JPCERT コーディネーションセンター

Weekly Report 2022-05-25号

JPCERT-WR-2022-2001
JPCERT/CC
2022-05-25

<<< JPCERT/CC WEEKLY REPORT 2022-05-25 >>>

■05/15(日)〜05/21(土) のセキュリティ関連情報

目 次

【1】 Apache TomcatにWebSocket接続の実装に関する問題

【2】複数のApple製品に脆弱性

【3】ISC BIND 9にサービス運用妨害 (DoS) の脆弱性

【4】サイボウズGaroonに複数の脆弱性

【5】Rakuten Casaに複数の脆弱性

【6】Spring Security OAuth(spring-security-oauth2)にサービス運用妨害 (DoS) の脆弱性

【今週のひとくちメモ】個人情報保護委員会が「個人情報を考える週間」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr222001.txt
https://www.jpcert.or.jp/wr/2022/wr222001.xml

【1】 Apache TomcatにWebSocket接続の実装に関する問題

情報源

CISA Current Activity
Apache Releases Security Advisory for Tomcat
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/16/apache-releases-security-advisory-tomcat

Japan Vulnerability Notes JVNVU#94243578
Apache TomcatにおけるWebSocket接続の実装に関する問題
https://jvn.jp/vu/JVNVU94243578/

概要

Apache Tomcatには、WebSocket接続の実装に関する問題があります。結果とし
て、遠隔の第三者が予期せぬエラーを発生させる可能性があります。

対象となるバージョンは次のとおりです。

- Apache Tomcat 9.0.0.M1から9.0.20までのバージョン
- Apache Tomcat 8.5.0から8.5.75までのバージョン

この問題は、Apache TomcatをThe Apache Software Foundationが提供する修
正済みのバージョンに更新することで解決します。詳細は、
The Apache Software Foundationが提供する情報を参照してください。

関連文書 (英語)

The Apache Software Foundation
CVE-2022-25762 Apache Tomcat - Request Mix-up
https://lists.apache.org/thread/qzkqh2819x6zsmj7vwdf14ng2fdgckw7

The Apache Software Foundation
Fixed in Apache Tomcat 9.0.21
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.21

The Apache Software Foundation
Fixed in Apache Tomcat 8.5.76
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.76

【2】複数のApple製品に脆弱性

情報源

CISA Current Activity
Apple Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/17/apple-releases-security-updates-multiple-products

概要

複数のApple製品には、複数の脆弱性があります。結果として、第三者が任意
のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Safari 15.5より前のバージョン
- tvOS 15.5より前のバージョン
- Xcode 13.4より前のバージョン
- macOS Catalina(Security Update 2022-004 未適用)
- macOS Monterey 12.4より前のバージョン
- macOS Big Sur 11.6.6より前のバージョン
- iOS 15.5より前のバージョン
- iPadOS 15.5より前のバージョン
- watchOS 8.6より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)

Apple
Safari 15.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213260

Apple
tvOS 15.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213254

Apple
Xcode 13.4 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213261

Apple
セキュリティアップデート 2022-004 Catalina のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213255

Apple
macOS Big Sur 11.6.6 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213256

Apple
macOS Monterey 12.4 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213257

Apple
iOS 15.5 および iPadOS 15.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213258

Apple
watchOS 8.6 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213253

JPCERT/CC CyberNewsFlash
Apple製品のアップデートについて(2022年5月)
https://www.jpcert.or.jp/newsflash/2022051801.html

【3】ISC BIND 9にサービス運用妨害 (DoS) の脆弱性

情報源

CISA Current Activity
ISC Releases Security Advisory for BIND
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/19/isc-releases-security-advisory-bind

Japan Vulnerability Notes JVNVU#94035450
ISC BINDにおけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU94035450/

概要

ISC BIND 9には、脆弱性があります。結果として、遠隔の第三者がサービス運
用妨害(DoS)攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- BIND 9.18.0から9.18.2まで
- BIND 9.19.0(BIND 9.19開発用ブランチ)

この問題は、該当する製品をISCが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、ISCが提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC CyberNewsFlash
ISC BIND 9における脆弱性について(2022年5月)
https://www.jpcert.or.jp/newsflash/2022051901.html

日本レジストリサービス (JPRS)
(緊急)BIND 9.18.xの脆弱性(DNSサービスの停止)について(CVE-2022-1183) - BIND 9.18系列のみが対象、バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2022-05-19-bind9-vuln-dnsoverhttps.html

関連文書 (英語)

Internet Systems Consortium, Inc. (ISC)
CVE-2022-1183: Destroying a TLS session early causes assertion failure
https://kb.isc.org/docs/cve-2022-1183

【4】サイボウズGaroonに複数の脆弱性

情報源

Japan Vulnerability Notes JVN#73897863
サイボウズ Garoon に複数の脆弱性
https://jvn.jp/jp/JVN73897863/

概要

サイボウズGaroonには、複数の脆弱性があります。結果として、ログインして
いるユーザーのブラウザー上で任意のスクリプトが実行されるなどの可能性が
あります。

対象となるバージョンは脆弱性によって異なります。詳細はサイボウズ株式会
社が提供する情報を参照してください。

この問題は、該当する製品をサイボウズ株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、サイボウズ株式会社が提供する情報を
参照してください。

関連文書 (日本語)

サイボウズ株式会社
パッケージ版 Garoon 脆弱性に関するお知らせ
https://cs.cybozu.co.jp/2022/007429.html

【5】Rakuten Casaに複数の脆弱性

情報源

Japan Vulnerability Notes JVN#46892984
Rakuten Casa における複数の脆弱性
https://jvn.jp/jp/JVN46892984/

概要

楽天モバイル株式会社が提供するRakuten Casaには、複数の脆弱性があります。
結果として、root権限でログインされ任意の操作を実行されたり、製品内部の
情報を取得されるなどの可能性があります。

対象となるバージョンは次のとおりです。

- Rakuten Casa バージョンAP_F_V1_4_1またはAP_F_V2_0_0

この問題は、設置規約に則って適切に設置した場合、自動的にアップデートが
適用され、修正されるとのことです。

関連文書 (日本語)

楽天モバイル株式会社
【重要】Rakuten Casaのソフトウェアアップデート情報
https://network.mobile.rakuten.co.jp/information/news/product/1033/

【6】Spring Security OAuth(spring-security-oauth2)にサービス運用妨害 (DoS) の脆弱性

情報源

Japan Vulnerability Notes JVN#15317878
Spring Security OAuth (spring-security-oauth2) におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN15317878/

概要

VMwareが提供する Spring Security OAuth(spring-security-oauth2)には、リ
ソースの枯渇の脆弱性があります。結果として、本製品を利用してOAuthクラ
イアント機能を提供しているウェブサイトがサービス運用妨害 (DoS)の被害を
受ける可能性があります。

対象となるバージョンは次のとおりです。

- Spring Security OAuth(spring-security-oauth2) 2.5.1およびそれ以前

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、VMwareが提供する情報を参照してください。

関連文書 (英語)

VMware
CVE-2022-22969: Denial-of-Service (DoS) in spring-security-oauth2
https://tanzu.vmware.com/security/cve-2022-22969

■今週のひとくちメモ

○個人情報保護委員会が「個人情報を考える週間」を公開

個人情報保護委員会は、個人情報の重要性に関する情報発信を強化する目的で、
2022年5月30日から6月5日を「個人情報を考える週間」として取り組みを発表
しました。これは2018年度から広報啓発活動を継続して実施しているもので、
本年のテーマを「信頼の礎、プライバシー」(Privacy the foundation of trust)
として、特設のページでは、「個人のみなさま」「事業者のみなさま」「学校
関係者、保護者のみなさま(お子さま向け資料)」で項目をわけ、それぞれに
個人情報の取り扱いについて、ポイントをまとめています。

参考文献 (日本語)

個人情報保護委員会
個人情報を考える週間
https://www.ppc.go.jp/news/privacy_awareness_week/

■JPCERT/CCからのお願い

  • 本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter