-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2021-3201 JPCERT/CC 2021-08-18 <<< JPCERT/CC WEEKLY REPORT 2021-08-18 >>> ―――――――――――――――――――――――――――――――――――――― ■08/08(日)〜08/14(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数のマイクロソフト製品に脆弱性 【2】複数のアドビ製品に脆弱性 【3】複数のIntel製品に脆弱性 【4】複数のMozilla製品に脆弱性 【5】複数のSAP製品に脆弱性 【6】NicheStack TCP/IPスタックに複数の脆弱性 【7】複数のApple製品に脆弱性 【8】Citrix ShareFile storage zones controllerに脆弱性 【9】Drupalのサードパーティライブラリに脆弱性 【10】HTTP WebプロキシやWebアクセラレータのHTTP/2実装不備によるHTTPリクエストスマグリングの脆弱性 【11】WordPress用プラグインQuiz And Survey Masterにクロスサイトスクリプティングの脆弱性 【12】Ploneにオープンリダイレクトの脆弱性 【今週のひとくちメモ】JPCERT/CCがとりまとめた「サイバー攻撃被害情報の共有と公表のあり方」に係る調査報告書の公表 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2021/wr213201.html https://www.jpcert.or.jp/wr/2021/wr213201.xml ============================================================================ 【1】複数のマイクロソフト製品に脆弱性 情報源 CISA Current Activity Microsoft Releases August 2021 Security Updates https://us-cert.cisa.gov/ncas/current-activity/2021/08/10/microsoft-releases-august-2021-security-updates 概要 複数のマイクロソフト製品には、脆弱性があります。結果として、リモート からの攻撃によって任意のコードが実行されるなどの可能性があります。 対象となる製品は、多岐にわたります。詳細はマイクロソフトが提供するアド バイザリ情報を参照してください。 この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること で解決します。詳細は、マイクロソフトが提供する情報を参照してください。 関連文書 (日本語) マイクロソフト株式会社 2021 年 8 月のセキュリティ更新プログラム https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2021-Aug マイクロソフト株式会社 2021 年 8 月のセキュリティ更新プログラム (月例) https://msrc-blog.microsoft.com/2021/08/10/202108-security-updates/ JPCERT/CC 注意喚起 2021年8月マイクロソフトセキュリティ更新プログラムに関する注意喚起 https://www.jpcert.or.jp/at/2021/at210034.html 【2】複数のアドビ製品に脆弱性 情報源 CISA Current Activity Adobe Releases Security Updates for Multiple Products https://us-cert.cisa.gov/ncas/current-activity/2021/08/10/adobe-releases-security-updates-multiple-products 概要 複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー ドを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Adobe Commerce - Magento Open Source - Adobe Connect この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す ることで解決します。詳細は、アドビが提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC CyberNewsFlash 複数のアドビ製品のアップデートについて https://www.jpcert.or.jp/newsflash/2021081101.html 関連文書 (英語) アドビ Security Updates Available for Adobe Commerce | APSB21-64 https://helpx.adobe.com/security/products/magento/apsb21-64.html アドビ Security updates available for Adobe Connect | APSB21-66 https://helpx.adobe.com/security/products/connect/apsb21-66.html 【3】複数のIntel製品に脆弱性 情報源 CISA Current Activity Intel Releases Multiple Security Updates https://us-cert.cisa.gov/ncas/current-activity/2021/08/10/intel-releases-multiple-security-updates Japan Vulnerability Notes JVNVU#91826524 Intel製品に複数の脆弱性(2021年8月) https://jvn.jp/vu/JVNVU91826524/ JPCERT/CC CyberNewsFlash Intel製品に関する複数の脆弱性について https://www.jpcert.or.jp/newsflash/2021081102.html 概要 Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security Center Advisoriesが公開されました。 詳細は、Intelが提供する情報を参照してください。 関連文書 (英語) Intel Intel Product Security Center Advisories https://www.intel.com/content/www/us/en/security-center/default.html 【4】複数のMozilla製品に脆弱性 情報源 US-CERT Current Activity Mozilla Releases Security Updates for Firefox https://us-cert.cisa.gov/ncas/current-activity/2021/08/10/mozilla-releases-security-updates-firefox US-CERT Current Activity Mozilla Releases Security Updates for Thunderbird https://us-cert.cisa.gov/ncas/current-activity/2021/08/12/mozilla-releases-security-updates-thunderbird 概要 複数のMozilla製品には、脆弱性があります。結果として、第三者が任意のコー ドを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Mozilla Firefox 91より前のバージョン - Mozilla Firefox ESR 78.13より前のバージョン - Mozilla Thunderbird 91より前のバージョン - Mozilla Thunderbird 78.13より前のバージョン この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新 することで解決します。詳細は、Mozillaが提供する情報を参照してください。 関連文書 (英語) Mozilla Security Vulnerabilities fixed in Firefox 91 https://www.mozilla.org/en-US/security/advisories/mfsa2021-33/ Mozilla Security Vulnerabilities fixed in Firefox ESR 78.13 https://www.mozilla.org/en-US/security/advisories/mfsa2021-34/ Mozilla Security Vulnerabilities fixed in Thunderbird 91 https://www.mozilla.org/en-US/security/advisories/mfsa2021-36/ Mozilla Security Vulnerabilities fixed in Thunderbird 78.13 https://www.mozilla.org/en-US/security/advisories/mfsa2021-35/ 【5】複数のSAP製品に脆弱性 情報源 CISA Current Activity SAP Releases August 2021 Security Updates https://us-cert.cisa.gov/ncas/current-activity/2021/08/10/sap-releases-august-2021-security-updates 概要 複数のSAP製品には、脆弱性があります。 対象となる製品は、多岐にわたります。詳細はSAPが提供するアドバイザリ情 報を参照してください。 この問題は、該当する製品をSAPが提供する修正済みのバージョンに更新する ことで解決します。詳細は、SAPが提供する情報を参照してください。 関連文書 (英語) SAP SAP Security Patch Day August 2021 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=582222806 【6】NicheStack TCP/IPスタックに複数の脆弱性 情報源 CERT/CC Vulnerability Note VU#608209 NicheStack embedded TCP/IP has vulnerabilities https://kb.cert.org/vuls/id/608209 概要 HCC Embeddedが開発したTCP/IPプロトコルスタックであるNicheStackには、複 数の脆弱性があります。結果として、遠隔の第三者が任意のコードを実行する などの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - NicheStack 4.3より前のすべてのバージョン - NicheLite 4.3より前のすべてのバージョン この問題は、該当する製品をHCC Embeddedが提供する修正済みのバージョン に更新することで解決します。詳細は、HCC Embeddedが提供する情報を参照 してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#98488549 NicheStack TCP/IP スタックに複数の脆弱性 https://jvn.jp/vu/JVNVU98488549/ 関連文書 (英語) HCC Embedded Security Advisories https://www.hcc-embedded.com/support/security-advisories 【7】複数のApple製品に脆弱性 情報源 Apple iTunes for Windows 12.11.4 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT212609 Apple Windows 用 iCloud 12.5 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT212607 概要 Appleから複数の製品に関するセキュリティアドバイザリが公開されました。 対象となる製品およびバージョンは次のとおりです。 - iTunes for Windows 12.11.4より前のバージョン - iCloud for Windows 12.5より前のバージョン この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Appleが提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC CyberNewsFlash Apple製品のアップデートについて(2021年8月) https://www.jpcert.or.jp/newsflash/2021081103.html 【8】Citrix ShareFile storage zones controllerに脆弱性 情報源 CISA Current Activity Citrix Releases Security Update for ShareFile Storage Zones Controller https://us-cert.cisa.gov/ncas/current-activity/2021/08/10/citrix-releases-security-update-sharefile-storage-zones-controller 概要 Citrix ShareFile storage zones controllerには、ファイル暗号化オプション が意図せずに無効化される脆弱性があります。 対象となるバージョンは次のとおりです。 - Citrix ShareFile storage zones controller 5.11.19より前のバージョン この問題は、該当する製品をCitrixが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Citrixが提供する情報を参照してください。 関連文書 (英語) Citrix Citrix ShareFile storage zones controller security update https://support.citrix.com/article/CTX322787 【9】Drupalのサードパーティライブラリに脆弱性 情報源 CISA Current Activity Drupal Releases Security Updates https://us-cert.cisa.gov/ncas/current-activity/2021/08/12/drupal-releases-security-updates 概要 Drupalが使用するCKEditorライブラリには、クロスサイトスクリプティング の脆弱性があります。結果として、第三者が任意のスクリプトを実行する可 能性があります。 対象となるバージョンは次のとおりです。 - Drupal 9.2.4より前の9.2系のバージョン - Drupal 9.1.12より前の9.1系のバージョン - Drupal 8.9.18より前の8.9系のバージョン なお、Drupal 9.1系より前の9系およびDrupal 8.9系より前の8系のバージョン はサポートが終了しており、今回のセキュリティに関する情報は提供されてい ません。 この問題は、Drupalが提供する修正済みのバージョンに更新することで解決し ます。詳細は、Drupalが提供する情報を参照してください。 関連文書 (英語) Drupal Drupal core - Moderately critical - Third-party libraries - SA-CORE-2021-005 https://www.drupal.org/sa-core-2021-005 CKSource CKEditor 4.16.2 with browser improvements and security fixes https://ckeditor.com/blog/ckeditor-4.16.2-with-browser-improvements-and-security-fixes/ 【10】HTTP WebプロキシやWebアクセラレータのHTTP/2実装不備によるHTTPリクエストスマグリングの脆弱性 情報源 CERT/CC Vulnerability Note VU#357312 HTTP Request Smuggling in Web Proxies https://kb.cert.org/vuls/id/357312 概要 HTTP/2をサポートするHTTP WebプロキシやWebアクセラレータには、HTTP/1へ の変換処理の実装不備に起因した、HTTPリクエストスマグリング攻撃が可能に なる脆弱性があります。結果として、細工したHTTPリクエストを送信した第三 者が、機微な情報を窃取するなどの可能性があります。 対象となる製品は次のとおりです。 - HTTP/2からHTTP/1への変換を行うシステム 詳細についてはCERT/CCが提供する情報を参照してください。 この問題に対して、複数のベンダーから対策に関する情報が公開されています。 各製品のベンダーから提供される修正済みのバージョンに更新するなどの対応 を実施してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#99039870 HTTP WebプロキシやWebアクセラレータのHTTP/2実装不備によるHTTPリクエストスマグリングの脆弱性 https://jvn.jp/vu/JVNVU99039870/ 関連文書 (英語) Portswigger Research HTTP/2: The Sequel is Always Worse https://portswigger.net/research/http2 【11】WordPress用プラグインQuiz And Survey Masterにクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#65388002 WordPress 用プラグイン Quiz And Survey Master におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN65388002/ 概要 ExpressTechが提供するWordPress用プラグインQuiz And Survey Masterには、 クロスサイトスクリプティングの脆弱性があります。結果として、第三者が任 意のスクリプトを実行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Quiz And Survey Master 7.1.14より前のバージョン この問題は、本プラグインをExpressTechが提供する修正済みのバージョンに 更新することで解決します。詳細は、ExpressTechが提供する情報を参照して ください。 関連文書 (英語) ExpressTech Quiz And Survey Master - Best Quiz, Exam and Survey Plugin for WordPress https://ja.wordpress.org/plugins/quiz-master-next/ 【12】Ploneにオープンリダイレクトの脆弱性 情報源 Japan Vulnerability Notes JVN#50804280 Plone におけるオープンリダイレクトの脆弱性 https://jvn.jp/jp/JVN50804280/ 概要 Plone Foundationが提供するPloneには、オープンリダイレクトの脆弱性があ ります。結果として、遠隔の第三者が、細工したURLにユーザーをアクセスさ せることで、任意のwebサイトにリダイレクトさせる可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Plone 5.2.5より前のバージョンで、パッケージProducts.isurlinportalが1.2.0より前の製品 この問題は、本製品にPlone Foundationが提供するパッチを適用することで解 決します。詳細は、Plone Foundationが提供する情報を参照してください。 関連文書 (英語) Plone Foundation URL Redirection to Untrusted Site ('Open Redirect') in Products.isurlinportal https://github.com/plone/Products.isurlinportal/security/advisories/GHSA-q3m9-9fj2-mfwr Plone Foundation Security fix: Products.isurlinportal 1.2.0 https://community.plone.org/t/security-fix-products-isurlinportal-1-2-0/14152 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○JPCERT/CCがとりまとめた「サイバー攻撃被害情報の共有と公表のあり方」に係る調査報告書の公表 2021年7月、総務省が開催するサイバーセキュリティタスクフォース(第33回) の会合において、JPCERT/CCは、サイバー攻撃被害情報の共有と公表のあり方 に係る調査検討の結果を報告し、後日、報告書が公表されました。 社会全体におけるサイバー攻撃対処のベースとなる情報共有活動が円滑に行わ れるためには、どのようにサイバー攻撃被害情報の共有や公表が行われるべき か、JPCERT/CCにおけるこれまでのインシデント対応支援の経験を踏まえた問 題意識をもとに検討したものです。 参考文献 (日本語) 総務省 サイバーセキュリティタスクフォース(第33回) https://www.soumu.go.jp/main_sosiki/kenkyu/cybersecurity_taskforce/02cyber01_04000001_00191.html 総務省(JPCERT/CC資料) サイバー攻撃被害情報の共有と公表のあり方について(公開版)<概要> https://www.soumu.go.jp/main_content/000762950.pdf 総務省(JPCERT/CC資料) サイバー攻撃被害情報の共有と公表のあり方について (公開版) https://www.soumu.go.jp/main_content/000762951.pdf ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CCからのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下のURLからご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下のURLを参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJhHD6yAAoJEKntH+qu5CT/2hcP/iSR+bhONefvIAnsa73JfQXE ayYxF7l1e4pFNnKRfzr1f0DtQZSuIqhDjKylzXqMBlMODZfuT/UvnwXICs6L0VQj +m3maJlinodIlJ4vVqEQiv+MoEbh0sNUcdu9Pa57bw9vIGAZ9itTOcrdYUbOV6Hg 0sYQ4j/GPUKZyTAz9nJgrEeIu6ZSl599VprWSYs1S9IpH7dwwSoAPBb4JlhXngpY JSnWl681t9CwErnOsvUmYAJuB+xut13SlcVgeKajZpEem9zmpmXxMEW1OSP68/eF aRO9uhH+3VZKWvPGfYvZM+Bmwhko/It4ftMeicIKoGBG+rWvs3Y3m5ACyfhBgsiR CUX//BxgChflgXPmoNW7ktDCCWajP9kRo6jCvoebXq7v5rzGWHNFazaj6xA8RBe+ HDZkCvHkPnboOWNMbIxt+NIPDKqPDg1XdRW5dM56DrFmNYEXY6ENXC1oXOk2+Tdb wjKg2HE2j2eqzmiKxKLjElS9PCMQw1ZEUqFMo6o1+NstEZ0uIE9NjjKyid0IYmL6 aOqUDIcl8U05RaxL7K4Zpen1dVXN4sU9G/+HPEv2h3bU8GNErbMtNvzezcJmQWm8 HGQi7nmbV2msa28WrNoQgLjOpg95FBcPblkIcRcy3DW3TzlFlJvAHYllVKngbt4l q99ja5Zt1MN+vRgb3vck =ar21 -----END PGP SIGNATURE-----