<<< JPCERT/CC WEEKLY REPORT 2021-11-25 >>>

■11/14(日)〜11/20(土) のセキュリティ関連情報

目　次

【1】Drupalにクロスサイトスクリプティングの脆弱性

【2】Google Chromeに複数の脆弱性

【3】rwtxtにクロスサイトスクリプティングの脆弱性

【4】WordPress用プラグインPush Notifications for WordPress (Lite)にクロスサイトリクエストフォージェリの脆弱性

【5】Data Distribution Serviceの実装における複数の脆弱性

【今週のひとくちメモ】フィッシング対策協議会が「フィッシング対策セミナー2021 講演資料」を公開

【1】Drupalにクロスサイトスクリプティングの脆弱性

情報源

CISA Current Activity
Drupal Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/11/18/drupal-releases-security-updates

概要

Drupalが使用するサードパーティライブラリCKEditorには、複数のクロスサイ
トスクリプティングの脆弱性があります。結果として、当該製品を使用してい
るサイトにアクセスしたユーザーのウェブブラウザー上で、任意のスクリプト
を実行される可能性があります。

対象となるバージョンは次のとおりです。

- Drupal 9.2.9より前の9.2系バージョン
- Drupal 9.1.14より前の9.1系バージョン
- Drupal 8.9.20より前の8.9系バージョン

この問題は、Drupalを開発者が提供する修正済みのバージョンに更新すること
で解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)

Drupal
Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2021-011
https://www.drupal.org/sa-core-2021-011

【2】Google Chromeに複数の脆弱性

情報源

CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/11/16/google-releases-security-updates-chrome

概要

Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 96.0.4664.45より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/11/stable-channel-update-for-desktop.html

【3】rwtxtにクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#22515597
rwtxt におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN22515597/

概要

Zack Schollが提供するコンテンツ管理システムであるrwtxtには、クロスサイ
トスクリプティングの脆弱性があります。結果として、当該製品を使用してい
るサイトにアクセスしたユーザーのウェブブラウザー上で、任意のスクリプト
を実行される可能性があります。

対象となるバージョンは次のとおりです。

- rwtxt v1.8.6より前のバージョン

この問題は、開発者が提供するアップデートを適用することで解決します。詳
細は、開発者が提供する情報を参照してください。

関連文書 (英語)

Zack Scholl
rwtxt
https://github.com/schollz/rwtxt

【4】WordPress用プラグインPush Notifications for WordPress (Lite)にクロスサイトリクエストフォージェリの脆弱性

情報源

Japan Vulnerability Notes JVN#85492429
WordPress 用プラグイン Push Notifications for WordPress (Lite) におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN85492429/

概要

Delite Studioが提供するWordPress用プラグインPush Notifications for
WordPress (Lite)には、クロスサイトリクエストフォージェリの脆弱性があり
ます。結果として、当該製品にログインした状態の管理者権限を持つユーザー
が細工されたページにアクセスした場合、意図しない操作を行う可能性があり
ます。

対象となるバージョンは次のとおりです。

- Push Notifications for WordPress (Lite) 6.0.1より前のバージョン

この問題は、開発者が提供するアップデートを適用することで解決します。詳
細は、開発者が提供する情報を参照してください。

関連文書 (英語)

Delite Studio
Push Notifications for WordPress (Lite)
https://ja.wordpress.org/plugins/push-notifications-for-wp/

Delite Studio
We make software
https://delitestudio.com/en/

【5】Data Distribution Serviceの実装における複数の脆弱性

情報源

CISA Current Activity
CISA Releases Advisory on Vulnerabilities in Multiple Data Distribution Service Implementations
https://us-cert.cisa.gov/ncas/current-activity/2021/11/12/cisa-releases-advisory-vulnerabilities-multiple-data-distribution

概要

Object Management Groupが提供するData Distribution Service（DDS）を実
装しているソフトウェアには、複数の脆弱性があります。結果として、遠隔の
第三者が任意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Eclipse：CycloneDDS 0.8.0より前のバージョン
- eProsima：Fast DDS 2.4.0より前のバージョン
- GurumNetworks：GurumDDSすべてのバージョン
- Object Computing, Inc. (OCI)：OpenDDS 3.18.1より前のバージョン
- Real-Time Innovations (RTI)：Connext DDS Professional、Connext DDS Secure バージョン4.2系から6.1.0
- Real-Time Innovations (RTI)：Connext DDS Micro 3.0.0以降のバージョン
- TwinOaks：Computing CoreDX DDS 5.9.1より前のバージョン

この問題は、各開発者が提供するアップデートを適用することで解決します。
ただしGurumDDSは、2021年11月25日現在アップデートは提供されていません。
詳細は、各開発者が提供する情報を参照してください。

関連文書 (英語)

ICS Advisory (ICSA-21-315-02)
Multiple Data Distribution Service (DDS) Implementations
https://us-cert.cisa.gov/ics/advisories/icsa-21-315-02

■今週のひとくちメモ

○フィッシング対策協議会が「フィッシング対策セミナー2021 講演資料」を公開

2021年11月19日、フィッシング対策協議会は、先日オンラインで実施された
フィッシング対策セミナー2021の講演資料を公開しました。
「暗号資産を狙うフィッシングの事例紹介と対策」や「フィッシング対策技術
とPKI」などの講演資料が公開されています。フィッシングの報告件数は、年
々増加傾向にあります。現状の把握や対策の実施にご参考ください。

参考文献 (日本語)

フィッシング対策協議会
フィッシング対策セミナー2021（オンライン）講演資料公開のお知らせ
https://www.antiphishing.jp/news/info/antiphishing_seminar2021.html

■JPCERT/CCからのお願い