Ⅰ. 概要
VMware社の「VMware Carbon Black App Control」に、OS コマンド インジェクション、およびファイル アップロードの脆弱性が公表されました。
悪用された場合、リモートで不正にOSコマンドを実行されたり、不正なファイルをアップロードされコードを実行される恐れがあります。

影響：VMware App Control管理インターフェイスに対して特権を持つ攻撃者により、対象製品の管理下にある端末の、アプリケーション実行制御やアクセス制御を不正に操作される恐れがあります。

■対象製品とバージョン
・VMware Carbon Black App Control (AppC)　Windows版
バージョン　8.8系　8.8.2未満
8.7系　8.7.4未満
8.6系　8.6.6未満
8.5系　8.5.14未満

■CVE番号(CVSS v3.0 基本値)
・CVE-2022-22951 (9.1)　OSコマンドインジェクションの脆弱性
・CVE-2022-22952 (9.1)　ファイルアップロードの脆弱性

Ⅱ. 対策・回避策
本脆弱性に対する回避策はありません。「Ⅲ．参考情報」をご確認いただき、対策版の適用をご検討ください。

Ⅲ. 参考情報
・VMware Carbon Black App Control update addresses multiple vulnerabilities (CVE-2022-22951,CVE-2022-22952)
https://www.vmware.com/security/advisories/VMSA-2022-0008.html

「Siemens社の複数の産業用製品に複数のセキュリティ上の問題」が公開されましたので、以下のとおり情報共有させていただきます。

外部から製品の機能を停止されたり、情報が漏洩したりする等の恐れのあるセキュリティ上の問題。
ベンダ情報を確認のうえ、対策または回避策の検討を推奨。

1．概要
工場等の産業分野で利用されるSiemens社のイーサネットスイッチやプラント管理ソフトウェア
等、複数の製品にセキュリティ上の問題が公表されました。
悪用された場合、製品が機能停止したり、情報漏洩の被害に繋がる等の恐れがあります。

■対象製品
・Mendix Forgot Password Appstore module
・SINEC INS
・RUGGEDCOM ROXシリーズ

2．対策・回避策
影響を受ける製品を利用している場合には、下記の関連トピックの内容をシステムを運用されてい
る担当者や委託先事業者の窓口の方に共有していただき、対策等のご検討をお願いします。

東日本大震災から11年の歳月が経過しようとしています。

この頃からBCP（事業継続計画）が盛んに叫ばれるようになり、最近ではパンデミックにおけるBCPに変わってきました。

それが、先日の自動車サプライヤーへのサイバー攻撃から、サイバーセキュリティに対するBCPへのニーズへと変わるのではないかと思われます。サイバー攻撃を受けると、サプライチェーンが機能しなくなるのですから。

震災、感染病、セキュリティ・・・等々、これらの脅威から組織をまもらないといけないのです！！！

世界情勢が不安定な中、北京パラリンピックが開催されます。

国際世論の影響を受けて、ロシア、ベラルーシの選手は参加できないみたいです。

国の問題であって選手には責任はないとの声もありますが、ロシア人の中には戦争反対を掲げてデモに参加している人達もたくさん見受けられます。（毒殺されないように気をつけて・・・）

オリンピック・パラリンピックは政治を持ち込まないそうですが、平和を掲げることは問題ないと思いますので、ロシア、ベラルーシの選手もウクライナ侵略への姿勢を明確にして、参加を認めてもいいのではないかと思います。

それも一つの侵略停止へのアピールになるかと・・・