-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2021-3401 JPCERT/CC 2021-09-01 <<< JPCERT/CC WEEKLY REPORT 2021-09-01 >>> ―――――――――――――――――――――――――――――――――――――― ■08/22(日)〜08/28(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数のCisco製品に脆弱性 【2】OpenSSLに複数の脆弱性 【3】複数のVMware製品に脆弱性 【4】複数のF5 Networks製品に脆弱性 【5】複数のソニー製品のインストーラーにDLL読み込みの脆弱性 【6】Movable Typeに複数のクロスサイトスクリプティングの脆弱性 【7】baserCMSにクロスサイトスクリプティングの脆弱性 【8】WordPress用プラグインBooster for WooCommerceに認証回避の脆弱性 【今週のひとくちメモ】日本シーサート協議会が「CSIRT 人材の定義と確保 Ver.2.1」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2021/wr213401.html https://www.jpcert.or.jp/wr/2021/wr213401.xml ============================================================================ 【1】複数のCisco製品に脆弱性 情報源 CISA Current Activity Cisco Releases Security Updates for Multiple Products https://us-cert.cisa.gov/ncas/current-activity/2021/08/26/cisco-releases-security-updates-multiple-products 概要 複数のCisco製品には、影響度CriticalおよびHighを含む複数の脆弱性があり ます。結果として、遠隔の第三者が任意のファイルを読み書きするなどの可能 性があります。 対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ 情報を参照してください。 この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Ciscoが提供するアドバイザリ情報を参照して ください。 関連文書 (英語) Cisco Cisco Security Advisories https://tools.cisco.com/security/center/publicationListing.x Cisco Security Advisory Cisco Application Policy Infrastructure Controller Arbitrary File Read and Write Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-capic-frw-Nt3RYxR2 【2】OpenSSLに複数の脆弱性 情報源 CISA Current Activity OpenSSL Releases Security Update https://us-cert.cisa.gov/ncas/current-activity/2021/08/25/openssl-releases-security-update 概要 OpenSSLは、複数の脆弱性があります。脆弱性が悪用されると、第三者がサー ビス運用妨害(DoS)攻撃などを行う可能性があります。 対象となる製品は次のとおりです。 - OpenSSL 1.1.1kおよびそれ以前のバージョン - OpenSSL 3.0 alpha/betaリリース この問題は、OpenSSLをOpenSSL Projectが提供する修正済みのバージョンに更 新することで解決します。なお、OpenSSL 3.0 alpha/betaリリースは正式版リ リース時までに修正予定とのことです。詳細はOpenSSL Projectが提供する情 報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#99612123 OpenSSLに複数の脆弱性 https://jvn.jp/vu/JVNVU99612123/ JPCERT/CC 注意喚起 OpenSSLの脆弱性(CVE-2021-3711、CVE-2021-3712)に関する注意喚起 https://www.jpcert.or.jp/at/2021/at210036.html 関連文書 (英語) OpenSSL OpenSSL Security Advisory [24 August 2021] https://www.openssl.org/news/secadv/20210824.txt 【3】複数のVMware製品に脆弱性 情報源 CISA Current Activity VMware Releases Security Updates for Multiple Products https://us-cert.cisa.gov/ncas/current-activity/2021/08/25/vmware-releases-security-updates-multiple-products 概要 複数のVMware製品には、脆弱性があります。結果として、第三者が影響を受け るシステムを制御するなどの可能性があります。 対象となる製品は次のとおりです。 - VMware vRealize Operations - VMware Cloud Foundation - vRealize Suite Lifecycle Manager この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す ることで解決します。詳細は、VMwareが提供する情報を参照してください。 関連文書 (英語) VMware VMSA-2021-0018 https://www.vmware.com/security/advisories/VMSA-2021-0018.html 【4】複数のF5 Networks製品に脆弱性 情報源 CISA Current Activity F5 Releases August 2021 Security Advisory https://us-cert.cisa.gov/ncas/current-activity/2021/08/25/f5-releases-august-2021-security-advisory 概要 複数のF5 Networks製品には、影響度Highを含む複数の脆弱性があります。結 果として、第三者がユーザーを詐称して重要な操作をさせることでシステム侵 害につながるなどの可能性があります。 対象となる製品は、多岐にわたります。詳細はF5 Networksが提供するアドバ イザリ情報を参照してください。 この問題は、該当する製品をF5 Networksが提供する修正済みのバージョンに 更新するか、回避策を適用することで解決します。詳細は、F5 Networksが提 供する情報を参照してください。 関連文書 (英語) F5 Networks K50974556: Overview of F5 vulnerabilities (August 2021) https://support.f5.com/csp/article/K50974556 【5】複数のソニー製品のインストーラーにDLL読み込みの脆弱性 情報源 Japan Vulnerability Notes JVN#80288258 複数のソニー製品のインストーラにおける DLL 読み込みに関する脆弱性 https://jvn.jp/jp/JVN80288258/ 概要 ソニー株式会社が提供する複数の製品のインストーラーには、DLL読み込みに 関する脆弱性があります。結果として、第三者が、インストーラーを実行して いる権限で、任意のコードを実行する可能性があります。 対象となる製品は次のとおりです。 - Sony Audio USB Driver V1.10およびそれ以前のインストーラー - HAP Music Transfer Ver.1.3.0およびそれ以前のインストーラー この問題は、開発者が提供する情報をもとに、最新の手順に従ってインストー ルを行うことで解決します。 なお、本脆弱性の影響を受けるのはインストーラーの起動時のみです。すでに 製品をインストールしている場合、再インストールする必要はありません。 関連文書 (日本語) Sony Sony Audio USB Driver : ポータブルオーディオプレーヤー ウォークマン https://www.sony.jp/support/walkman/download/ Sony Sony Audio USB Driver : アクティブスピーカー https://www.sony.jp/support/active-speaker/download/ Sony Sony Audio USB Driver : システムステレオ https://www.sony.jp/support/netjuke/download/ Sony Sony Audio USB Driver : コンポーネントオーディオ https://www.sony.jp/support/audio/download/index.html Sony HAP Music Transfer https://www.sony.jp/support/audio/download/hap-music-transfer-win/ 【6】Movable Typeに複数のクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#97545738 Movable Type における複数のクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN97545738/ 概要 Movable Typeには、複数のクロスサイトスクリプティングの脆弱性があります。 結果として、当該製品にログインしているユーザーのWebブラウザー上で、任 意のスクリプトを実行される可能性があります。 対象となるバージョンは以下のとおりです。 - Movable Type 7 r.4903およびそれ以前 (Movable Type 7系) - Movable Type 6.8.0およびそれ以前 (Movable Type 6系) - Movable Type Advanced 7 r.4903およびそれ以前 (Movable Type Advanced 7系) - Movable Type Premium 1.44およびそれ以前 - Movable Type Premium Advanced 1.44およびそれ以前 この問題は、Movable Typeをシックス・アパート株式会社が提供する修正済み のバージョンに更新することで解決します。詳細は、シックス・アパート株式 会社が提供する情報を参照してください。 