:L/AC:M/Au:N/C:N/I:N/A:P 基本値: 1.9

想定される影響

細工されたファイルを読み込むことで、当該製品が異常終了する可能性があります。

対策方法

パッチを適用する
開発者が提供する情報をもとにパッチを適用してください。
詳細は、製品開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
株式会社ジャストシステム [JS23002] ジャストシステム商品を安心してお使いいただくために

参考情報

JPCERT/CCからの補足情報

報告者は、任意のコードを実行可能であると指摘しています。
一方開発者は、実証されたのは異常終了までであり、任意のコード実行は実証されていないとして、本件の影響は異常終了としています。

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、Cisco Talos Security Intelligence & Research Group が製品開発者に直接報告し、製品開発者との調整を経て、製品利用者への周知を目的に JVN での公表に至りました。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2023-34366
CVE-2023-38127
CVE-2023-38128
CVE-2023-35126
JVN iPedia JVNDB-2023-000102