-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2021-1401 JPCERT/CC 2021-04-07 <<< JPCERT/CC WEEKLY REPORT 2021-04-07 >>> ―――――――――――――――――――――――――――――――――――――― ■03/28(日)〜04/03(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Google Chromeに複数の脆弱性 【2】Citrix Hypervisor(XenServer)に複数の脆弱性 【3】VMware製品に複数の脆弱性 【4】GitLabに複数の脆弱性 【5】書庫一括操作ユーティリティにディレクトリトラバーサルの脆弱性 【今週のひとくちメモ】IPAが「企業ウェブサイトのための脆弱性対応ガイド」改訂版や研究会報告書などを公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2021/wr211401.html https://www.jpcert.or.jp/wr/2021/wr211401.xml ============================================================================ 【1】Google Chromeに複数の脆弱性 情報源 CISA Current Activity Google Releases Security Updates for Chrome https://us-cert.cisa.gov/ncas/current-activity/2021/03/31/google-releases-security-updates-chrome 概要 Google Chromeには、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 89.0.4389.114より前のバージョン この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新 することで解決します。詳細は、Googleが提供する情報を参照してください。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2021/03/stable-channel-update-for-desktop_30.html 【2】Citrix Hypervisor(XenServer)に複数の脆弱性 情報源 CISA Current Activity Citrix Releases Security Updates for Hypervisor https://us-cert.cisa.gov/ncas/current-activity/2021/03/31/citrix-releases-security-updates-hypervisor 概要 Citrix Hypervisor(XenServer)には複数の脆弱性があります。結果として、 第三者が脆弱性を利用し、サービス運用妨害(DoS)攻撃を行う可能性があり ます。 対象となる製品およびバージョンは次のとおりです。 - Citrix Hypervisor 8.2 LTSR - Citrix XenServer 7.1 LTSR CU2 - Citrix XenServer 7.0 この問題は、Citrixが提供する修正済みのバージョンに更新することで解決し ます。詳細は、Citrixが提供する情報を参照してください。 関連文書 (英語) Citrix Citrix Hypervisor Security Update https://support.citrix.com/article/CTX306565 【3】VMware製品に複数の脆弱性 情報源 CISA Current Activity VMware Releases Security Updates https://us-cert.cisa.gov/ncas/current-activity/2021/03/31/vmware-releases-security-updates CISA Current Activity VMware Releases Security Update https://us-cert.cisa.gov/ncas/current-activity/2021/04/02/vmware-releases-security-update 概要 VMware製品には、複数の脆弱性があります。結果として、遠隔の第三者が、管 理者の認証情報を取得したり、任意のファイルを作成したりするなどの可能性 があります。 対象となる製品およびバージョンは次のとおりです。 - VMware vRealize Operations Manager 8.3.0 - VMware vRealize Operations Manager 8.2.0 - VMware vRealize Operations Manager 8.1.1, 8.1.0 - VMware vRealize Operations Manager 8.0.1, 8.0.0 - VMware vRealize Operations Manager 7.5.0 - VMware vRealize Operations Manager 7.0.0 - VMware Cloud Foundation (vROps) 4系 - VMware Cloud Foundation (vROps) 3系 - VMware vRealize Suite Lifecycle Manager (vROps) 8系 - VMware Carbon Black Cloud Workload appliance 1.0.1およびそれ以前 この問題は、VMwareが提供するパッチを適用することで解決します。