-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2021-2401 JPCERT/CC 2021-06-23 <<< JPCERT/CC WEEKLY REPORT 2021-06-23 >>> ―――――――――――――――――――――――――――――――――――――― ■06/13(日)〜06/19(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数のEC-CUBE 3.0系用プラグインに複数のクロスサイトスクリプティングの脆弱性 【2】GROWIに複数の脆弱性 【3】複数のCisco製品に脆弱性 【4】Mozilla Firefoxに境界外読み取りの脆弱性 【5】Apache HTTP Web Serverに複数の脆弱性 【6】Google Chromeに複数の脆弱性 【7】myQNAPcloud Linkに重要な情報が安全に格納されていない脆弱性 【8】Apple iOSに複数の脆弱性 【9】Androidアプリ「あすけん」にアクセス制限不備の脆弱性 【10】Hitachi Application Serverヘルプにクロスサイトスクリプティングの脆弱性 【11】日立仮想ファイルプラットフォーム製品にOSコマンドインジェクションの脆弱性 【今週のひとくちメモ】「TRANSITS Workshop Online 2021 Summer」開催のお知らせ ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2021/wr212401.html https://www.jpcert.or.jp/wr/2021/wr212401.xml ============================================================================ 【1】複数のEC-CUBE 3.0系用プラグインに複数のクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#79254445 複数の ETUNA 製 EC-CUBE 用プラグインにおけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN79254445/ Japan Vulnerability Notes JVN#57524494 複数のイーシーキューブ製 EC-CUBE 用プラグインにおける複数のクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN57524494/ 概要 複数のEC-CUBE 3.0系用プラグインには、複数のクロスサイトスクリプティン グの脆弱性があります。結果として、遠隔の第三者がECサイトの管理者のWeb ブラウザー上で、任意のスクリプトを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - 配送伝票番号プラグイン(3.0系) 1.0.10およびそれ以前のバージョン - 配送伝票番号csv一括登録プラグイン(3.0系) 1.0.8およびそれ以前のバージョン - 配送伝票番号メールプラグイン(3.0系) 1.0.8およびそれ以前のバージョン - 帳票出力プラグイン バージョン1.0.1より前のバージョン - メルマガ管理プラグイン バージョン1.0.4より前のバージョン - カテゴリコンテンツプラグイン バージョン1.0.1より前のバージョン この問題は、本プラグインを各開発者が提供する修正済みのバージョンに更新 することで解決します。詳細は、各開発者が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC 注意喚起 複数のEC-CUBE 3.0系用プラグインにおけるクロスサイトスクリプティングの脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2021/at210028.html ETUNA 配送伝票番号プラグイン(3.0系)における脆弱性発覚と対応のお願い(2021/06/11) https://www.ec-cube.net/release/detail.php?release_id=5088 ETUNA 配送伝票番号csv一括登録プラグイン(3.0系)における脆弱性発覚と対応のお願い(2021/06/11) https://www.ec-cube.net/release/detail.php?release_id=5087 ETUNA 配送伝票番号メールプラグイン(3.0系)における脆弱性発覚と対応のお願い(2021/06/11) https://www.ec-cube.net/release/detail.php?release_id=5089 株式会社イーシーキューブ 帳票出力プラグイン バージョン1.0.1をリリースしました。(2021/06/14) https://www.ec-cube.net/release/detail.php?release_id=5091 株式会社イーシーキューブ メルマガ管理プラグイン バージョン1.0.4をリリースしました。(2021/06/14) https://www.ec-cube.net/release/detail.php?release_id=5090 株式会社イーシーキューブ カテゴリコンテンツプラグイン バージョン1.0.1をリリースしました。(2021/06/14) https://www.ec-cube.net/release/detail.php?release_id=5092 【2】GROWIに複数の脆弱性 情報源 Japan Vulnerability Notes JVN#95457785 GROWI における複数の脆弱性 https://jvn.jp/jp/JVN95457785/ 概要 GROWIには、複数の脆弱性があります。結果として、当該製品にアクセス可能 なユーザーが、データベース内の情報を窃取したり、改ざんしたりするなどの 可能性があります。 対象となるバージョンは次のとおりです。 - GROWI v4.2.20より前のバージョン この問題は、該当する製品を株式会社WESEEKが提供する修正済みのバージョン に更新することで解決します。詳細は、株式会社WESEEKが提供する情報を参照 してください。 関連文書 (日本語) 株式会社WESEEK GROWI 脆弱性対応のお知らせ (JVN#95457785) https://weseek.co.jp/security/2021/06/14/vulnerability/growi-nosql-ingection/ 【3】複数のCisco製品に脆弱性 情報源 CISA Current Activity Cisco Releases Security Updates for Multiple Products https://us-cert.cisa.gov/ncas/current-activity/2021/06/17/cisco-releases-security-updates-multiple-products 概要 複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が任意 のコマンドを実行するなどの可能性があります。 対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ 情報を参照してください。 この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Ciscoが提供する情報を参照してください。 関連文書 (英語) Cisco Cisco Security Advisories https://tools.cisco.com/security/center/publicationListing.x 【4】Mozilla Firefoxに境界外読み取りの脆弱性 情報源 Mozilla Security Vulnerabilities fixed in Firefox 89.0.1 https://www.mozilla.org/en-US/security/advisories/mfsa2021-27/ 概要 Mozilla Firefoxには、境界外読み取りの脆弱性があります。 対象となるバージョンは次のとおりです。 - Firefox 89.0.1より前のバージョン(Windows版) この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新 することで解決します。詳細は、Mozillaが提供する情報を参照してください。 【5】Apache HTTP Web Serverに複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#96037838 Apache HTTP Web Server 2.4 における複数の脆弱性に対するアップデート https://jvn.jp/vu/JVNVU96037838/ 概要 Apache HTTP Web Serverには、複数の脆弱性があります。結果として、第三者 がサービス運用妨害(DoS)攻撃を行うなどの可能性があります。 対象となるバージョンは次のとおりです。 - Apache HTTP Web Server 2.4.48より前のバージョン この問題は、該当する製品をThe Apache Software Foundationが提供する修正 済みのバージョンに更新することで解決します。詳細は、The Apache Software Foundationが提供する情報を参照してください。 関連文書 (英語) The Apache Software Foundation Apache HTTP Server 2.4.48 Released https://downloads.apache.org/httpd/Announcement2.4.html The Apache Software Foundation Fixed in Apache HTTP Server 2.4.48 https://httpd.apache.org/security/vulnerabilities_24.html#2.4.48 【6】Google Chromeに複数の脆弱性 情報源 CISA Current Activity Google Releases Security Updates for Chrome https://us-cert.cisa.gov/ncas/current-activity/2021/06/18/google-releases-security-updates-chrome 概要 Google Chromeには、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 91.0.4472.114より前のバージョン この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新 することで解決します。詳細は、Googleが提供する情報を参照してください。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2021/06/stable-channel-update-for-desktop_17.html 【7】myQNAPcloud Linkに重要な情報が安全に格納されていない脆弱性 情報源 QNAP Insecure Storage of Sensitive Information in myQNAPcloud Link https://www.qnap.com/en/security-advisory/qsa-21-26 概要 myQNAPcloud Linkには、重要な情報が安全に格納されていない脆弱性がありま す。結果として、遠隔の第三者が機密情報を窃取する可能性があります。 対象となるバージョンは次のとおりです。 - QTS 4.5.3: myQNAPcloud Link 2.2.21およびそれ以前 - QuTS hero h4.5.2: myQNAPcloud Link 2.2.21およびそれ以前 - QuTScloud c4.5.4: myQNAPcloud Link 2.2.21およびそれ以前 この問題は、myQNAPcloud LinkをQNAP Systemsが提供する修正済みのバージョン に更新することで解決します。詳細は、QNAP Systemsが提供する情報を参照し てください。 【8】Apple iOSに複数の脆弱性 情報源 CISA Current Activity Apple Releases Security Updates for iOS 12.5.4 https://us-cert.cisa.gov/ncas/current-activity/2021/06/15/apple-releases-security-updates-ios-1254 概要 iOSには、複数の脆弱性があります。結果として、第三者が任意のコードを実 行する可能性があります。 対象となるバージョンは次のとおりです。 - iOS 12.5.4より前のバージョン この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Appleが提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC CyberNewsFlash iOSに関するアップデートについて https://www.jpcert.or.jp/newsflash/2021061601.html Apple iOS 12.5.4 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT212548 【9】Androidアプリ「あすけん」にアクセス制限不備の脆弱性 情報源 Japan Vulnerability Notes JVN#38034268 Android アプリ「あすけん」におけるアクセス制限不備の脆弱性 https://jvn.jp/jp/JVN38034268/ 概要 Androidアプリ「あすけん」には、アクセス制限不備の脆弱性があります。結 果として、遠隔の第三者が当該製品を経由し任意のWebサイトにアクセスさせ る可能性があります。 対象となるバージョンは次のとおりです。 - Androidアプリ「あすけん」 v.3.0.0からv.4.2.xまでのバージョン この問題は、該当する製品を株式会社 askenが提供する修正済みのバージョン に更新することで解決します。