JPCERT コーディネーションセンター

Weekly Report 2021-06-30号

JPCERT-WR-2021-2501
JPCERT/CC
2021-06-30

<<< JPCERT/CC WEEKLY REPORT 2021-06-30 >>>

■06/20(日)〜06/26(土) のセキュリティ関連情報

目 次

【1】複数のVMware製品に脆弱性

【2】Citrix Hypervisorに複数の脆弱性

【3】EC-CUBEにクロスサイトスクリプティングの脆弱性

【4】WordPress用プラグインWordPress Popular Postsにクロスサイトスクリプティングの脆弱性

【5】WordPress用プラグイン「不動産プラグイン」シリーズにクロスサイトスクリプティングの脆弱性

【今週のひとくちメモ】日本発のIoT製品・システムを安全に実装するための国際規格について

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr212501.txt
https://www.jpcert.or.jp/wr/2021/wr212501.xml

【1】複数のVMware製品に脆弱性

情報源

CISA Current Activity
VMware Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/06/23/vmware-releases-security-updates

概要

複数のVMware製品には、脆弱性があります。結果として、第三者が認証を経ず
に管理者権限を取得したり、管理者権限でコードを実行したりする可能性があ
ります。

対象となる製品およびバージョンは次のとおりです。
- VMware Carbon Black App Control 8.6.2より前のバージョン
- VMware Carbon Black App Control 8.5.8より前のバージョン
- VMware Carbon Black App Control 8.1系のバージョン
- VMware Carbon Black App Control 8.0系のバージョン
- VMware Tools for Windows 11.2.6より前のバージョン
- VMware Remote Console for Windows (VMRC for Windows) 12.0.1より前のバージョン
- VMware App Volumes for Windows 4系 2103より前のバージョン
- VMware App Volumes for Windows 2.18.10より前のバージョン

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、VMwareが提供する情報を参照してください。

関連文書 (英語)

VMware
VMSA-2021-0012
https://www.vmware.com/security/advisories/VMSA-2021-0012.html

VMware
VMSA-2021-0013
https://www.vmware.com/security/advisories/VMSA-2021-0013.html

【2】Citrix Hypervisorに複数の脆弱性

情報源

CISA Current Activity
Citrix Releases Security Updates for Hypervisor
https://us-cert.cisa.gov/ncas/current-activity/2021/06/25/citrix-releases-security-updates-hypervisor

概要

Citrix Hypervisorには、複数の脆弱性があります。結果として、第三者がサー
ビス運用妨害(DoS)攻撃を行う可能性があります。

対象となるバージョンは次のとおりです。

- Citrix Hypervisor 8.2 LTSR

この問題は、Citrixが提供する修正済みのバージョンに更新することで解決し
ます。詳細は、Citrixが提供する情報を参照してください。

関連文書 (英語)

Citrix
Citrix Hypervisor Security Update
https://support.citrix.com/article/CTX316325

【3】EC-CUBEにクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#95292458
EC-CUBE における複数のクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN95292458/

概要

EC-CUBEには、クロスサイトスクリプティングの脆弱性があります。結果とし
て、遠隔の第三者が、管理者またはユーザーを細工したページに誘導し、特定
の操作を実行させることにより、管理者またはユーザーのWebブラウザー上で
任意のスクリプトを実行する可能性があります。

対象となるバージョンは次のとおりです。

- EC-CUBE 3.0.0から3.0.18-p2まで(EC-CUBE 3系)
- EC-CUBE 4.0.0から4.0.5-p1まで(EC-CUBE 4系)

この問題は、EC-CUBEを株式会社イーシーキューブが提供するアップデートや
パッチを適用することで解決します。詳細は、株式会社イーシーキューブが提
供する情報を参照してください。

関連文書 (日本語)

株式会社イーシーキューブ
EC-CUBE3.0におけるクロスサイトスクリプティングの脆弱性(JVN#95292458)
https://www.ec-cube.net/info/weakness/weakness.php?id=79

株式会社イーシーキューブ
EC-CUBE4.0におけるクロスサイトスクリプティングの脆弱性(JVN#95292458)
https://www.ec-cube.net/info/weakness/weakness.php?id=78

【4】WordPress用プラグインWordPress Popular Postsにクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#63066062
WordPress 用プラグイン WordPress Popular Posts におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN63066062/

概要

WordPress用プラグインWordPress Popular Postsには、クロスサイトスクリプ
ティングの脆弱性があります。結果として、遠隔の第三者が、管理者権限を持
つユーザーのWebブラウザー上でスクリプトを実行する可能性があります。

対象となるバージョンは次のとおりです。

- WordPress Popular Posts 5.3.2およびそれ以前のバージョン

この問題は、本プラグインを開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)

Word Press
WordPress Popular Posts
https://wordpress.org/plugins/wordpress-popular-posts/

【5】WordPress用プラグイン「不動産プラグイン」シリーズにクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#93799513
WordPress 用プラグイン「不動産プラグイン」シリーズにおけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN93799513/

概要

WordPress用プラグイン「不動産プラグイン」シリーズの一部製品には、クロ
スサイトスクリプティングの脆弱性があります。結果として、遠隔の第三者が、
当該製品を使用しているサイトにアクセスしたユーザーのWebブラウザー上で、
任意のスクリプトを実行する可能性があります。

対象となるバージョンは次のとおりです。

- 不動産プラグイン(本体) ver5.7.0およびそれ以前のバージョン
- 不動産プラグインPro シングルユーザ ver5.7.0およびそれ以前のバージョン
- 不動産プラグインPro マルチユーザ ver5.7.0およびそれ以前のバージョン

この問題は、本プラグインを開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)

nendeb biz Market
不動産プラグインシリーズ 6月のバージョンアップと脆弱性の対応を行いました
https://www.nendeb-biz.jp/2021-0617-1200/

■今週のひとくちメモ

○日本発のIoT製品・システムを安全に実装するための国際規格について

日本からISO/IEC JTC 1/SC 41に提案していた、「ISO/IEC 30147:2021
Internet of Things (IoT) - Integration of IoT trustworthiness 
activities in ISO/IEC/IEEE 15288 system engineering processes」が国際
標準規格として成立し、2021年5月に出版されました。

ISO/IEC 30147は、IoT製品やサービスにおけるトラストワージネスの実装・保
守のためのシステムライフサイクルプロセスを提供するものであり、一般的な
システムライフサイクルプロセスの国際規格ISO/IEC/IEEE 15288:2015を適用
・補完する内容となっています。

規格提案の背景や規格の内容について、経済産業省や独立行政法人情報処理推
進機構(IPA)が紹介しています。

参考文献 (日本語)

経済産業省
IoT製品・システムを安全に実装するための国際規格が発行されました
https://www.meti.go.jp/press/2021/06/20210621004/20210621004.html

独立行政法人 情報処理推進機構
IoT製品・サービスにセーフティ・セキュリティ等を実装するプロセスが国際標準として出版 〜日本提案の規格が国際標準化団体ISO/IECにて出版〜
https://www.ipa.go.jp/ikc/info/20210621.html

参考文献 (英語)

国際電気標準会議(IEC)
ISO/IEC 30147:2021
https://webstore.iec.ch/publication/62644

■JPCERT/CCからのお願い

  • 本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter