<<< JPCERT/CC WEEKLY REPORT 2022-03-24 >>>
■03/13(日)〜03/19(土) のセキュリティ関連情報
目 次
【1】ISC BIND 9に複数の脆弱性
【2】Google Chromeに複数の脆弱性
【3】複数のApple製品に脆弱性
【4】Apache HTTP Serverに複数の脆弱性
【5】WordPressに複数の脆弱性
【6】OpenSSLにサービス運用妨害(DoS)の脆弱性
【7】Drupalのサードパーティライブラリに複数の脆弱性
【8】CRI-Oに権限昇格の脆弱性
【9】キングソフト製「WPS Office」および「KINGSOFT Internet Security」に複数の脆弱性
【10】pfSenseに複数の脆弱性
【今週のひとくちメモ】JPCERT/CCが「サイバー政策動向を知ろう Watch! Cyber World vol.2|ランキング」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr221201.txt
https://www.jpcert.or.jp/wr/2022/wr221201.xml
【1】ISC BIND 9に複数の脆弱性
情報源
CISA Current Activity
ISC Releases Security Advisories for BIND
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/17/isc-releases-security-advisories-bind
概要
ISC BIND 9には、複数の脆弱性があります。結果として、遠隔の第三者がサー ビス運用妨害(DoS)攻撃を行うなどの可能性があります。 対象となるバージョンは次のとおりです。 - BIND 9.11.0から9.11.36までのバージョン - BIND 9.12.0から9.16.26までのバージョン - BIND 9.17.0から9.18.0までのバージョン - BIND Supported Preview Edition 9.11.4-S1から9.11.36-S1までのバージョン - BIND Supported Preview Edition 9.16.8-S1から9.16.26-S1までのバージョン なお、すでにサポートが終了しているBIND 9も影響を受ける可能性があります。 この問題は、該当する製品をISCが提供する修正済みのバージョンに更新する ことで解決します。詳細は、ISCが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
ISC BIND 9における複数の脆弱性について(2022年3月)
https://www.jpcert.or.jp/newsflash/2022031701.html日本レジストリサービス (JPRS)
BIND 9.xの脆弱性(キャッシュポイズニングの危険性)について(CVE-2021-25220)- DNSフォワーダーのみ対象、バージョンアップを推奨 -
https://jprs.jp/tech/security/2022-03-17-bind9-vuln-forwarder.html日本レジストリサービス (JPRS)
BIND 9.xの脆弱性(システムリソースの過度な消費)について(CVE-2022-0396)- keep-response-orderを有効にしている場合のみ対象、バージョンアップを推奨 -
https://jprs.jp/tech/security/2022-03-17-bind9-vuln-keep-response-order.html日本レジストリサービス (JPRS)
(緊急)BIND 9.18.0の脆弱性(DNSサービスの停止)について(CVE-2022-0635)- BIND 9.18.0のみが対象、バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2022-03-17-bind9-vuln-aggressiveuse.html日本レジストリサービス (JPRS)
(緊急)BIND 9.18.0の脆弱性(DNSサービスの停止)について(CVE-2022-0667)- BIND 9.18.0のみが対象、バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2022-03-17-bind9-vuln-dslookup.htmlJapan Vulnerability Notes JVNVU#98927070
ISC BINDにおける複数の脆弱性
https://jvn.jp/vu/JVNVU98927070/
関連文書 (英語)
Internet Systems Consortium(ISC)
CVE-2021-25220: DNS forwarders - cache poisoning vulnerability
https://kb.isc.org/docs/cve-2021-25220Internet Systems Consortium(ISC)
CVE-2022-0396: DoS from specifically crafted TCP packets
https://kb.isc.org/docs/cve-2022-0396Internet Systems Consortium(ISC)
CVE-2022-0635: DNAME insist with synth-from-dnssec enabled
https://kb.isc.org/docs/cve-2022-0635Internet Systems Consortium(ISC)
CVE-2022-0667: Assertion failure on delayed DS lookup
https://kb.isc.org/docs/cve-2022-0667
【2】Google Chromeに複数の脆弱性
情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/16/google-releases-security-updates-chrome
概要
Google Chromeには、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 99.0.4844.74より前のバージョン この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新 することで解決します。詳細は、Googleが提供する情報を参照してください。
関連文書 (英語)
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/03/stable-channel-update-for-desktop_15.html
【3】複数のApple製品に脆弱性
情報源
CISA Current Activity
Apple Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/16/apple-releases-security-updates-multiple-products
概要
複数のApple製品には、脆弱性があります。結果として、遠隔の第三者が任意 のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - iOS 15.4より前のバージョン - iPadOS 15.4より前のバージョン - macOS Monterey 12.3より前のバージョン - macOS Big Sur 11.6.5より前のバージョン - macOS Catalina(Security Update 2022-003 未適用) - tvOS 15.4より前のバージョン - iTunes for Windows 12.12.3より前のバージョン - Xcode 13.3より前のバージョン - Logic Pro X 10.7.3より前のバージョン - GarageBand 10.4.6より前のバージョン - watchOS 8.5より前のバージョン - Safari 15.4より前のバージョン この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Appleが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Apple製品のアップデートについて(2022年3月)
https://www.jpcert.or.jp/newsflash/2022031501.htmlApple
iOS 15.4 および iPadOS 15.4 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213182Apple
macOS Monterey 12.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213183Apple
macOS Big Sur 11.6.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213184Apple
セキュリティアップデート 2022-003 Catalina のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213185Apple
tvOS 15.4 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213186Apple
iTunes for Windows 12.12.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213188Apple
Xcode 13.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213189Apple
Logic Pro X 10.7.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213190Apple
GarageBand 10.4.6 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213191Apple
watchOS 8.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213193Apple
Safari 15.4 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213187
【4】Apache HTTP Serverに複数の脆弱性
情報源
Japan Vulnerability Notes JVNVU#99602154
Apache HTTP Server 2.4における複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU99602154/
概要
The Apache Software Foundationが提供するApache HTTP Serverには、複数の 脆弱性があります。結果として、遠隔の第三者がサービス運用妨害(DoS)攻 撃を行うなどの可能性があります。 対象となるバージョンは次のとおりです。 - Apache HTTP Server 2.4.52およびそれ以前 この問題は、Apache HTTP Serverを開発者が提供する修正済みのバージョンに 更新することで解決します。詳細は、開発者が提供する情報を参照してくださ い。
関連文書 (英語)
The Apache Software Foundation
Fixed in Apache HTTP Server 2.4.53
https://httpd.apache.org/security/vulnerabilities_24.htmlThe Apache Software Foundation
Apache HTTP Server 2.4.53 Released
https://downloads.apache.org/httpd/Announcement2.4.html
【5】WordPressに複数の脆弱性
情報源
CISA Current Activity
WordPress Releases Security Update
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/17/wordpress-releases-security-update
概要
WordPressには、複数の脆弱性があります。結果として、遠隔の第三者が任意 のスクリプトを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - WordPress 3.7から5.9.2より前のバージョン この問題は、該当する製品をWordPressが提供する修正済みのバージョンに更 新することで解決します。詳細は、WordPressが提供する情報を参照してくだ さい。
関連文書 (英語)
WordPress
WordPress 5.9.2 Security and Maintenance Release
https://wordpress.org/news/2022/03/wordpress-5-9-2-security-maintenance-release/
【6】OpenSSLにサービス運用妨害(DoS)の脆弱性
情報源
CISA Current Activity
OpenSSL Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/17/openssl-releases-security-updates
概要
OpenSSLのBN_mod_sqrt()には、法が非素数の場合、無限ループを引き起こす問 題があります。結果として、サービス運用妨害(DoS)状態になる可能性があ ります。 対象となるバージョンは次のとおりです。 - OpenSSL 1.0.2zdより前の1.0.2系のバージョン - OpenSSL 1.1.0系のすべてのバージョン - OpenSSL 1.1.1nより前の1.1.1系のバージョン - OpenSSL 3.0.2より前の3.0系のバージョン この問題は、OpenSSLをOpenSSL Projectが提供する修正済みのバージョンに更 新することで解決します。詳細は、OpenSSL Projectが提供する情報を参照し てください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#90813125
OpenSSLのBN_mod_sqrt()における法が非素数のときに無限ループを引き起こす問題
