<<< JPCERT/CC WEEKLY REPORT 2021-09-01 >>>
■08/22(日)〜08/28(土) のセキュリティ関連情報
目 次
【1】複数のCisco製品に脆弱性
【2】OpenSSLに複数の脆弱性
【3】複数のVMware製品に脆弱性
【4】複数のF5 Networks製品に脆弱性
【5】複数のソニー製品のインストーラーにDLL読み込みの脆弱性
【6】Movable Typeに複数のクロスサイトスクリプティングの脆弱性
【7】baserCMSにクロスサイトスクリプティングの脆弱性
【8】WordPress用プラグインBooster for WooCommerceに認証回避の脆弱性
【今週のひとくちメモ】日本シーサート協議会が「CSIRT 人材の定義と確保 Ver.2.1」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr213401.txt
https://www.jpcert.or.jp/wr/2021/wr213401.xml
【1】複数のCisco製品に脆弱性
情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/08/26/cisco-releases-security-updates-multiple-products
概要
複数のCisco製品には、影響度CriticalおよびHighを含む複数の脆弱性があり ます。結果として、遠隔の第三者が任意のファイルを読み書きするなどの可能 性があります。 対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ 情報を参照してください。 この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Ciscoが提供するアドバイザリ情報を参照して ください。
関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.xCisco Security Advisory
Cisco Application Policy Infrastructure Controller Arbitrary File Read and Write Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-capic-frw-Nt3RYxR2
【2】OpenSSLに複数の脆弱性
情報源
CISA Current Activity
OpenSSL Releases Security Update
https://us-cert.cisa.gov/ncas/current-activity/2021/08/25/openssl-releases-security-update
概要
OpenSSLは、複数の脆弱性があります。脆弱性が悪用されると、第三者がサー ビス運用妨害(DoS)攻撃などを行う可能性があります。 対象となる製品は次のとおりです。 - OpenSSL 1.1.1kおよびそれ以前のバージョン - OpenSSL 3.0 alpha/betaリリース この問題は、OpenSSLをOpenSSL Projectが提供する修正済みのバージョンに更 新することで解決します。なお、OpenSSL 3.0 alpha/betaリリースは正式版リ リース時までに修正予定とのことです。詳細はOpenSSL Projectが提供する情 報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#99612123
OpenSSLに複数の脆弱性
https://jvn.jp/vu/JVNVU99612123/JPCERT/CC 注意喚起
OpenSSLの脆弱性(CVE-2021-3711、CVE-2021-3712)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210036.html
関連文書 (英語)
OpenSSL
OpenSSL Security Advisory [24 August 2021]
https://www.openssl.org/news/secadv/20210824.txt
【3】複数のVMware製品に脆弱性
情報源
CISA Current Activity
VMware Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/08/25/vmware-releases-security-updates-multiple-products
概要
複数のVMware製品には、脆弱性があります。結果として、第三者が影響を受け るシステムを制御するなどの可能性があります。 対象となる製品は次のとおりです。 - VMware vRealize Operations - VMware Cloud Foundation - vRealize Suite Lifecycle Manager この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す ることで解決します。詳細は、VMwareが提供する情報を参照してください。
関連文書 (英語)
VMware
VMSA-2021-0018
https://www.vmware.com/security/advisories/VMSA-2021-0018.html
【4】複数のF5 Networks製品に脆弱性
情報源
CISA Current Activity
F5 Releases August 2021 Security Advisory
https://us-cert.cisa.gov/ncas/current-activity/2021/08/25/f5-releases-august-2021-security-advisory
概要
複数のF5 Networks製品には、影響度Highを含む複数の脆弱性があります。結 果として、第三者がユーザーを詐称して重要な操作をさせることでシステム侵 害につながるなどの可能性があります。 対象となる製品は、多岐にわたります。詳細はF5 Networksが提供するアドバ イザリ情報を参照してください。 この問題は、該当する製品をF5 Networksが提供する修正済みのバージョンに 更新するか、回避策を適用することで解決します。詳細は、F5 Networksが提 供する情報を参照してください。
関連文書 (英語)
F5 Networks
K50974556: Overview of F5 vulnerabilities (August 2021)
https://support.f5.com/csp/article/K50974556
【5】複数のソニー製品のインストーラーにDLL読み込みの脆弱性
情報源
Japan Vulnerability Notes JVN#80288258
複数のソニー製品のインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN80288258/
概要
ソニー株式会社が提供する複数の製品のインストーラーには、DLL読み込みに 関する脆弱性があります。結果として、第三者が、インストーラーを実行して いる権限で、任意のコードを実行する可能性があります。 対象となる製品は次のとおりです。 - Sony Audio USB Driver V1.10およびそれ以前のインストーラー - HAP Music Transfer Ver.1.3.0およびそれ以前のインストーラー この問題は、開発者が提供する情報をもとに、最新の手順に従ってインストー ルを行うことで解決します。 なお、本脆弱性の影響を受けるのはインストーラーの起動時のみです。すでに 製品をインストールしている場合、再インストールする必要はありません。
関連文書 (日本語)
Sony
Sony Audio USB Driver : ポータブルオーディオプレーヤー ウォークマン
https://www.sony.jp/support/walkman/download/Sony
Sony Audio USB Driver : アクティブスピーカー
https://www.sony.jp/support/active-speaker/download/Sony
Sony Audio USB Driver : システムステレオ
https://www.sony.jp/support/netjuke/download/Sony
Sony Audio USB Driver : コンポーネントオーディオ
https://www.sony.jp/support/audio/download/index.htmlSony
HAP Music Transfer
https://www.sony.jp/support/audio/download/hap-music-transfer-win/
【6】Movable Typeに複数のクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#97545738
Movable Type における複数のクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN97545738/
概要
Movable Typeには、複数のクロスサイトスクリプティングの脆弱性があります。 結果として、当該製品にログインしているユーザーのWebブラウザー上で、任 意のスクリプトを実行される可能性があります。 対象となるバージョンは以下のとおりです。 - Movable Type 7 r.4903およびそれ以前 (Movable Type 7系) - Movable Type 6.8.0およびそれ以前 (Movable Type 6系) - Movable Type Advanced 7 r.4903およびそれ以前 (Movable Type Advanced 7系) - Movable Type Premium 1.44およびそれ以前 - Movable Type Premium Advanced 1.44およびそれ以前 この問題は、Movable Typeをシックス・アパート株式会社が提供する修正済み のバージョンに更新することで解決します。詳細は、シックス・アパート株式 会社が提供する情報を参照してください。
関連文書 (日本語)
シックス・アパート株式会社
[重要] Movable Type 7 r.5001 / Movable Type 6.8.1 / Movable Type Premium 1.45 の提供を開始、クラウド版に新プラン S150i を追加(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2021/08/25-1100.html
【7】baserCMSにクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#14134801
baserCMS におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN14134801/
概要
baserCMSユーザー会が提供するbaserCMSには、クロスサイトスクリプティング の脆弱性があります。結果として、当該製品を使用しているサイトにアクセス したユーザーのWebブラウザー上で、任意のスクリプトを実行される可能性が あります。 対象となるバージョンは次のとおりです。 - baserCMS 4.5.1より前のバージョン この問題は、該当する製品をbaserCMSユーザー会が提供する修正済みのバージョン に更新することで解決します。詳細は、baserCMSユーザー会が提供する情報を 参照してください。
関連文書 (日本語)
baserCMSユーザー会
2021/08/26 ファイルアップロードにおけるクロスサイトスクリプティングの脆弱性
https://basercms.net/security/JVN_14134801
【8】WordPress用プラグインBooster for WooCommerceに認証回避の脆弱性
情報源
Wordfence
Critical Authentication Bypass Vulnerability Patched in Booster for WooCommerce
https://www.wordfence.com/blog/2021/08/critical-authentication-bypass-vulnerability-patched-in-booster-for-woocommerce/
概要
WordPress用プラグインBooster for WooCommerceには、認証回避の脆弱性があ ります。結果として、遠隔の第三者が、当該製品にアカウントを持つユーザー を詐称し、不正にログインする可能性があります。 対象となるバージョンは次のとおりです。 - Booster for WooCommerce 5.4.3およびそれ以前 この問題は、Booster for WooCommerceを開発者が提供する修正済みのバージョン に更新することで解決します。詳細は、開発者が提供する情報を参照してくだ さい。
■今週のひとくちメモ
○日本シーサート協議会が「CSIRT 人材の定義と確保 Ver.2.1」を公開
2021年8月23日、日本シーサート協議会は、CSIRTに求められる役割と実現に必 要な人材のスキル、キャリアパスについて解説した「CSIRT 人材の定義と確保」 の最新版となるVer.2.1を公開しました。 CSIRTの役割と業務内容に「経営者(CISO、CSO、社長など)、CSIRT運営管理 担当、システム運用担当」が追加され、実際のCSIRTに近い役割を反映してお り、構成する機能、体制、人材がより明確になっています。また、これまで本 資料の記載対象外とされていた「モデルD:一部の大学などおいて構築・運用 されているCSIRT」に関する説明が追加され、より多様なCSIRTをカバーする内 容になっています。
参考文献 (日本語)
日本シーサート協議会
CSIRT 人材の定義と確保 Ver.2.1
https://www.nca.gr.jp/activity/imgs/recruit-hr20201211.pdf
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/