JPCERT-WR-2021-3401

JPCERT/CC

2021-09-01

<<< JPCERT/CC WEEKLY REPORT 2021-09-01 >>>

■08/22(日)〜08/28(土) のセキュリティ関連情報

目　次

【1】複数のCisco製品に脆弱性

【2】OpenSSLに複数の脆弱性

【3】複数のVMware製品に脆弱性

【4】複数のF5 Networks製品に脆弱性

【5】複数のソニー製品のインストーラーにDLL読み込みの脆弱性

【6】Movable Typeに複数のクロスサイトスクリプティングの脆弱性

【7】baserCMSにクロスサイトスクリプティングの脆弱性

【8】WordPress用プラグインBooster for WooCommerceに認証回避の脆弱性

【今週のひとくちメモ】日本シーサート協議会が「CSIRT 人材の定義と確保 Ver.2.1」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr213401.txt
https://www.jpcert.or.jp/wr/2021/wr213401.xml

【1】複数のCisco製品に脆弱性

情報源

CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/08/26/cisco-releases-security-updates-multiple-products

概要

複数のCisco製品には、影響度CriticalおよびHighを含む複数の脆弱性があり
ます。結果として、遠隔の第三者が任意のファイルを読み書きするなどの可能
性があります。

対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ
情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供するアドバイザリ情報を参照して
ください。

【2】OpenSSLに複数の脆弱性

情報源

CISA Current Activity
OpenSSL Releases Security Update
https://us-cert.cisa.gov/ncas/current-activity/2021/08/25/openssl-releases-security-update

概要

OpenSSLは、複数の脆弱性があります。脆弱性が悪用されると、第三者がサー
ビス運用妨害（DoS）攻撃などを行う可能性があります。

対象となる製品は次のとおりです。

- OpenSSL 1.1.1kおよびそれ以前のバージョン
- OpenSSL 3.0 alpha/betaリリース

この問題は、OpenSSLをOpenSSL Projectが提供する修正済みのバージョンに更
新することで解決します。なお、OpenSSL 3.0 alpha/betaリリースは正式版リ
リース時までに修正予定とのことです。詳細はOpenSSL Projectが提供する情
報を参照してください。

【3】複数のVMware製品に脆弱性

情報源

CISA Current Activity
VMware Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/08/25/vmware-releases-security-updates-multiple-products

概要

複数のVMware製品には、脆弱性があります。結果として、第三者が影響を受け
るシステムを制御するなどの可能性があります。

対象となる製品は次のとおりです。

- VMware vRealize Operations
- VMware Cloud Foundation
- vRealize Suite Lifecycle Manager

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、VMwareが提供する情報を参照してください。

【4】複数のF5 Networks製品に脆弱性

情報源

CISA Current Activity
F5 Releases August 2021 Security Advisory
https://us-cert.cisa.gov/ncas/current-activity/2021/08/25/f5-releases-august-2021-security-advisory

概要

複数のF5 Networks製品には、影響度Highを含む複数の脆弱性があります。結
果として、第三者がユーザーを詐称して重要な操作をさせることでシステム侵
害につながるなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はF5 Networksが提供するアドバ
イザリ情報を参照してください。

この問題は、該当する製品をF5 Networksが提供する修正済みのバージョンに
更新するか、回避策を適用することで解決します。詳細は、F5 Networksが提
供する情報を参照してください。

【5】複数のソニー製品のインストーラーにDLL読み込みの脆弱性

情報源

Japan Vulnerability Notes JVN#80288258
複数のソニー製品のインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN80288258/

概要

ソニー株式会社が提供する複数の製品のインストーラーには、DLL読み込みに
関する脆弱性があります。結果として、第三者が、インストーラーを実行して
いる権限で、任意のコードを実行する可能性があります。

対象となる製品は次のとおりです。

- Sony Audio USB Driver V1.10およびそれ以前のインストーラー
- HAP Music Transfer Ver.1.3.0およびそれ以前のインストーラー

この問題は、開発者が提供する情報をもとに、最新の手順に従ってインストー
ルを行うことで解決します。
なお、本脆弱性の影響を受けるのはインストーラーの起動時のみです。すでに
製品をインストールしている場合、再インストールする必要はありません。

【6】Movable Typeに複数のクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#97545738
Movable Type における複数のクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN97545738/

概要

Movable Typeには、複数のクロスサイトスクリプティングの脆弱性があります。
結果として、当該製品にログインしているユーザーのWebブラウザー上で、任
意のスクリプトを実行される可能性があります。

対象となるバージョンは以下のとおりです。

- Movable Type 7 r.4903およびそれ以前 (Movable Type 7系)
- Movable Type 6.8.0およびそれ以前 (Movable Type 6系)
- Movable Type Advanced 7 r.4903およびそれ以前 (Movable Type Advanced 7系)
- Movable Type Premium 1.44およびそれ以前
- Movable Type Premium Advanced 1.44およびそれ以前

この問題は、Movable Typeをシックス・アパート株式会社が提供する修正済み
のバージョンに更新することで解決します。詳細は、シックス・アパート株式
会社が提供する情報を参照してください。

【7】baserCMSにクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#14134801
baserCMS におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN14134801/

概要

baserCMSユーザー会が提供するbaserCMSには、クロスサイトスクリプティング
の脆弱性があります。結果として、当該製品を使用しているサイトにアクセス
したユーザーのWebブラウザー上で、任意のスクリプトを実行される可能性が
あります。

対象となるバージョンは次のとおりです。

- baserCMS 4.5.1より前のバージョン

この問題は、該当する製品をbaserCMSユーザー会が提供する修正済みのバージョン
に更新することで解決します。詳細は、baserCMSユーザー会が提供する情報を
参照してください。

【8】WordPress用プラグインBooster for WooCommerceに認証回避の脆弱性

情報源

Wordfence
Critical Authentication Bypass Vulnerability Patched in Booster for WooCommerce
https://www.wordfence.com/blog/2021/08/critical-authentication-bypass-vulnerability-patched-in-booster-for-woocommerce/

概要

WordPress用プラグインBooster for WooCommerceには、認証回避の脆弱性があ
ります。結果として、遠隔の第三者が、当該製品にアカウントを持つユーザー
を詐称し、不正にログインする可能性があります。

対象となるバージョンは次のとおりです。

- Booster for WooCommerce 5.4.3およびそれ以前

この問題は、Booster for WooCommerceを開発者が提供する修正済みのバージョン
に更新することで解決します。詳細は、開発者が提供する情報を参照してくだ
さい。

■今週のひとくちメモ

○日本シーサート協議会が「CSIRT 人材の定義と確保 Ver.2.1」を公開

2021年8月23日、日本シーサート協議会は、CSIRTに求められる役割と実現に必
要な人材のスキル、キャリアパスについて解説した「CSIRT 人材の定義と確保」
の最新版となるVer.2.1を公開しました。

CSIRTの役割と業務内容に「経営者（CISO、CSO、社長など）、CSIRT運営管理
担当、システム運用担当」が追加され、実際のCSIRTに近い役割を反映してお
り、構成する機能、体制、人材がより明確になっています。また、これまで本
資料の記載対象外とされていた「モデルD：一部の大学などおいて構築・運用
されているCSIRT」に関する説明が追加され、より多様なCSIRTをカバーする内
容になっています。

参考文献 (日本語)

日本シーサート協議会
CSIRT 人材の定義と確保 Ver.2.1
https://www.nca.gr.jp/activity/imgs/recruit-hr20201211.pdf

■JPCERT/CCからのお願い

本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2021-09-01号

<<< JPCERT/CC WEEKLY REPORT 2021-09-01 >>>

■08/22(日)〜08/28(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

○日本シーサート協議会が「CSIRT 人材の定義と確保 Ver.2.1」を公開

参考文献 (日本語)

■JPCERT/CCからのお願い

目　次