関連文書 (日本語) シックス・アパート株式会社 [重要] Movable Type 7 r.5001 / Movable Type 6.8.1 / Movable Type Premium 1.45 の提供を開始、クラウド版に新プラン S150i を追加(セキュリティアップデート) https://www.sixapart.jp/movabletype/news/2021/08/25-1100.html 【7】baserCMSにクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#14134801 baserCMS におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN14134801/ 概要 baserCMSユーザー会が提供するbaserCMSには、クロスサイトスクリプティング の脆弱性があります。結果として、当該製品を使用しているサイトにアクセス したユーザーのWebブラウザー上で、任意のスクリプトを実行される可能性が あります。 対象となるバージョンは次のとおりです。 - baserCMS 4.5.1より前のバージョン この問題は、該当する製品をbaserCMSユーザー会が提供する修正済みのバージョン に更新することで解決します。詳細は、baserCMSユーザー会が提供する情報を 参照してください。 関連文書 (日本語) baserCMSユーザー会 2021/08/26 ファイルアップロードにおけるクロスサイトスクリプティングの脆弱性 https://basercms.net/security/JVN_14134801 【8】WordPress用プラグインBooster for WooCommerceに認証回避の脆弱性 情報源 Wordfence Critical Authentication Bypass Vulnerability Patched in Booster for WooCommerce https://www.wordfence.com/blog/2021/08/critical-authentication-bypass-vulnerability-patched-in-booster-for-woocommerce/ 概要 WordPress用プラグインBooster for WooCommerceには、認証回避の脆弱性があ ります。結果として、遠隔の第三者が、当該製品にアカウントを持つユーザー を詐称し、不正にログインする可能性があります。 対象となるバージョンは次のとおりです。 - Booster for WooCommerce 5.4.3およびそれ以前 この問題は、Booster for WooCommerceを開発者が提供する修正済みのバージョン に更新することで解決します。詳細は、開発者が提供する情報を参照してくだ さい。 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○日本シーサート協議会が「CSIRT 人材の定義と確保 Ver.2.1」を公開 2021年8月23日、日本シーサート協議会は、CSIRTに求められる役割と実現に必 要な人材のスキル、キャリアパスについて解説した「CSIRT 人材の定義と確保」 の最新版となるVer.2.1を公開しました。 CSIRTの役割と業務内容に「経営者(CISO、CSO、社長など)、CSIRT運営管理 担当、システム運用担当」が追加され、実際のCSIRTに近い役割を反映してお り、構成する機能、体制、人材がより明確になっています。また、これまで本 資料の記載対象外とされていた「モデルD:一部の大学などおいて構築・運用 されているCSIRT」に関する説明が追加され、より多様なCSIRTをカバーする内 容になっています。 参考文献 (日本語) 日本シーサート協議会 CSIRT 人材の定義と確保 Ver.2.1 https://www.nca.gr.jp/activity/imgs/recruit-hr20201211.pdf ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CCからのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下のURLからご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下のURLを参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJhLsKAAAoJEKntH+qu5CT/G6wP/3OUkDh3R1LsZNQ2tf5VCgBD p0tSAyDO9274RuUwwbIjjgYRUpEUxHhhmMzM5KOo8OOLsVnPNyMFubecAtcjyMQC FF2KwVxUwuzli51JzHUckjA3+SIEsyGfSlHhpwPS2bbhtr/CwmTunHNC5AjLSBx6 8oTSvDRsqsiqriFd37vgRXqluYSdSP+bycuSsx+3nK+0AC6e3Bmg3QM5TCSromaK 2v2/NhP+TuYxQOXAEvD1ZemQn7qEzS32XwYvdrFYtfLkN0IFftXUKAe49jgUKXWo 2/n3775xt9wyChojKf7L20XVuXOBUSqtXEvk8fsqouu92WlemH6hiODucJE9Zye5 dKSXQMgw6YSlco8WCZR37L2bv4hYjs5CbMiWgssTJ/XDRxINxZKe8a731OQn/Y1J Jp0VBKXZI4Hq24tj5na94kV7fr0Pqp7rIQ3+knH1NAVUnUdSlTbPUND4mN8YskM4 kzsUnqdDzs2Sn0SqrURv1SBUDdXFZ4RCbN5iuMOWKTxL3J55ZmoZIk0jpPzwMM15 AgzdMljuCgH+bSTF2If6ztf5A4oHjJdx/6FSiVgvMhDGvpDa3R4ijAPVgkYGcjmI au8hRMoS3uVgUAgWwMQWGmnAF8pB4HCvjWDGW5eam+UBieNUmt6kWUVSKE01CBo9 JiVgFKDrmIHk3ef42F31 =JI7X -----END PGP SIGNATURE-----