-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2021-3901 JPCERT/CC 2021-10-06 <<< JPCERT/CC WEEKLY REPORT 2021-10-06 >>> ―――――――――――――――――――――――――――――――――――――― ■09/26(日)〜10/02(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】SonicWall SMA 100シリーズ製品にアクセス制限不備の脆弱性 【2】Hikvision製ネットワークカメラ製品にコマンドインジェクションの脆弱性 【3】Google Chromeに複数の脆弱性 【4】複数のトレンドマイクロ製品に脆弱性 【5】サイボウズ リモートサービスに複数の脆弱性 【6】WordPress用プラグインOG Tagsにクロスサイトリクエストフォージェリの脆弱性 【7】スマートフォンアプリ「InBody」に情報漏えいの脆弱性 【8】iOSアプリ「スニーカーダンク スニーカーフリマアプリ」にサーバー証明書の検証不備の脆弱性 【今週のひとくちメモ】総務省が「クラウドサービス提供における情報セキュリティ対策ガイ ドライン(第3版)」(案)に対する意見募集の結果および「クラウドサービ ス提供における情報セキュリティ対策ガイドライン(第3版)」の公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2021/wr213901.html https://www.jpcert.or.jp/wr/2021/wr213901.xml ============================================================================ 【1】SonicWall SMA 100シリーズ製品にアクセス制限不備の脆弱性 情報源 SonicWall Unauthenticated SMA100 arbitrary file delete vulnerability https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0021 概要 SonicWall SMA 100シリーズには、アクセス制限不備の脆弱性があります。結 果として、遠隔の第三者が任意のファイルを削除するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 製品 - SMA 200 - SMA 210 - SMA 400 - SMA 410 - SMA 500v(ESX, KVM, AWS, Azure) バージョン - 10.2.1.0-17svおよびそれ以前 - 10.2.0.7-34svおよびそれ以前 - 9.0.0.10-28svおよびそれ以前 この問題は、該当する製品をSonicWallが提供する修正済みのバージョンに更 新することで解決します。詳細は、SonicWallが提供する情報を参照してくだ さい。 関連文書 (日本語) JPCERT/CC注意喚起 SonicWall製のSMA100シリーズの脆弱性(CVE-2021-20034)に関する注意喚起 https://www.jpcert.or.jp/at/2021/at210042.html 関連文書 (英語) SonicWall Security Notice: Critical Arbitrary File Delete Vulnerability in SonicWall SMA 100 Series Appliances https://www.sonicwall.com/support/product-notification/security-notice-critical-arbitrary-file-delete-vulnerability-in-sonicwall-sma-100-series-appliances/210913034617403/ 【2】Hikvision製ネットワークカメラ製品にコマンドインジェクションの脆弱性 情報源 CISA Current Activity RCE Vulnerability in Hikvision Cameras (CVE-2021-36260) https://us-cert.cisa.gov/ncas/current-activity/2021/09/28/rce-vulnerability-hikvision-cameras-cve-2021-36260 JPCERT/CC CyberNewsFlash Hikvision製ネットワークカメラの脆弱性(CVE-2021-36260)について https://www.jpcert.or.jp/newsflash/2021093001.html 概要 Hikvision製のネットワークカメラ製品には、コマンドインジェクションの脆 弱性があります。結果として、遠隔の第三者が、任意のコマンドを実行する可 能性があります。 対象となる製品は、多岐にわたります。詳細はHikvisionが提供するアドバイ ザリ情報を参照してください。 この問題は、該当する製品をHikvisionが提供する修正済みのファームウェア に更新することで解決します。詳細はHikvisionのアドバイザリの情報を参照 してください。 