詳細は、 VMwareが提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC 注意喚起 VMware vRealize Operations Managerなどの複数の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2021/at210016.html 関連文書 (英語) VMware Security Advisories VMSA-2021-0004.1 https://www.vmware.com/security/advisories/VMSA-2021-0004.html VMware Security Advisories VMSA-2021-0005 https://www.vmware.com/security/advisories/VMSA-2021-0005.html 【4】GitLabに複数の脆弱性 情報源 GitLab GitLab Security Release: 13.10.1, 13.9.5, and 13.8.7 https://about.gitlab.com/releases/2021/03/31/security-release-gitlab-13-10-1-released/ 概要 GitLabには、複数の脆弱性があります。結果として、遠隔の第三者がサーバー 上の任意のファイルを窃取するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - GitLab Community EditionおよびEnterprise Edition 13.10.1より前の13.10系バージョン - GitLab Community EditionおよびEnterprise Edition 13.9.5より前の13.9系バージョン - GitLab Community EditionおよびEnterprise Edition 13.8.7より前の13.8系バージョン なお、GitLabによると、上記に記載されていないバージョンも影響を受けると のことです。 この問題は、該当する製品をGitLabが提供する修正済みのバージョンに更新す ることで解決します。詳細は、GitLabが提供する情報を参照してください。 【5】書庫一括操作ユーティリティにディレクトリトラバーサルの脆弱性 情報源 Japan Vulnerability Notes JVN#73236007 書庫一括操作ユーティリティにおけるディレクトリトラバーサルの脆弱性 https://jvn.jp/jp/JVN73236007/ 概要 書庫一括操作ユーティリティには、ディレクトリトラバーサルの脆弱性があり ます。細工されたZIPアーカイブを展開した結果、当該ソフトウェアの権限で アクセス可能な範囲でファイルを作成したり既存のファイルを上書きしたりす る可能性があります。 対象となるバージョンは次のとおりです。 - 書庫一括操作ユーティリティ Ver.2.10.1.0およびそれ以前 この問題は、EikiSoftが提供する修正済みのバージョンに更新することで解決 します。詳細は、EikiSoftが提供する情報を参照してください。 関連文書 (日本語) EikiSoft JVN#73236007 書庫一括操作ユーティリティの脆弱性対応について http://www.eikisoft.com/release01.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○IPAが「企業ウェブサイトのための脆弱性対応ガイド」改訂版や研究会報告書などを公開 2021年3月30日、独立行政法人情報処理推進機構(IPA)は、小規模Webサイト 運営者の脆弱性対策状況の調査結果報告書を公表しました。この報告書は、2 012年度の調査結果と比較考察を行っています。またIPAは、Webサイト運営者 が取るべき脆弱性対応をとりまとめた「企業ウェブサイトのための脆弱性対応 ガイド」を調査結果を踏まえて改訂し、公開しました。 参考文献 (日本語) 独立行政法人 情報処理推進機構 「企業ウェブサイトのための脆弱性対応ガイド」改訂版や研究会報告書などを公開 https://www.ipa.go.jp/security/fy2020/reports/vuln_handling/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CCからのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下のURLからご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下のURLを参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJgbPWvAAoJEKntH+qu5CT/ZD4P/iwfql/S/CDwmN9MT8DrPTBQ 3kRM1/Ko48JjsULE9SJblLqpbT4gx8L0zxT2Xd86eJGq7QHRn0aN7gxLSpDQ6vc7 JYyGl1m2g45PIGSQt2BXt8OBdxho73QmLm8UQF1EeOj61zfZNoYIZkLwHETyTeLW ZRW2KoMhs+bvoNp2TW0iyrLnY7KBUwvzY0O/91ypY3Ky99beb3QU2YOfWWlQH37S C8pAx6dUnrL+LZRdRKW7p9LKlp+jJM+zvFsZr1FH+iroYw71my1svL1HUOkdt92D OYbLStGjzlRhOKwfrr0KyNcQJXFZLx4m4wAtHgLZKASyookn43yFpC5YaVfOPqbQ NuyQ4gdapZAh8cI0fdV+QXLrqVc1b8LM9wIquUH0YEZyHnwUhFGhn2+xSddZGRFA yrN0iq+wkMjxJfxtu6fvZCzbmnnvpioU1ss0ovBQGpSoc3vqzKsnL+jpEnlZyWBu v9euLv7G/mPLTwHGfODxa8JbJ2Wf/JQlR6833tHrU5fmJlGZzU7FM84PSwcNH+3Q xNp0f1nvXzChxFaIb40ZIPKXRM8sLNM8isJhB0/494Ho8z67wLlyvqICGG5XOeQw AtvyPnPa1m4/TKrEMyf4WIkEBNUSYSEG6UmzpNFFQATY+NWSpB2H9SSnTGQNIhZ2 4+YzDqeWOMqHKL080151 =Pr6D -----END PGP SIGNATURE-----