CISA Current Activity
ISC Releases Security Advisories for BIND
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/17/isc-releases-security-advisories-bind

概要

ISC BIND 9には、複数の脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害（DoS）攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- BIND 9.11.0から9.11.36までのバージョン
- BIND 9.12.0から9.16.26までのバージョン
- BIND 9.17.0から9.18.0までのバージョン
- BIND Supported Preview Edition 9.11.4-S1から9.11.36-S1までのバージョン
- BIND Supported Preview Edition 9.16.8-S1から9.16.26-S1までのバージョン

なお、すでにサポートが終了しているBIND 9も影響を受ける可能性があります。

この問題は、該当する製品をISCが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、ISCが提供する情報を参照してください。

【2】Google Chromeに複数の脆弱性

情報源

CISA Current Activity
Google Releases Security Updates for Chrome
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/16/google-releases-security-updates-chrome

概要

Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 99.0.4844.74より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

【3】複数のApple製品に脆弱性

情報源

CISA Current Activity
Apple Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/16/apple-releases-security-updates-multiple-products

概要

複数のApple製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- iOS 15.4より前のバージョン
- iPadOS 15.4より前のバージョン
- macOS Monterey 12.3より前のバージョン
- macOS Big Sur 11.6.5より前のバージョン
- macOS Catalina（Security Update 2022-003 未適用）
- tvOS 15.4より前のバージョン
- iTunes for Windows 12.12.3より前のバージョン
- Xcode 13.3より前のバージョン
- Logic Pro X 10.7.3より前のバージョン
- GarageBand 10.4.6より前のバージョン
- watchOS 8.5より前のバージョン
- Safari 15.4より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

【4】Apache HTTP Serverに複数の脆弱性

情報源

Japan Vulnerability Notes JVNVU#99602154
Apache HTTP Server 2.4における複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU99602154/

概要

The Apache Software Foundationが提供するApache HTTP Serverには、複数の
脆弱性があります。結果として、遠隔の第三者がサービス運用妨害（DoS）攻
撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- Apache HTTP Server 2.4.52およびそれ以前

この問題は、Apache HTTP Serverを開発者が提供する修正済みのバージョンに
更新することで解決します。詳細は、開発者が提供する情報を参照してくださ
い。

【5】WordPressに複数の脆弱性

情報源

CISA Current Activity
WordPress Releases Security Update
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/17/wordpress-releases-security-update

概要

WordPressには、複数の脆弱性があります。結果として、遠隔の第三者が任意
のスクリプトを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- WordPress 3.7から5.9.2より前のバージョン

この問題は、該当する製品をWordPressが提供する修正済みのバージョンに更
新することで解決します。詳細は、WordPressが提供する情報を参照してくだ
さい。

【6】OpenSSLにサービス運用妨害（DoS）の脆弱性

情報源

CISA Current Activity
OpenSSL Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/17/openssl-releases-security-updates

概要

OpenSSLのBN_mod_sqrt()には、法が非素数の場合、無限ループを引き起こす問
題があります。結果として、サービス運用妨害（DoS）状態になる可能性があ
ります。

対象となるバージョンは次のとおりです。

- OpenSSL 1.0.2zdより前の1.0.2系のバージョン
- OpenSSL 1.1.0系のすべてのバージョン
- OpenSSL 1.1.1nより前の1.1.1系のバージョン
- OpenSSL 3.0.2より前の3.0系のバージョン

この問題は、OpenSSLをOpenSSL Projectが提供する修正済みのバージョンに更
新することで解決します。詳細は、OpenSSL Projectが提供する情報を参照し
てください。

【7】Drupalのサードパーティライブラリに複数の脆弱性

情報源

CISA Current Activity
Drupal Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/17/drupal-releases-security-updates

概要

Drupalが使用するCKEditorライブラリには、複数の脆弱性があります。結果と
して、第三者が任意のスクリプトを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Drupal 9.3.8より前の9.3系バージョン
- Drupal 9.2.15より前の9.2系バージョン

この問題は、該当する製品をDrupalが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Drupalが提供する情報を参照してください。

【8】CRI-Oに権限昇格の脆弱性

情報源

CISA Current Activity
CRI-O Security Update for Kubernetes
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/18/cri-o-security-update-kubernetes

概要

CRI-Oには、権限昇格の脆弱性があります。結果として、CRI-Oランタイムを使
用するKubernetesクラスターにポッドをデプロイする権限を持つユーザーがルー
ト権限で任意のコードを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- CRI-O 1.19.6より前のバージョン
- CRI-O 1.20.7より前のバージョン
- CRI-O 1.21.6より前のバージョン
- CRI-O 1.22.3より前のバージョン
- CRI-O 1.23.2より前のバージョン
- CRI-O 1.24.0より前のバージョン

この問題は、CRI-Oに開発者が提供するパッチを適用することで解決します。
詳細は、開発者が提供する情報を参照してください。

【9】キングソフト製「WPS Office」および「KINGSOFT Internet Security」に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#21234459
キングソフト製「WPS Office」および「KINGSOFT Internet Security」における複数の脆弱性
https://jvn.jp/jp/JVN21234459/

概要

キングソフト株式会社が提供する「WPS Office」および「KINGSOFT Internet 
Security」には、複数の脆弱性があります。結果として、第三者が任意のコマンド
を実行する可能性があります。

対象となる製品は次のとおりです。

- WPS Office
- WPS Presentation
- KINGSOFT Internet Security 9 Plus

該当する製品は、サポートが終了しており、修正アップデートは提供されない
ことから、キングソフト株式会社が提供する後継製品への移行が推奨されてい
ます。詳細は、キングソフト株式会社が提供する情報を参照してください。

【10】pfSenseに複数の脆弱性

情報源

Japan Vulnerability Notes JVN#87751554
pfSense における複数の脆弱性
https://jvn.jp/jp/JVN87751554/

概要

pfSenseには、複数の脆弱性があります。結果として、遠隔の第三者が、悪意
のあるURLを通じてcaptiveポータルログインページへアクセスしたユーザーの
Webブラウザー上で、任意のスクリプトを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- pfSense CE Software 2.6.0より前のバージョン
- pfSense Plus Software 22.01より前のバージョン

この問題は、開発者が提供する修正済みのバージョンに更新することで解決し
ます。詳細は、開発者が提供する情報を参照してください。

■今週のひとくちメモ

○JPCERT/CCが「サイバー政策動向を知ろう Watch! Cyber World vol.2｜ランキング」を公開

2022年3月17日、JPCERT/CCは「サイバー政策動向を知ろう Watch! Cyber
World vol.2｜ランキング」を公開しました。JPCERT/CCは、サイバーセキュリ
ティ政策に関する諸外国の動向調査として政府機関、国際機関、企業などのニュー
スの収集および分析を行っています。
vol.2となる今回は、世界各国を対象にした複数のサイバーセキュリティのラン
キングから見た日本の強みについて解説しています。

参考文献 (日本語)

JPCERT/CC Eyes
サイバー政策動向を知ろう Watch! Cyber World vol.2｜ランキング
https://blogs.jpcert.or.jp/ja/2022/03/cyberworld2.html

■JPCERT/CCからのお願い

本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2022-03-24号

<<< JPCERT/CC WEEKLY REPORT 2022-03-24 >>>

■03/13(日)〜03/19(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

○JPCERT/CCが「サイバー政策動向を知ろう Watch! Cyber World vol.2｜ランキング」を公開

参考文献 (日本語)

■JPCERT/CCからのお願い

目　次