https://jvn.jp/vu/JVNVU90813125/
関連文書 (英語)
OpenSSL
OpenSSL Security Advisory [15 March 2022]
https://www.openssl.org/news/secadv/20220315.txt
【7】Drupalのサードパーティライブラリに複数の脆弱性
情報源
CISA Current Activity
Drupal Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/17/drupal-releases-security-updates
概要
Drupalが使用するCKEditorライブラリには、複数の脆弱性があります。結果と して、第三者が任意のスクリプトを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Drupal 9.3.8より前の9.3系バージョン - Drupal 9.2.15より前の9.2系バージョン この問題は、該当する製品をDrupalが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Drupalが提供する情報を参照してください。
関連文書 (英語)
Drupal
Drupal core - Moderately critical - Third-party libraries - SA-CORE-2022-005
https://www.drupal.org/sa-core-2022-005
【8】CRI-Oに権限昇格の脆弱性
情報源
CISA Current Activity
CRI-O Security Update for Kubernetes
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/18/cri-o-security-update-kubernetes
概要
CRI-Oには、権限昇格の脆弱性があります。結果として、CRI-Oランタイムを使 用するKubernetesクラスターにポッドをデプロイする権限を持つユーザーがルー ト権限で任意のコードを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - CRI-O 1.19.6より前のバージョン - CRI-O 1.20.7より前のバージョン - CRI-O 1.21.6より前のバージョン - CRI-O 1.22.3より前のバージョン - CRI-O 1.23.2より前のバージョン - CRI-O 1.24.0より前のバージョン この問題は、CRI-Oに開発者が提供するパッチを適用することで解決します。 詳細は、開発者が提供する情報を参照してください。
関連文書 (英語)
CRI-O
cri-o: Arbitrary code execution in cri-o via abusing “kernel.core_pattern” kernel parameter
https://github.com/cri-o/cri-o/security/advisories/GHSA-6x2m-w449-qwx7
【9】キングソフト製「WPS Office」および「KINGSOFT Internet Security」に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#21234459
キングソフト製「WPS Office」および「KINGSOFT Internet Security」における複数の脆弱性
https://jvn.jp/jp/JVN21234459/
概要
キングソフト株式会社が提供する「WPS Office」および「KINGSOFT Internet Security」には、複数の脆弱性があります。結果として、第三者が任意のコマンド を実行する可能性があります。 対象となる製品は次のとおりです。 - WPS Office - WPS Presentation - KINGSOFT Internet Security 9 Plus 該当する製品は、サポートが終了しており、修正アップデートは提供されない ことから、キングソフト株式会社が提供する後継製品への移行が推奨されてい ます。詳細は、キングソフト株式会社が提供する情報を参照してください。
関連文書 (日本語)
キングソフト株式会社
WPS Office,KINGSOFT Internet Security の脆弱性に関するお知らせ
https://support.kingsoft.jp/support-info/weakness.html
【10】pfSenseに複数の脆弱性
情報源
Japan Vulnerability Notes JVN#87751554
pfSense における複数の脆弱性
https://jvn.jp/jp/JVN87751554/
概要
pfSenseには、複数の脆弱性があります。結果として、遠隔の第三者が、悪意 のあるURLを通じてcaptiveポータルログインページへアクセスしたユーザーの Webブラウザー上で、任意のスクリプトを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - pfSense CE Software 2.6.0より前のバージョン - pfSense Plus Software 22.01より前のバージョン この問題は、開発者が提供する修正済みのバージョンに更新することで解決し ます。詳細は、開発者が提供する情報を参照してください。
関連文書 (英語)
pfSense
XSS vulnerability in the WebGUI
https://docs.netgate.com/downloads/pfSense-SA-21_02.captiveportal.ascpfSense
File overwrite vulnerability in the WebGUI
https://docs.netgate.com/downloads/pfSense-SA-22_01.webgui.ascpfSense
Multiple vulnerabilities in the WebGUI
https://docs.netgate.com/downloads/pfSense-SA-22_03.webgui.asc
■今週のひとくちメモ
○JPCERT/CCが「サイバー政策動向を知ろう Watch! Cyber World vol.2|ランキング」を公開
2022年3月17日、JPCERT/CCは「サイバー政策動向を知ろう Watch! Cyber World vol.2|ランキング」を公開しました。JPCERT/CCは、サイバーセキュリ ティ政策に関する諸外国の動向調査として政府機関、国際機関、企業などのニュー スの収集および分析を行っています。 vol.2となる今回は、世界各国を対象にした複数のサイバーセキュリティのラン キングから見た日本の強みについて解説しています。
参考文献 (日本語)
JPCERT/CC Eyes
サイバー政策動向を知ろう Watch! Cyber World vol.2|ランキング
https://blogs.jpcert.or.jp/ja/2022/03/cyberworld2.html
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/