-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2021-2701 JPCERT/CC 2021-07-14 <<< JPCERT/CC WEEKLY REPORT 2021-07-14 >>> ―――――――――――――――――――――――――――――――――――――― ■07/04(日)〜07/10(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数のCisco製品に脆弱性 【2】トレンドマイクロ製パスワードマネージャーに複数の脆弱性 【3】エレコム製ルーターに認証不備およびOSコマンドインジェクションの脆弱性 【4】GitLabに任意のファイルを読み取り可能な脆弱性 【5】複数のWordPress用プラグインにクロスサイトリクエストフォージェリの脆弱性 【6】Androidアプリ「ジーユー」にアクセス制限不備の脆弱性 【7】株式会社A-Stage製SCT-40CM01SRおよびAT-40CM01SRに認証不備の脆弱性 【8】EverythingにHTTPヘッダーインジェクションの脆弱性 【今週のひとくちメモ】JPCERT/CCが「2021年4月から6月を振り返って」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2021/wr212701.html https://www.jpcert.or.jp/wr/2021/wr212701.xml ============================================================================ 【1】複数のCisco製品に脆弱性 情報源 CISA Current Activity Cisco Releases Security Updates for Multiple Products https://us-cert.cisa.gov/ncas/current-activity/2021/07/08/cisco-releases-security-updates-multiple-products 概要 複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が権限 を昇格するなどの可能性があります。 対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ 情報を参照してください。 この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Ciscoが提供する情報を参照してください。 関連文書 (英語) Cisco Cisco Security Advisories https://tools.cisco.com/security/center/publicationListing.x 【2】トレンドマイクロ製パスワードマネージャーに複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#93149000 トレンドマイクロ製パスワードマネージャーにおける複数の脆弱性 https://jvn.jp/vu/JVNVU93149000/ 概要 トレンドマイクロ製パスワードマネージャーには、複数の脆弱性があります。 結果として、第三者が権限昇格を行う可能性があります。 対象となるバージョンは次のとおりです。 - パスワードマネージャー 5.x Windows 版(5.0.0.1223 より前のバージョン) この問題は、当該製品をトレンドマイクロ株式会社が提供する修正済みのバー ジョンに更新することで解決します。詳細は、トレンドマイクロ株式会社が提 供する情報を参照してください。 関連文書 (日本語) トレンドマイクロ株式会社 アラートアドバイザリ:パスワードマネージャーの脆弱性について (CVE-2021-32461, CVE-2021-32462) https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10392 【3】エレコム製ルーターに認証不備およびOSコマンドインジェクションの脆弱性 情報源 Japan Vulnerability Notes JVNVU#94260088 エレコム製ルータにおける認証不備およびOSコマンドインジェクションの脆弱性 https://jvn.jp/vu/JVNVU94260088/ 概要 エレコム株式会社が提供する複数のルーター製品には、認証不備およびOSコマン ドインジェクションの脆弱性があります。結果として、隣接するネットワーク 上の第三者が、機器内の機微な情報を窃取するなどの可能性があります。 対象となる製品は次のとおりです。 - WRC-1167FS-W - WRC-1167FS-B - WRC-300FEBK - WRC-F300NF - WRC-733FEBK - WRH-300RD - WRH-300BK - WRH-300SV - WRH-300WH - WRH-H300WH - WRH-H300BK - WRC-1167FSA - WRH-300BK-S - WRH-300WH-S この問題について、エレコム株式会社は後継製品への移行やワークアラウンド の実施を推奨しています。詳細は、エレコム株式会社が提供する情報を参照し てください。 関連文書 (日本語) エレコム株式会社 無線LANルーターなどネットワーク製品の一部における脆弱性に関して https://www.elecom.co.jp/news/security/20210706-01/ 【4】GitLabに任意のファイルを読み取り可能な脆弱性 情報源 GitLab GitLab Critical Security Release: 14.0.4, 13.12.8, and 13.11.7 https://about.gitlab.com/releases/2021/07/07/critical-security-release-gitlab-14-0-4-released/ 概要 GitLabには、任意のファイルを読み取り可能な脆弱性があります。結果として、 第三者がサーバー上の任意のファイルを窃取する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - GitLab Community EditionおよびEnterprise Edition 14.0.4より前の14.0系バージョン - GitLab Community EditionおよびEnterprise Edition 13.12.8より前の13.12系バージョン - GitLab Community EditionおよびEnterprise Edition 13.11.7より前の13.11系バージョン この問題は、該当する製品をGitLabが提供する修正済みのバージョンに更新す ることで解決します。詳細は、GitLabが提供する情報を参照してください。 【5】複数のWordPress用プラグインにクロスサイトリクエストフォージェリの脆弱性 情報源 Japan Vulnerability Notes JVN#91372527 WordPress 用プラグイン WPCS - WordPress Currency Switcher におけるクロスサイトリクエストフォージェリの脆弱性 https://jvn.jp/jp/JVN91372527/ Japan Vulnerability Notes JVN#42880365 WordPress 用プラグイン WordPress Email Template Designer - WP HTML Mail におけるクロスサイトリクエストフォージェリの脆弱性 https://jvn.jp/jp/JVN42880365/ Japan Vulnerability Notes JVN#89054582 WordPress 用プラグイン Software License Manager におけるクロスサイトリクエストフォージェリの脆弱性 https://jvn.jp/jp/JVN89054582/ 概要 複数のWordPress用プラグインには、クロスサイトリクエストフォージェリの 脆弱性があります。結果として、当該製品に管理者権限でログインした状態の ユーザーが、細工されたページにアクセスした場合、意図しない操作をさせら れる可能性があります。 対象となる製品およびバージョンは次のとおりです。 - WPCS - WordPress Currency Switcher 1.1.6およびそれ以前 - WordPress Email Template Designer - WP HTML Mail 3.0.8より前のバージョン - Software License Manager 4.4.6より前のバージョン この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (英語) realmag777 WPCS - WordPress Currency Switcher https://wordpress.org/plugins/currency-switcher/ codemiq WordPress Email Template Designer - WP HTML Mail https://wordpress.org/plugins/wp-html-mail/ Tips and Tricks HQ Software License Manager https://wordpress.org/plugins/software-license-manager/ 【6】Androidアプリ「ジーユー」にアクセス制限不備の脆弱性 情報源 Japan Vulnerability Notes JVN#25850723 Android アプリ「ジーユー」におけるアクセス制限不備の脆弱性 https://jvn.jp/jp/JVN25850723/ 概要 Androidアプリ「ジーユー」には、アクセス制限不備の脆弱性があります。結 果として、遠隔の第三者が当該製品を経由して、ユーザーを任意のウェブサイ トにアクセスさせる可能性があります。 対象となるバージョンは次のとおりです。 - Androidアプリ「ジーユー」バージョン4.8.0から5.0.2まで この問題は、当該製品を株式会社ジーユーが提供する修正済みのバージョンに 更新することで解決します。詳細は、株式会社ジーユーが提供する情報を参照 してください。 関連文書 (日本語) 株式会社ジーユー 株式会社ジーユーからの情報 https://jvn.jp/jp/JVN25850723/996415/ 【7】株式会社A-Stage製SCT-40CM01SRおよびAT-40CM01SRに認証不備の脆弱性 情報源 Japan Vulnerability Notes JVN#21636825 株式会社A-Stage 製 SCT-40CM01SR および AT-40CM01SR における認証不備の脆弱性 https://jvn.jp/jp/JVN21636825/ 概要 株式会社A-Stageが提供するSCT-40CM01SRおよびAT-40CM01SRには、認証不備の 脆弱性があります。結果として、当該製品にアクセス可能な第三者が、認証な しでtelnetログインし、任意のコマンドを実行する可能性があります。 対象となる製品は次のとおりです。 - SCT-40CM01SRおよびAT-40CM01SR なお、開発者によると、任意のコマンドが実行されても、製品の機能に関する プログラムは変更・削除できないとのことです。 この問題は、当該製品を株式会社A-Stageが提供する修正済みのバージョンに 更新することで解決します。開発者によると、アップデートには修理対応が必 要とのことです。詳細は開発者のサポート窓口にご連絡ください。 関連文書 (日本語) 株式会社A-Stage 株式会社A-Stageからの情報 https://jvn.jp/jp/JVN21636825/996347/ 【8】EverythingにHTTPヘッダーインジェクションの脆弱性 情報源 Japan Vulnerability Notes JVN#68971465 Everything における HTTP ヘッダインジェクションの脆弱性 https://jvn.jp/jp/JVN68971465/ 概要 voidtoolsが提供するEverythingには、HTTPヘッダーインジェクションの脆弱 性があります。結果として、当該製品を使用しているサイトにアクセスしたユー ザーのウェブブラウザー上で、表示されるページが改ざんされたり任意のスク リプトが実行されたりする可能性があります。 対象となるバージョンは次のとおりです。 - Everything Liteバージョン以外のすべてのバージョン この問題について、開発者は、本脆弱性の影響を受けるHTTPサーバーを含まな いEverything Liteバージョンの使用を推奨しています。 関連文書 (英語) voidtools Download Everything https://www.voidtools.com/downloads/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○JPCERT/CCが「2021年4月から6月を振り返って」を公開 2021年7月8日、JPCERT/CCは「2021年4月から6月を振り返って」を公開しまし た。2021年4月以降に確認された影響範囲の広い脆弱性情報や脅威情報など をまとめました。 前四半期に引き続き、2021年4月から6月にかけてもSSL-VPN製品の脆弱性の悪 用に関する報告が寄せられ、オープンソースのCMSであるEC-CUBEの脆弱性を悪 用した攻撃が観測されています。自組織の対応状況の確認にご活用ください。 参考文献 (日本語) JPCERT/CC CyberNewsFlash 2021年4月から6月を振り返って https://www.jpcert.or.jp/newsflash/2021070801.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CCからのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下のURLからご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下のURLを参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJg7iZpAAoJEKntH+qu5CT/ijQQAJG8CF9l1wl9LhgJ4iTvkNWM ovNOVEaodmIfHm9gIbfIkFRziXGv4fiXJufhhHxIY3Thcas5IHw6kaJSQyS5lH6L Do8J0DbkpE0wFPm3B/GhGWM/UHvwHPHAaC/vNE+2QO0mYYek1RIbjojc36aR/JTP QVBmpK3vjjFUIXt+3KtrTceTgYNtYIwO8yhkhqsVF7VY9ispbBTaVDy/DIDye4x1 KoMdz6Wxi05YklyDS/3qldAnY2rVNxsf6gZfI1+2gEae97JqvGQeTPGVVKf4DsgV LxFOqraEn1rkOfOoLKsGLxjr7aHLXOzCtcf/b1FHsd8Vm51RZ9Adksb+CY9wPTjG lzgnacxtUWs9Kv0HzC0tBeq9mFFJLEHbuTRcR1y+oncQzKWOKAJxGKVmYgdiGgWm jcWbyAAzZ0lb3d59zt2Ba8WLif5bDBvSO0+T7cSga1rs0WqUJ4HHjUf8S4WHYn7o vKGzDspyqMqxOWLoUaAQ4raaQQIFbJjzIPEMFJmBuXCfuXB6fWKMIz9DSEYljh4g GM6kFTOEM/f+8iMZI0csrVBHrxRJt9Kl3VK8v4EQg4OadS1QNZM6SA3l/lJ3R5PF /dScH2aKYhjikcBc1KXIUdPi3F0qcW+PTxZQFkcBe3VF9PWxc04yqhDIXqGtVWTx NQ6vQNlfwscXNTROnGe7 =YWzw -----END PGP SIGNATURE-----