<<< JPCERT/CC WEEKLY REPORT 2022-08-10 >>>

■07/31(日)〜08/06(土) のセキュリティ関連情報

目　次

【1】muhttpdにディレクトリトラバーサルの脆弱性

【2】複数のCisco製品に脆弱性

【3】複数のF5 Networks製品に脆弱性

【4】複数のVMware製品に脆弱性

【5】Kaitai Struct: compilerにサービス運用妨害（DoS）の脆弱性

【今週のひとくちメモ】連載「標準から学ぶICSセキュリティ」の初回を公表

【1】muhttpdにディレクトリトラバーサルの脆弱性

情報源

Japan Vulnerability Notes JVNVU#97753810
muhttpdにおけるディレクトリトラバーサルの脆弱性
https://jvn.jp/vu/JVNVU97753810/

概要

muhttpdには、ディレクトリトラバーサルの脆弱性があります。結果として、
muhttpdが動作する機器にアクセス可能な第三者が、機器内の任意のファイル
を窃取する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- muhttpd バージョン 1.1.5およびそれ以前

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。
また、muhttpdが動作する機器を提供するベンダの情報を適宜確認してくださ
い。

関連文書 (英語)

SOURCEFORGE
muhttpd
https://sourceforge.net/projects/muhttpd/

Derek Abdine
Arris / Arris-variant DSL/Fiber router critical vulnerability exposure
https://derekabdine.com/blog/2022-arris-advisory

Software Engineering Institute
muhttpd versions 1.1.5 and earlier are vulnerable to path traversal
https://kb.cert.org/vuls/id/495801

【2】複数のCisco製品に脆弱性

情報源

CISA Current Activity
Cisco Releases Security Updates for RV Series Routers
https://www.cisa.gov/uscert/ncas/current-activity/2022/08/04/cisco-releases-security-updates-rv-series-routers

概要

複数のCisco製品には、複数の脆弱性があります。結果として、遠隔の第三者
が当該製品上で任意のコードを実行するなどの可能性があります。

影響を受けるバージョンは多岐にわたります。詳細は、Ciscoが提供するアド
バイザリ情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)

Cisco
Cisco Small Business RV Series Routers Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sb-mult-vuln-CbVp4SUR

Cisco
Cisco Webex Meetings Web Interface Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-xss-frmhijck-kO3wmkuS

Cisco
Cisco Identity Services Engine Sensitive Information Disclosure Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-pwd-WH64AhQF

Cisco
Cisco Unified Communications Manager Arbitrary File Deletion Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-file-delete-N2VPmOnE

Cisco
Cisco BroadWorks Application Delivery Platform Software Cross-Site Scripting Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-broadworks-xss-xbhfr4cD

Cisco
Cisco Email Security Appliance and Cisco Secure Email and Web Manager External Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sma-esa-auth-bypass-66kEcxQD

【3】複数のF5 Networks製品に脆弱性

情報源

CISA Current Activity
F5 Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/08/04/f5-releases-security-updates

概要

複数のF5 Networks製品には、複数の脆弱性があります。結果として、遠隔の
第三者がサービス運用妨害（DoS）攻撃を行うなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はF5 Networksが提供するアドバ
イザリ情報を参照してください。

この問題は、該当する製品をF5 Networksが提供する修正済みのバージョンに
更新することで解決します。詳細は、F5 Networksが提供する情報を参照して
ください。

関連文書 (英語)

F5 Networks
K14649763: Overview of F5 vulnerabilities (August 2022)
https://support.f5.com/csp/article/K14649763

【4】複数のVMware製品に脆弱性

情報源

CISA Current Activity
VMware Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/08/03/vmware-releases-security-updates-0

概要

複数のVMware製品には、脆弱性があります。結果として、遠隔の第三者が認証
をバイパスすることで当該製品の管理者権限を取得し、任意のコードを実行す
るなどの可能性があります。

対象となる製品は次のとおりです。対象となるバージョンは多岐にわたります。
詳細はVMwareが提供するアドバイザリ情報を参照してください。

 - VMware Workspace ONE Access (Access)
 - VMware Workspace ONE Access Connector (Access Connector)
 - VMware Identity Manager (vIDM)
 - VMware Identity Manager Connector (vIDM Connector)
 - VMware vRealize Automation (vRA)
 - VMware Cloud Foundation
 - vRealize Suite Lifecycle Manager

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
るか、回避策を適用することで解決します。詳細は、VMwareが提供する情報を
参照してください。

関連文書 (英語)

VMware
VMSA-2022-0021
https://www.vmware.com/security/advisories/VMSA-2022-0021.html

【5】Kaitai Struct: compilerにサービス運用妨害（DoS）の脆弱性

情報源

Japan Vulnerability Notes JVN#42883072
Kaitai Struct: compiler におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN42883072/

概要

Kaitai Struct: compilerには、サービス運用妨害（DoS）の脆弱性があります。
結果として、遠隔の第三者からサービス運用妨害（DoS）攻撃を受ける可能性が
あります。

対象となるバージョンは次のとおりです。

- Kaitai Struct: compiler 0.9およびそれ以前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)

github
kaitai-io /kaitai_struct_compiler
https://github.com/kaitai-io/kaitai_struct_compiler

github
Update SnakeYAML to 1.29 (was 1.25: vulnerable to "billion laughs")
https://github.com/kaitai-io/kaitai_struct_compiler/commit/50f80d7eca36983ca0b7f354d12656ec62e639eb

■今週のひとくちメモ

○連載「標準から学ぶICSセキュリティ」の初回を公表

2022年8月4日、JPCERT/CCは連載「標準から学ぶICSセキュリティ」の初回を公
表しました。同連載では、産業用制御システム（ICS）の現場を担当されてい
る方々や、ICSセキュリティ課題に関心をお持ちの方々に役立てていただくこ
とを目的に、ICSセキュリティの国際標準であるIEC 62443シリーズおよびその
中で定義されているセキュリティ概念を順次紹介していきます。

参考文献 (日本語)

JPCERT/CC Eyes
連載「標準から学ぶICSセキュリティ」の初回を公表しました
https://blogs.jpcert.or.jp/ja/2022/08/ics-sec-standards-01.html

■JPCERT/CCからのお願い