<<< JPCERT/CC WEEKLY REPORT 2021-10-13 >>>

■10/03(日)〜10/09(土) のセキュリティ関連情報

目　次

【1】Apache HTTP Serverにディレクトリトラバーサルの脆弱性

【2】複数のCisco製品に脆弱性

【3】複数のMozilla製品に脆弱性

【4】スマートフォンアプリ「Nike」における Custom URL Scheme の処理にアクセス制限不備の脆弱性

【今週のひとくちメモ】NOTICEの取組改善に向けた調査協力のお願いについて

【1】Apache HTTP Serverにディレクトリトラバーサルの脆弱性

情報源

Japan Vulnerability Notes JVN#51106450
Apache HTTP Server におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN51106450/

概要

Apache HTTP Serverには、ディレクトリトラバーサルの脆弱性があります。結
果として、遠隔の第三者が、ドキュメントルート外に置かれたアクセスを適切
に制限されていないファイルにアクセスするなどの可能性があります。

対象となるバージョンは次のとおりです。

バージョン
- Apache HTTP Server2.4.49および2.4.50

この問題は、該当する製品をThe Apache Software Foundationが提供する修正
済みのバージョンに更新することで解決します。詳細は、The Apache Software
Foundationが提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC注意喚起
Apache HTTP Serverのパストラバーサルの脆弱性（CVE-2021-41773）に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210043.html

関連文書 (英語)

The Apache Software Foundation
Fixed in Apache HTTP Server 2.4.51
https://httpd.apache.org/security/vulnerabilities_24.html#2.4.51

CISA Current Activity
Apache Releases HTTP Server version 2.4.51 to Address Vulnerabilities Under Exploitation
https://us-cert.cisa.gov/ncas/current-activity/2021/10/07/apache-releases-http-server-version-2451-address-vulnerabilities

【2】複数のCisco製品に脆弱性

情報源

CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/10/07/cisco-releases-security-updates-multiple-products

概要

複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が権限
を昇格するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ
情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)

Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【3】複数のMozilla製品に脆弱性

情報源

CISA Current Activity
Mozilla Releases Security Updates for Firefox and Firefox ESR
https://us-cert.cisa.gov/ncas/current-activity/2021/10/06/mozilla-releases-security-updates-firefox-and-firefox-esr

概要

複数のMozilla製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 93より前のバージョン
- Mozilla Firefox ESR 91.2より前のバージョン
- Mozilla Firefox ESR 78.15より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)

Mozilla
Mozilla Foundation Security Advisory 2021-43
https://www.mozilla.org/en-US/security/advisories/mfsa2021-43/

Mozilla
Mozilla Foundation Security Advisory 2021-44
https://www.mozilla.org/en-US/security/advisories/mfsa2021-44/

Mozilla
Mozilla Foundation Security Advisory 2021-45
https://www.mozilla.org/en-US/security/advisories/mfsa2021-45/

【4】スマートフォンアプリ「Nike」における Custom URL Scheme の処理にアクセス制限不備の脆弱性

情報源

Japan Vulnerability Notes JVN#89126639
スマートフォンアプリ「Nike」における Custom URL Scheme の処理にアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN89126639/

概要

Nike, Inc.が提供するスマートフォンアプリ「Nike」には、Custom URL Scheme
を利用した機能においてアクセス制限不備の脆弱性があります。結果として、
遠隔の第三者が、当該製品を経由し、任意のWebサイトにアクセスを誘導する
可能性があります。

対象となるバージョンは次のとおりです。

バージョン
- Androidアプリ「Nike」バージョン2.177より前のバージョン
- iOSアプリ「Nike」バージョン2.177.1より前のバージョン

この問題は、該当する製品をNike, Inc.が提供する修正済みのバージョンに更
新することで解決します。詳細はNike, Inc.が提供する情報を参照してくださ
い。

■今週のひとくちメモ

○NOTICEの取組改善に向けた調査協力のお願いについて

総務省、国立研究開発法人情報通信研究機構（NICT）および一般社団法人ICT-ISAC
は、2021年10月4日に「サイバー攻撃に悪用される恐れのあるIoT機器の利用者
への注意喚起の取組改善に向けた調査への協力のお願い」を公開しました。

インターネットサービスプロバイダ(ISP)と連携し、サイバー攻撃に悪用される
恐れのあるIoT機器の調査および当該機器の利用者への注意喚起を行う取組
「NOTICE（National Operation Towards IoT Clean Environment）」の取組改
善の調査を実施します。2021年10月から12月にかけて、通知対象者に対して、
注意喚起の内容など効果的な注意の伝え方などを電話による調査をするとのこ
とです。

参考文献 (日本語)

一般社団法人ICT-ISAC
サイバー攻撃に悪用されるおそれのあるIoT機器の利用者への注意喚起の取組改善に向けた調査への協力のお願い
https://www.ict-isac.jp/news/news20211004.html

■JPCERT/CCからのお願い