詳細は、株式会社 askenが提供する情報を参照 してください。 関連文書 (日本語) 株式会社 asken お知らせ (要ログイン) https://www.asken.jp/s/information 【10】Hitachi Application Serverヘルプにクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#03776901 Hitachi Application Server ヘルプにおけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN03776901 概要 Hitachi Application Serverヘルプには、クロスサイトスクリプティングの脆 弱性があります。結果として、遠隔の第三者が当該製品にアクセスしているユー ザーのWebブラウザー上で、任意のスクリプトを実行する可能性があります。 対象となるバージョンは次のとおりです。 - Hitachi Application Server V10 マニュアル (Windows用) バージョン10-11-01およびそれ以前 - Hitachi Application Server V10 マニュアル (UNIX用) バージョン10-11-01およびそれ以前 この問題は、該当する製品を日立が提供する修正済みのバージョンに更新する ことで解決します。詳細は、日立が提供する情報を参照してください。 関連文書 (日本語) 日立 Hitachi Application Server ヘルプにおけるクロスサイトスクリプティングの脆弱性 https://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/hitachi-sec-2021-104/ 【11】日立仮想ファイルプラットフォーム製品にOSコマンドインジェクションの脆弱性 情報源 Japan Vulnerability Notes JVN#21298724 日立仮想ファイルプラットフォーム製品における OS コマンドインジェクションの脆弱性 https://jvn.jp/jp/JVN21298724 概要 日立仮想ファイルプラットフォーム製品には、OSコマンドインジェクションの 脆弱性があります。結果として、当該製品にログイン可能な第三者がroot権限 で任意のOSコマンドを実行する可能性があります。 対象となるバージョンは次のとおりです。 - Hitachi Virtual File Platform 5.5.3-09より前のバージョン - Hitachi Virtual File Platform 6.4.3-09より前のバージョン また、当該製品を使用している以下の製品も本脆弱性の影響を受けます。 - 日本電気株式会社製 iStorage Mシリーズ NASオプション Nh4a/Nh8a FOS 5.5.3-08(NEC2.5.4a)より前のバージョン - 日本電気株式会社製 iStorage Mシリーズ NASオプション Nh4b/Nh8b、Nh4c/Nh8c FOS 6.4.3-08(NEC3.4.2)より前のバージョン この問題は、該当する製品を各開発者が提供する修正済みのバージョンに更新 することで解決します。詳細は、各開発者が提供する情報を参照してください。 関連文書 (日本語) 日立 日立仮想ファイルプラットフォーム製品における脆弱性について https://www.hitachi.co.jp/products/it/storage-solutions/techsupport/sec_info/sec_2021_306.html 日本電気株式会社 iStorage Mシリーズ NASオプションにおける OS コマンドインジェクションの脆弱性 https://jpn.nec.com/security-info/secinfo/nv21-011.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○「TRANSITS Workshop Online 2021 Summer」開催のお知らせ 2021年8月19日(木)、8月20日(金)の2日間にわたり、「TRANSITS Workshop Online 2021 Summer」がオンライン上で開催されます。日本シーサート協議会 が主催する本イベントは、CSIRTの設立の促進、既存のCSIRTの対応能力向上を 目的としたプロジェクト「TRANSITS」によるトレーニングを行い、CSIRT業務 に必要な知識を身につけることを目的としています。JPCERT/CCは本イベント での講演、および運営に協力しています。 参加には事前申し込みが必要です。参加登録は申込先着順で、定員になり次第 締め切りとなります。詳しくはWebを参照してください。 参考文献 (日本語) 日本シーサート協議会(日本コンピュータセキュリティインシデント対応チーム協議会) TRANSITS Workshop Online 2021 Summer開催 https://www.nca.gr.jp/2021/transits-summer/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CCからのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下のURLからご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下のURLを参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJg0o5EAAoJEKntH+qu5CT/c0QP+wWj9HdYTJJOdi4jhC4RlPob CjVfGF4c1DMxPDUmFCBe5F8/Pf4bE6//aAipxcTuPuzWL7rojYUhNdXik9igsOVa LInBIrHwIyfoe3HMCP7SBjoJ745IW85q+yKmVneLm6cR5m9qxyKbWM1qSmYM5UYS NtQeeFuVwsV5cFPUxtEvnqV2SMAo4g1A2/pE5Q2WWF1ytTrSextcdziNXNWYovm9 zF6QBFXNeKW0uGJZMIXjYHBq+GHQAjUjLSAhadtjXrJaNKh9HLeFSMSiVZsXiCin f6Spi9XuPNLv+cpu8UrnBcuF/76Zpialm3BdCqTQKzfZMqlys04vEMN5mSG416jg wzhWMN1GAhZq+DdjAJlZFf/aLvPdkJg/1oa3h4MRjx14UmuAdcv38kr/4S2sv9DV d8jsD/NdfWDp1gNH3raKDMHlQZqLCdNXYAcyHiex8LFkNks/9DDsRPiRSllrdAhj ULvQqrv6tAHKchRQH4HkY9vdu+fLMLhpHgR2wvVGCRB30Cmf6kdV/FgD7ubzV00O IRUv8O6gr6OlMlcIyOIqy+4IT1rbgW+9GuCYwCEuGdncYtoJ2ULaTuqO9zowIX5C hCj2Rg+eecmdQaE1Bb0XDZHFyTnjKs8/glWdssjvkcQYtAxbu2jVLgKNM3inEd24 44/cTDtAuupXcUez0l/n =2ima -----END PGP SIGNATURE-----