JPCERT コーディネーションセンター

Weekly Report 2021-04-07号

JPCERT-WR-2021-1401
JPCERT/CC
2021-04-07

<<< JPCERT/CC WEEKLY REPORT 2021-04-07 >>>

■03/28(日)〜04/03(土) のセキュリティ関連情報

目 次

【1】Google Chromeに複数の脆弱性

【2】Citrix Hypervisor(XenServer)に複数の脆弱性

【3】VMware製品に複数の脆弱性

【4】GitLabに複数の脆弱性

【5】書庫一括操作ユーティリティにディレクトリトラバーサルの脆弱性

【今週のひとくちメモ】IPAが「企業ウェブサイトのための脆弱性対応ガイド」改訂版や研究会報告書などを公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr211401.txt
https://www.jpcert.or.jp/wr/2021/wr211401.xml

【1】Google Chromeに複数の脆弱性

情報源

CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/03/31/google-releases-security-updates-chrome

概要

Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 89.0.4389.114より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/03/stable-channel-update-for-desktop_30.html

【2】Citrix Hypervisor(XenServer)に複数の脆弱性

情報源

CISA Current Activity
Citrix Releases Security Updates for Hypervisor
https://us-cert.cisa.gov/ncas/current-activity/2021/03/31/citrix-releases-security-updates-hypervisor

概要

Citrix Hypervisor(XenServer)には複数の脆弱性があります。結果として、
第三者が脆弱性を利用し、サービス運用妨害(DoS)攻撃を行う可能性があり
ます。

対象となる製品およびバージョンは次のとおりです。

- Citrix Hypervisor 8.2 LTSR
- Citrix XenServer 7.1 LTSR CU2
- Citrix XenServer 7.0

この問題は、Citrixが提供する修正済みのバージョンに更新することで解決し
ます。詳細は、Citrixが提供する情報を参照してください。

関連文書 (英語)

Citrix
Citrix Hypervisor Security Update
https://support.citrix.com/article/CTX306565

【3】VMware製品に複数の脆弱性

情報源

CISA Current Activity
VMware Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/03/31/vmware-releases-security-updates

CISA Current Activity
VMware Releases Security Update
https://us-cert.cisa.gov/ncas/current-activity/2021/04/02/vmware-releases-security-update

概要

VMware製品には、複数の脆弱性があります。結果として、遠隔の第三者が、管
理者の認証情報を取得したり、任意のファイルを作成したりするなどの可能性
があります。

対象となる製品およびバージョンは次のとおりです。

- VMware vRealize Operations Manager 8.3.0
- VMware vRealize Operations Manager 8.2.0
- VMware vRealize Operations Manager 8.1.1, 8.1.0
- VMware vRealize Operations Manager 8.0.1, 8.0.0
- VMware vRealize Operations Manager 7.5.0
- VMware vRealize Operations Manager 7.0.0
- VMware Cloud Foundation (vROps) 4系
- VMware Cloud Foundation (vROps) 3系
- VMware vRealize Suite Lifecycle Manager (vROps) 8系
- VMware Carbon Black Cloud Workload appliance 1.0.1およびそれ以前

この問題は、VMwareが提供するパッチを適用することで解決します。詳細は、
VMwareが提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC 注意喚起
VMware vRealize Operations Managerなどの複数の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210016.html

関連文書 (英語)

VMware Security Advisories
VMSA-2021-0004.1
https://www.vmware.com/security/advisories/VMSA-2021-0004.html

VMware Security Advisories
VMSA-2021-0005
https://www.vmware.com/security/advisories/VMSA-2021-0005.html

【4】GitLabに複数の脆弱性

情報源

GitLab
GitLab Security Release: 13.10.1, 13.9.5, and 13.8.7
https://about.gitlab.com/releases/2021/03/31/security-release-gitlab-13-10-1-released/

概要

GitLabには、複数の脆弱性があります。結果として、遠隔の第三者がサーバー
上の任意のファイルを窃取するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- GitLab Community EditionおよびEnterprise Edition 13.10.1より前の13.10系バージョン
- GitLab Community EditionおよびEnterprise Edition 13.9.5より前の13.9系バージョン
- GitLab Community EditionおよびEnterprise Edition 13.8.7より前の13.8系バージョン

なお、GitLabによると、上記に記載されていないバージョンも影響を受けると
のことです。

この問題は、該当する製品をGitLabが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、GitLabが提供する情報を参照してください。

【5】書庫一括操作ユーティリティにディレクトリトラバーサルの脆弱性

情報源

Japan Vulnerability Notes JVN#73236007
書庫一括操作ユーティリティにおけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN73236007/

概要

書庫一括操作ユーティリティには、ディレクトリトラバーサルの脆弱性があり
ます。細工されたZIPアーカイブを展開した結果、当該ソフトウェアの権限で
アクセス可能な範囲でファイルを作成したり既存のファイルを上書きしたりす
る可能性があります。

対象となるバージョンは次のとおりです。

- 書庫一括操作ユーティリティ Ver.2.10.1.0およびそれ以前

この問題は、EikiSoftが提供する修正済みのバージョンに更新することで解決
します。詳細は、EikiSoftが提供する情報を参照してください。

関連文書 (日本語)

EikiSoft
JVN#73236007 書庫一括操作ユーティリティの脆弱性対応について
http://www.eikisoft.com/release01.html

■今週のひとくちメモ

○IPAが「企業ウェブサイトのための脆弱性対応ガイド」改訂版や研究会報告書などを公開

2021年3月30日、独立行政法人情報処理推進機構(IPA)は、小規模Webサイト
運営者の脆弱性対策状況の調査結果報告書を公表しました。この報告書は、2
012年度の調査結果と比較考察を行っています。またIPAは、Webサイト運営者
が取るべき脆弱性対応をとりまとめた「企業ウェブサイトのための脆弱性対応
ガイド」を調査結果を踏まえて改訂し、公開しました。

参考文献 (日本語)

独立行政法人 情報処理推進機構
「企業ウェブサイトのための脆弱性対応ガイド」改訂版や研究会報告書などを公開
https://www.ipa.go.jp/security/fy2020/reports/vuln_handling/

■JPCERT/CCからのお願い

  • 本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter