JPCERT コーディネーションセンター

Weekly Report 2022-02-09号

JPCERT-WR-2022-0601
JPCERT/CC
2022-02-09

<<< JPCERT/CC WEEKLY REPORT 2022-02-09 >>>

■01/30(日)〜02/05(土) のセキュリティ関連情報

目 次

【1】Sambaに複数の脆弱性

【2】Google Chromeに複数の脆弱性

【3】MIPS上で動作するOpenSSLにおけるBN_mod_exp()の誤った処理による脆弱性

【4】Cisco Small Business RVシリーズルーターに複数の脆弱性

【5】CSV+にクロスサイトスクリプティングの脆弱性

【今週のひとくちメモ】NISCがサイバーセキュリティ戦略(令和3年9月28日閣議決定)のカラーパンフレットを掲載

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr220601.txt
https://www.jpcert.or.jp/wr/2022/wr220601.xml

【1】Sambaに複数の脆弱性

情報源

CISA Current Activity
Samba Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/02/01/samba-releases-security-updates

概要

Sambaには、複数の脆弱性があります。結果として、遠隔の第三者が任意のコ
マンドを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Samba 4.15.5より前のバージョン
- Samba 4.14.12より前のバージョン
- Samba 4.13.17より前のバージョン

この問題は、SambaをThe Samba Teamが提供する修正済みのバージョンに更新
することで解決します。詳細は、The Samba Teamが提供する情報を参照してく
ださい。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#92602689
Samba vfs_fruitモジュールにおける拡張ファイル属性の安全でない処理による境界外読み書きの脆弱性
https://jvn.jp/vu/JVNVU92602689/

関連文書 (英語)

The Samba Team
Samba Security Releases
https://www.samba.org/samba/history/security.html

CERT/CC Vulnerability Note VU#119678
Samba vfs_fruit module insecurely handles extended file attributes
https://kb.cert.org/vuls/id/119678

【2】Google Chromeに複数の脆弱性

情報源

CISA Current Activity
Google Releases Security Updates for Chrome
https://www.cisa.gov/uscert/ncas/current-activity/2022/02/02/google-releases-security-updates-chrome

概要

Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 98.0.4758.80/81/82(Windows版)より前のバージョン
- Google Chrome 98.0.4758.80(MacおよびLinux版)より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/02/stable-channel-update-for-desktop.html

【3】MIPS上で動作するOpenSSLにおけるBN_mod_exp()の誤った処理による脆弱性

情報源

Japan Vulnerability Notes JVNVU#95979433
MIPS上で動作するOpenSSLにおけるBN_mod_exp()の誤った処理
https://jvn.jp/vu/JVNVU95979433/

概要

MIPS上で動作するOpenSSLには、BN_mod_exp()で誤った結果を生成する可能性
があります。結果として、第三者が秘密鍵に関する情報を推測し、暗号化され
た通信内容を解読する可能性があります。

対象となるバージョンは次のとおりです。

MIPSプラットフォーム上で動作する次のバージョンのOpenSSL
- OpenSSL 1.0.2
- OpenSSL 1.1.1
- OpenSSL 3.0.0

なお、OpenSSL 1.1.0はサポートが終了しているため、本脆弱性の評価を実施
していないとのことです。

この問題は、OpenSSLをOpenSSL Projectが提供する修正済みのバージョンに更
新することで解決します。詳細は、OpenSSL Projectが提供する情報を参照し
てください。

関連文書 (英語)

OpenSSL Project
OpenSSL Security Advisory [28 January 2022]
https://www.openssl.org/news/secadv/20220128.txt

【4】Cisco Small Business RVシリーズルーターに複数の脆弱性

情報源

CISA Current Activity
Cisco Releases Security Updates for RV Series Routers
https://www.cisa.gov/uscert/ncas/current-activity/2022/02/03/cisco-releases-security-updates-rv-series-routers

概要

Cisco Small Business RVシリーズルーターには、複数の脆弱性があります。
結果として、遠隔の第三者が任意のコマンドを実行するなどの可能性がありま
す。

対象となる製品およびバージョンは次のとおりです。

- RV160およびRV260シリーズルーター
  - ファームウェアバージョン1.0.01.05およびそれ以前
- RV340およびRV345シリーズルーター
  - ファームウェアバージョン1.0.03.24

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)

Cisco
Cisco Small Business RV Series Routers Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-smb-mult-vuln-KA9PK6D

【5】CSV+にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#67396225
CSV+ におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN67396225/

概要

CSV+には、クロスサイトスクリプティングの脆弱性があります。結果として、
第三者が、当該製品を使用しているユーザーに細工されたCSVファイルを読み
込ませ、リンクをクリックさせることで、任意のスクリプトを実行したり、
OSコマンドを実行したりする可能性があります。

対象となるバージョンは次のとおりです。

- CSV+ 0.8.1より前のバージョン

この問題は、CSV+を開発者が提供する修正済みのバージョンに更新することで
解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)

Plus one
0.8.1 脆弱性対応
https://github.com/plusone-masaki/csv-plus/releases/tag/v0.8.1

■今週のひとくちメモ

○NISCがサイバーセキュリティ戦略(令和3年9月28日閣議決定)のカラーパンフレットを掲載

2022年2月1日、内閣サイバーセキュリティセンター(NISC)がサイバーセキュ
リティ戦略(令和3年9月28日閣議決定)のカラーパンフレット(日本語版と英
語版)をWebサイトに掲載しました。

参考文献 (日本語)

内閣サイバーセキュリティセンター(NISC)
サイバーセキュリティ戦略 Cybersecurity for All 誰も取り残さないサイバーセキュリティ
https://www.nisc.go.jp/active/kihon/pdf/cs-senryaku2021-c.pdf

参考文献 (英語)

内閣サイバーセキュリティセンター(NISC)
Cybersecurity Strategy: Cybersecurity for All "Cybersecurity which leaves no-one behind"
https://www.nisc.go.jp/active/kihon/pdf/cs-senryaku2021-en-booklet.pdf

■JPCERT/CCからのお願い

  • 本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter