-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2021-0201 JPCERT/CC 2021-01-14 <<< JPCERT/CC WEEKLY REPORT 2021-01-14 >>> ―――――――――――――――――――――――――――――――――――――― ■01/03(日)〜01/09(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Google Chromeに複数の脆弱性 【2】複数のMozilla製品に解放済みメモリ使用(Use-after-free)の脆弱性 【3】複数のZyxel製品に認証情報がハードコードされている脆弱性 【4】PHPに入力値検証不備の脆弱性 【5】GitLabに複数の脆弱性 【6】IPMI over LANによるRMCP接続を行う日本電気製の複数製品に認証不備の脆弱性 【7】UNIVERGE SV9500/SV8500シリーズに複数の脆弱性 【8】InterScan Web Securityシリーズに複数の脆弱性 【今週のひとくちメモ】NISCが「緊急事態宣言を踏まえたテレワーク実施にかかる注意喚起」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2021/wr210201.html https://www.jpcert.or.jp/wr/2021/wr210201.xml ============================================================================ 【1】Google Chromeに複数の脆弱性 情報源 CISA Current Activity Google Releases Security Updates for Chrome https://us-cert.cisa.gov/ncas/current-activity/2021/01/07/google-releases-security-updates-chrome 概要 Google Chromeには、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 87.0.4280.141 より前のバージョン この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新 することで解決します。詳細は、Googleが提供する情報を参照してください。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2021/01/stable-channel-update-for-desktop.html 【2】複数のMozilla製品に解放済みメモリ使用(Use-after-free)の脆弱性 情報源 CISA Current Activity Mozilla Releases Security Updates for Firefox, Firefox for Android, and Firefox ESR https://us-cert.cisa.gov/ncas/current-activity/2021/01/07/mozilla-releases-security-updates-firefox-firefox-android-and 概要 複数のMozilla製品には、解放済みメモリ使用(Use-after-free)の脆弱性が あります。結果として、第三者が任意のコードを実行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Mozilla Firefox 84.0.2 より前のバージョン - Mozilla Firefox ESR 78.6.1 より前のバージョン - Mozilla Firefox for Android 84.1.3 より前のバージョン この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新 することで解決します。詳細は、Mozillaが提供する情報を参照してください。 関連文書 (英語) Mozilla Security Vulnerabilities fixed in Firefox 84.0.2, Firefox for Android 84.1.3, and Firefox ESR 78.6.1 https://www.mozilla.org/en-US/security/advisories/mfsa2021-01/ 【3】複数のZyxel製品に認証情報がハードコードされている脆弱性 情報源 CISA Current Activity MS-ISAC Releases Cybersecurity Advisory on Zyxel Firewalls and AP Controllers https://us-cert.cisa.gov/ncas/current-activity/2021/01/08/ms-isac-releases-cybersecurity-advisory-zyxel-firewalls-and-ap 概要 複数のZyxel製品には、認証情報がハードコードされている脆弱性があります。 結果として、遠隔の第三者が、管理者権限でファイアウォールの設定を変更し たり、トラフィックを傍受したりするなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Zyxel Firewall ATP、USG、USG FLEX、VPN バージョン 4.60 - Zyxel AP Controllers NXC2500、NXC5500 バージョン 6.10 この問題は、該当する製品をZyxelが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Zyxelが提供する情報を参照してください。 関連文書 (英語) Center for Internet Security A vulnerability in Zyxel Firewall and AP Controllers Could Allow for Administrative Access https://www.cisecurity.org/advisory/a-vulnerability-in-zyxel-firewall-and-ap-controllers-could-allow-for-administrative-access_2021-001/ Zyxel Zyxel security advisory for hardcoded credential vulnerability https://www.zyxel.com/support/CVE-2020-29583.shtml 【4】PHPに入力値検証不備の脆弱性 情報源 The PHP Group PHP 8.0.1 Released! https://www.php.net/archive/2021.php#2021-01-07-3 The PHP Group PHP 7.4.14 Released! https://www.php.net/archive/2021.php#2021-01-07-1 The PHP Group PHP 7.3.26 Released! https://www.php.net/archive/2021.php#2021-01-07-2 概要 PHPには、入力値検証不備の脆弱性があります。結果として、値がURL形式であ るか確認する「FILTER_VALIDATE_URL」関数が、無効なuserinfoを持つURLを受 け入れる可能性があります。 対象となるバージョンは次のとおりです。 - PHP 8.0.1 より前のバージョン - PHP 7.4.14 より前のバージョン - PHP 7.3.26 より前のバージョン この問題は、PHPを開発者や配布元が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ さい。 関連文書 (英語) The PHP Group PHP 8 ChangeLog Version 8.0.1 https://www.php.net/ChangeLog-8.php#8.0.1 The PHP Group PHP 7 ChangeLog Version 7.4.14 https://www.php.net/ChangeLog-7.php#7.4.14 The PHP Group PHP 7 ChangeLog Version 7.3.26 https://www.php.net/ChangeLog-7.php#7.3.26 【5】GitLabに複数の脆弱性 情報源 GitLab GitLab Security Release: 13.7.2, 13.6.4, and 13.5.6 https://about.gitlab.com/releases/2021/01/07/security-release-gitlab-13-7-2-released/ 概要 GitLabには、複数の脆弱性があります。結果として、遠隔の第三者がサービス 運用妨害(DoS)攻撃を行うなどの可能性があります。 対象となるバージョンは次のとおりです。 - GitLab Community および Enterprise Edition 13.7.2 より前の 13.7 系バージョン - GitLab Community および Enterprise Edition 13.6.4 より前の 13.6 系バージョン - GitLab Community および Enterprise Edition 13.5.6 より前の 13.5 系バージョン なお、GitLabによると、上記に記載されていないバージョンも影響を受けると のことです。詳細はGitLabが提供する情報を参照してください。 この問題は、該当する製品をGitLabが提供する修正済みのバージョンに更新す ることで解決します。詳細は、GitLabが提供する情報を参照してください。 【6】IPMI over LANによるRMCP接続を行う日本電気製の複数製品に認証不備の脆弱性 情報源 Japan Vulnerability Notes JVN#38752718 IPMI over LAN による RMCP 接続を行う日本電気製の複数製品に認証不備の脆弱性 https://jvn.jp/jp/JVN38752718/ 概要 日本電気製の複数の製品には、IPMI over LANにおいてRMCP接続を使用してBMC にアクセスする際、不正にセッションを確立することが可能な認証不備の脆弱 性があります。結果として、遠隔の第三者が、当該製品にログインすることで 機器の監視情報を窃取したり、機器を再起動したりするなどの可能性がありま す。 対象となる製品およびバージョンは次のとおりです。 - Baseboard Management Controller (BMC) ファームウェア Rev1.09 およびそれ以前が適用された以下の製品 - Express5800/T110j - Express5800/T110j-S - Express5800/T110j (2nd-Gen) - Express5800/T110j-S (2nd-Gen) - Express5800/GT110j - iStorage NS100Ti 本脆弱性の影響を回避するために、当該製品でのIPMI over LANの使用を停止 してください。なお、当該製品でIPMI over LANを使用する必要がある場合は、 該当する製品に次の回避策を適用することで脆弱性の影響を軽減することが可 能です。 - 本脆弱性を修正したBMCファームウェア Rev1.10以降を適用した上で、ファイアウォールなどで保護された安全なイントラネット内のみで製品を使用し、BMCをインターネットに接続しない 詳細は、日本電気株式会社が提供する情報を参照してください。 関連文書 (日本語) 日本電気株式会社 IPMI over LAN を使用した RMCP 接続における認証不備の脆弱性 https://jpn.nec.com/security-info/secinfo/nv21-002.html 日本電気株式会社 Express5800/T110j, T110j (2nd-Gen), T110j-S, T110j-S (2nd-Gen), GT110j、iStorage NS100Ti, NS100Tj BMCファームウェアアップデートモジュール https://www.support.nec.co.jp/View.aspx?id=9010108754 【7】UNIVERGE SV9500/SV8500シリーズに複数の脆弱性 情報源 Japan Vulnerability Notes JVN#38784555 UNIVERGE SV9500/SV8500 シリーズにおける複数の脆弱性 https://jvn.jp/jp/JVN38784555/ 概要 NECプラットフォームズ株式会社が提供するUNIVERGE SV9500シリーズおよび UNIVERGE SV8500シリーズには、複数の脆弱性があります。結果として、当該 製品へアクセス可能な第三者が、任意のコマンドを実行したり、サービス運用 妨害(DoS)攻撃を行ったりするなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - UNIVERGE SV9500シリーズ V1 から V7 までのバージョン - UNIVERGE SV8500シリーズ S6 から S8 までのバージョン この問題は、該当する製品をNECプラットフォームズ株式会社が提供する修正 済みのバージョンに更新することで解決します。詳細は、NECプラットフォー ムズ株式会社が提供する情報を参照してください。 関連文書 (日本語) NECプラットフォームズ株式会社 脆弱性について:UNIVERGE SV9500/SV8500シリーズ https://www.necplatforms.co.jp/product/keytelphone/info/210104.html 【8】InterScan Web Securityシリーズに複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#98351146 トレンドマイクロ製 InterScan Web Security シリーズの管理画面用サービスにおける複数の脆弱性 https://jvn.jp/vu/JVNVU98351146/ 概要 トレンドマイクロ株式会社が提供するInterScan Web Securityシリーズの管理 画面用サービスには、複数の脆弱性があります。結果として、遠隔の第三者が 任意のコードを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - InterScan Web Security Virtual Appliance (IWSVA) 6.5 - InterScan Web Security Suite (IWSS) 6.5 Linux 版 この問題は、該当する製品をトレンドマイクロ株式会社が提供するパッチを適 用することで解決します。パッチが適用できない場合には、回避策を適用する ことで脆弱性の影響を軽減することが可能です。詳細は、トレンドマイクロ株 式会社が提供する情報を参照してください。 関連文書 (日本語) トレンドマイクロ株式会社 アラート/アドバイザリ:InterScan Web Securityシリーズにおける管理画面サービスの複数の脆弱性について https://success.trendmicro.com/jp/solution/000283057 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○NISCが「緊急事態宣言を踏まえたテレワーク実施にかかる注意喚起」を公開 2021年1月8日、内閣サイバーセキュリティセンター(NISC)は、1月7日に1都 3県(東京都、千葉県、埼玉県、神奈川県)を対象として緊急事態宣言が発出 されたことを受け、「緊急事態宣言(2021年1月7日)を踏まえたテレワーク実施 にかかる注意喚起」を公開しました。今回の緊急事態宣言では、感染拡大防止 対策として、出勤者数の7割削減を目指すとし、テレワークの実施が推奨され ています。本注意喚起では、テレワーク実施率の高まりに伴い、テレワークに 関連したサイバー攻撃やサポート詐欺などのリスクが高まることから、セキュ リティ対策を強く意識してテレワークを行うよう呼びかけています。また、こ れまでに発出したテレワークに関連するセキュリティ上の留意点に関する注意 喚起がまとめて掲載されていますので、それらを参考に再点検を行うことを推 奨します。 参考文献 (日本語) 内閣サイバーセキュリティセンター(NISC) 緊急事態宣言(2021年1月7日)を踏まえたテレワーク実施にかかる注意喚起 https://www.nisc.go.jp/press/pdf/20210108_caution_press.pdf ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CCからのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下のURLからご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下のURLを参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJf/+zFAAoJEKntH+qu5CT/95cP/22WkCzGKW/GdriiQBiNO2YU fGZul3HL9yOYpCaJoUwHuzdYrKR0i0T4a8/vE3RzBDWepI5HLl5dSwQ7qc3ASNuN +ZnhpNj53aVeUssdkiSV0o/kl4fSdoBxY6XQDfpLs/V3NDLCn8YySmMZgI6Be8QN U7uugVvYjXmz6iSXchypILi4djhAM90Jeu4TvSOCeC7ltRSrGEmjSJKEg8YvpstW 75NLkrlyxZm/kez9OS9+pbjFC2rhdIKUWRq/ho7v26M5d1H3YlzbD0VWiK+5n0YJ NcpRNt4Wh+MtHqbEjOEp+uzPCrEtZhXCGC4T6u6+wkvZJM+hzHvkOjd9Z4TPdtMV wqCyJCis19rywedHQMf8b4pzn5CnFEUqGq2WdfPhF03+//8cFAFUn/lW1cXZnm8s 06Q+mZlbwrJnyKg7EYdpBKji3qvM/f0GZ4fjpS29q48AD9aqdDcGOp6ubrmmo3Gr 8qR1MhEPb9ayj+pYi6wbxJCaGLGfddz3RIUprvg4zik6KKRIGSrKl8JYOnbI/9/f pUmHSjeiHCrk14ZgynonLuhEv51GDrOgB6WQ2qGHntxi5zzTUPYGelL5Ga24wTb+ mzdHFHw3rEaNA88NHTJjbqgJ7J343gkpjwzsGiUQBaGpGzSJPKHIxsSwW7Nev9Au qpaU4F1L+YNi4QaUQbGn =sHow -----END PGP SIGNATURE-----