<<< JPCERT/CC WEEKLY REPORT 2021-08-18 >>>
■08/08(日)〜08/14(土) のセキュリティ関連情報
目 次
【1】複数のマイクロソフト製品に脆弱性
【2】複数のアドビ製品に脆弱性
【3】複数のIntel製品に脆弱性
【4】複数のMozilla製品に脆弱性
【5】複数のSAP製品に脆弱性
【6】NicheStack TCP/IPスタックに複数の脆弱性
【7】複数のApple製品に脆弱性
【8】Citrix ShareFile storage zones controllerに脆弱性
【9】Drupalのサードパーティライブラリに脆弱性
【10】HTTP WebプロキシやWebアクセラレータのHTTP/2実装不備によるHTTPリクエストスマグリングの脆弱性
【11】WordPress用プラグインQuiz And Survey Masterにクロスサイトスクリプティングの脆弱性
【12】Ploneにオープンリダイレクトの脆弱性
【今週のひとくちメモ】JPCERT/CCがとりまとめた「サイバー攻撃被害情報の共有と公表のあり方」に係る調査報告書の公表
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr213201.txt
https://www.jpcert.or.jp/wr/2021/wr213201.xml
【1】複数のマイクロソフト製品に脆弱性
情報源
CISA Current Activity
Microsoft Releases August 2021 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/08/10/microsoft-releases-august-2021-security-updates
概要
複数のマイクロソフト製品には、脆弱性があります。結果として、リモート からの攻撃によって任意のコードが実行されるなどの可能性があります。 対象となる製品は、多岐にわたります。詳細はマイクロソフトが提供するアド バイザリ情報を参照してください。 この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること で解決します。詳細は、マイクロソフトが提供する情報を参照してください。
関連文書 (日本語)
マイクロソフト株式会社
2021 年 8 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2021-Augマイクロソフト株式会社
2021 年 8 月のセキュリティ更新プログラム (月例)
https://msrc-blog.microsoft.com/2021/08/10/202108-security-updates/JPCERT/CC 注意喚起
2021年8月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2021/at210034.html
【2】複数のアドビ製品に脆弱性
情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/08/10/adobe-releases-security-updates-multiple-products
概要
複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー ドを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Adobe Commerce - Magento Open Source - Adobe Connect この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す ることで解決します。詳細は、アドビが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021081101.html
関連文書 (英語)
アドビ
Security Updates Available for Adobe Commerce | APSB21-64
https://helpx.adobe.com/security/products/magento/apsb21-64.htmlアドビ
Security updates available for Adobe Connect | APSB21-66
https://helpx.adobe.com/security/products/connect/apsb21-66.html
【3】複数のIntel製品に脆弱性
情報源
CISA Current Activity
Intel Releases Multiple Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/08/10/intel-releases-multiple-security-updatesJapan Vulnerability Notes JVNVU#91826524
Intel製品に複数の脆弱性(2021年8月)
https://jvn.jp/vu/JVNVU91826524/JPCERT/CC CyberNewsFlash
Intel製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2021081102.html
概要
Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security Center Advisoriesが公開されました。 詳細は、Intelが提供する情報を参照してください。
関連文書 (英語)
Intel
Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html
【4】複数のMozilla製品に脆弱性
情報源
US-CERT Current Activity
Mozilla Releases Security Updates for Firefox
https://us-cert.cisa.gov/ncas/current-activity/2021/08/10/mozilla-releases-security-updates-firefoxUS-CERT Current Activity
Mozilla Releases Security Updates for Thunderbird
https://us-cert.cisa.gov/ncas/current-activity/2021/08/12/mozilla-releases-security-updates-thunderbird
概要
複数のMozilla製品には、脆弱性があります。結果として、第三者が任意のコー ドを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Mozilla Firefox 91より前のバージョン - Mozilla Firefox ESR 78.13より前のバージョン - Mozilla Thunderbird 91より前のバージョン - Mozilla Thunderbird 78.13より前のバージョン この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新 することで解決します。詳細は、Mozillaが提供する情報を参照してください。
関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 91
https://www.mozilla.org/en-US/security/advisories/mfsa2021-33/Mozilla
Security Vulnerabilities fixed in Firefox ESR 78.13
https://www.mozilla.org/en-US/security/advisories/mfsa2021-34/Mozilla
Security Vulnerabilities fixed in Thunderbird 91
https://www.mozilla.org/en-US/security/advisories/mfsa2021-36/Mozilla
Security Vulnerabilities fixed in Thunderbird 78.13
https://www.mozilla.org/en-US/security/advisories/mfsa2021-35/
【5】複数のSAP製品に脆弱性
情報源
CISA Current Activity
SAP Releases August 2021 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/08/10/sap-releases-august-2021-security-updates
概要
複数のSAP製品には、脆弱性があります。 対象となる製品は、多岐にわたります。詳細はSAPが提供するアドバイザリ情 報を参照してください。 この問題は、該当する製品をSAPが提供する修正済みのバージョンに更新する ことで解決します。詳細は、SAPが提供する情報を参照してください。
関連文書 (英語)
SAP
SAP Security Patch Day August 2021
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=582222806
【6】NicheStack TCP/IPスタックに複数の脆弱性
情報源
CERT/CC Vulnerability Note VU#608209
NicheStack embedded TCP/IP has vulnerabilities
https://kb.cert.org/vuls/id/608209
概要
HCC Embeddedが開発したTCP/IPプロトコルスタックであるNicheStackには、複 数の脆弱性があります。結果として、遠隔の第三者が任意のコードを実行する などの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - NicheStack 4.3より前のすべてのバージョン - NicheLite 4.3より前のすべてのバージョン この問題は、該当する製品をHCC Embeddedが提供する修正済みのバージョン に更新することで解決します。詳細は、HCC Embeddedが提供する情報を参照 してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#98488549
NicheStack TCP/IP スタックに複数の脆弱性
https://jvn.jp/vu/JVNVU98488549/
関連文書 (英語)
HCC Embedded
Security Advisories
https://www.hcc-embedded.com/support/security-advisories
【7】複数のApple製品に脆弱性
情報源
Apple
iTunes for Windows 12.11.4 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212609Apple
Windows 用 iCloud 12.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212607
概要
Appleから複数の製品に関するセキュリティアドバイザリが公開されました。 対象となる製品およびバージョンは次のとおりです。 - iTunes for Windows 12.11.4より前のバージョン - iCloud for Windows 12.5より前のバージョン この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Appleが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Apple製品のアップデートについて(2021年8月)
https://www.jpcert.or.jp/newsflash/2021081103.html
【8】Citrix ShareFile storage zones controllerに脆弱性
情報源
CISA Current Activity
Citrix Releases Security Update for ShareFile Storage Zones Controller
https://us-cert.cisa.gov/ncas/current-activity/2021/08/10/citrix-releases-security-update-sharefile-storage-zones-controller
概要
Citrix ShareFile storage zones controllerには、ファイル暗号化オプション が意図せずに無効化される脆弱性があります。 対象となるバージョンは次のとおりです。 - Citrix ShareFile storage zones controller 5.11.19より前のバージョン この問題は、該当する製品をCitrixが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Citrixが提供する情報を参照してください。
関連文書 (英語)
Citrix
Citrix ShareFile storage zones controller security update
https://support.citrix.com/article/CTX322787
【9】Drupalのサードパーティライブラリに脆弱性
情報源
CISA Current Activity
Drupal Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/08/12/drupal-releases-security-updates
概要
Drupalが使用するCKEditorライブラリには、クロスサイトスクリプティング の脆弱性があります。結果として、第三者が任意のスクリプトを実行する可 能性があります。 対象となるバージョンは次のとおりです。 - Drupal 9.2.4より前の9.2系のバージョン - Drupal 9.1.12より前の9.1系のバージョン - Drupal 8.9.18より前の8.9系のバージョン なお、Drupal 9.1系より前の9系およびDrupal 8.9系より前の8系のバージョン はサポートが終了しており、今回のセキュリティに関する情報は提供されてい ません。 この問題は、Drupalが提供する修正済みのバージョンに更新することで解決し ます。詳細は、Drupalが提供する情報を参照してください。
関連文書 (英語)
Drupal
Drupal core - Moderately critical - Third-party libraries - SA-CORE-2021-005
https://www.drupal.org/sa-core-2021-005CKSource
CKEditor 4.16.2 with browser improvements and security fixes
https://ckeditor.com/blog/ckeditor-4.16.2-with-browser-improvements-and-security-fixes/
【10】HTTP WebプロキシやWebアクセラレータのHTTP/2実装不備によるHTTPリクエストスマグリングの脆弱性
情報源
CERT/CC Vulnerability Note VU#357312
HTTP Request Smuggling in Web Proxies
https://kb.cert.org/vuls/id/357312
概要
HTTP/2をサポートするHTTP WebプロキシやWebアクセラレータには、HTTP/1へ の変換処理の実装不備に起因した、HTTPリクエストスマグリング攻撃が可能に なる脆弱性があります。結果として、細工したHTTPリクエストを送信した第三 者が、機微な情報を窃取するなどの可能性があります。 対象となる製品は次のとおりです。 - HTTP/2からHTTP/1への変換を行うシステム 詳細についてはCERT/CCが提供する情報を参照してください。 この問題に対して、複数のベンダーから対策に関する情報が公開されています。 各製品のベンダーから提供される修正済みのバージョンに更新するなどの対応 を実施してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#99039870
HTTP WebプロキシやWebアクセラレータのHTTP/2実装不備によるHTTPリクエストスマグリングの脆弱性
https://jvn.jp/vu/JVNVU99039870/
関連文書 (英語)
Portswigger Research
HTTP/2: The Sequel is Always Worse
https://portswigger.net/research/http2
【11】WordPress用プラグインQuiz And Survey Masterにクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#65388002
WordPress 用プラグイン Quiz And Survey Master におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN65388002/
概要
ExpressTechが提供するWordPress用プラグインQuiz And Survey Masterには、 クロスサイトスクリプティングの脆弱性があります。結果として、第三者が任 意のスクリプトを実行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Quiz And Survey Master 7.1.14より前のバージョン この問題は、本プラグインをExpressTechが提供する修正済みのバージョンに 更新することで解決します。詳細は、ExpressTechが提供する情報を参照して ください。
関連文書 (英語)
ExpressTech
Quiz And Survey Master - Best Quiz, Exam and Survey Plugin for WordPress
https://ja.wordpress.org/plugins/quiz-master-next/
【12】Ploneにオープンリダイレクトの脆弱性
情報源
Japan Vulnerability Notes JVN#50804280
Plone におけるオープンリダイレクトの脆弱性
https://jvn.jp/jp/JVN50804280/
概要
Plone Foundationが提供するPloneには、オープンリダイレクトの脆弱性があ ります。結果として、遠隔の第三者が、細工したURLにユーザーをアクセスさ せることで、任意のwebサイトにリダイレクトさせる可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Plone 5.2.5より前のバージョンで、パッケージProducts.isurlinportalが1.2.0より前の製品 この問題は、本製品にPlone Foundationが提供するパッチを適用することで解 決します。詳細は、Plone Foundationが提供する情報を参照してください。
関連文書 (英語)
Plone Foundation
URL Redirection to Untrusted Site ('Open Redirect') in Products.isurlinportal
https://github.com/plone/Products.isurlinportal/security/advisories/GHSA-q3m9-9fj2-mfwrPlone Foundation
Security fix: Products.isurlinportal 1.2.0
https://community.plone.org/t/security-fix-products-isurlinportal-1-2-0/14152
■今週のひとくちメモ
○JPCERT/CCがとりまとめた「サイバー攻撃被害情報の共有と公表のあり方」に係る調査報告書の公表
2021年7月、総務省が開催するサイバーセキュリティタスクフォース(第33回) の会合において、JPCERT/CCは、サイバー攻撃被害情報の共有と公表のあり方 に係る調査検討の結果を報告し、後日、報告書が公表されました。 社会全体におけるサイバー攻撃対処のベースとなる情報共有活動が円滑に行わ れるためには、どのようにサイバー攻撃被害情報の共有や公表が行われるべき か、JPCERT/CCにおけるこれまでのインシデント対応支援の経験を踏まえた問 題意識をもとに検討したものです。
参考文献 (日本語)
総務省
サイバーセキュリティタスクフォース(第33回)
https://www.soumu.go.jp/main_sosiki/kenkyu/cybersecurity_taskforce/02cyber01_04000001_00191.html総務省(JPCERT/CC資料)
サイバー攻撃被害情報の共有と公表のあり方について(公開版)<概要>
https://www.soumu.go.jp/main_content/000762950.pdf総務省(JPCERT/CC資料)
サイバー攻撃被害情報の共有と公表のあり方について (公開版)
https://www.soumu.go.jp/main_content/000762951.pdf
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/