関連文書 (日本語) Hikvision 重要な製品のファームウェア更新についてのお知らせ https://www.hikvision.com/jp/support/cybersecurity/security-advisory/security-notification-command-injection-vulnerability-in-some-hikvision-products/important-product-firmware-update/ Hikvision セキュリティ強化に関するお知らせ 一部のHikvision製品におけるコマンドインジェクションの脆弱性 https://www.hikvision.com/jp/support/cybersecurity/security-advisory/security-notification-command-injection-vulnerability-in-some-hikvision-products/security-notification-command-injection-vulnerability-in-some-hikvision-products/ 【3】Google Chromeに複数の脆弱性 情報源 CISA Current Activity Google Releases Security Updates for Chrome https://us-cert.cisa.gov/ncas/current-activity/2021/10/01/google-releases-security-updates-chrome 概要 Google Chromeには、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 94.0.4606.71より前のバージョン この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新 することで解決します。詳細は、Googleが提供する情報を参照してください。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2021/09/stable-channel-update-for-desktop_30.html 【4】複数のトレンドマイクロ製品に脆弱性 情報源 Japan Vulnerability Notes JVNVU#99718667 トレンドマイクロ製スマートホームスキャナー (Windows版) における権限昇格の脆弱性 https://jvn.jp/vu/JVNVU99718667/ Japan Vulnerability Notes JVNVU#99520559 トレンドマイクロ製ServerProtectにおける認証回避の脆弱性 https://jvn.jp/vu/JVNVU99520559/ 概要 複数のトレンドマイクロ製品には、脆弱性があります。結果として、遠隔の第 三者が認証を回避するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - スマートホームスキャナー(Windows版)バージョン番号 5.3.1225およびそれ以前 - ServerProtect for Windows 5.8(Build 1575)より前のバージョン - ServerProtect for NetApp 5.8(Build 1299)より前のバージョン - ServerProtect for EMC Celerra 5.8(Build 1577)より前のバージョン - ServerProtect for Storage 6.0(Build 1284)より前のバージョン この問題は、トレンドマイクロ株式会社が提供する修正済みのバージョンに更 新することで解決します。詳細は、トレンドマイクロ株式会社が提供する情報 を参照してください。 関連文書 (日本語) トレンドマイクロ株式会社 アラート/アドバイザリ:スマートホームスキャナー(Windows版)の脆弱性について (CVE-2021-32466) https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10621 トレンドマイクロ株式会社 アラート/アドバイザリ:ServerProtect における認証バイパスの脆弱性について https://success.trendmicro.com/jp/solution/000289030 【5】サイボウズ リモートサービスに複数の脆弱性 情報源 Japan Vulnerability Notes JVN#52694228 サイボウズ リモートサービスにおける複数の脆弱性 https://jvn.jp/jp/JVN52694228/ 概要 サイボウズ リモートサービスには、複数の脆弱性があります。結果として、 遠隔の第三者が情報を改ざんするなどの可能性があります。 対象となるバージョンは次のとおりです。 - サイボウズ リモートサービス 3.0.0から3.1.9まで この問題は、サイボウズ株式会社が提供する修正済みのバージョンに更新する ことで解決します。詳細は、サイボウズ株式会社が提供する情報を参照してく ださい。 関連文書 (日本語) サイボウズ株式会社 サイボウズ リモートサービス 4 脆弱性に関するお知らせ https://cs.cybozu.co.jp/2021/007503.html 【6】WordPress用プラグインOG Tagsにクロスサイトリクエストフォージェリの脆弱性 情報源 Japan Vulnerability Notes JVN#29428319 WordPress 用プラグイン OG Tags におけるクロスサイトリクエストフォージェリの脆弱性 https://jvn.jp/jp/JVN29428319/ 概要 WordPress用プラグインOG Tagsには、クロスサイトリクエストフォージェリの 脆弱性が存在します。結果として、当該製品に管理者権限でログインした状態 のユーザーが、細工されたページにアクセスした場合、意図しない操作をさせ られる可能性があります。 対象となるバージョンは次のとおりです。 - OG Tags 2.0.2より前のバージョン この問題は、該当する製品をMario Valneyが提供する修正済みのバージョンに 更新することで解決します。詳細は、Mario Valneyが提供する情報を参照して ください。 関連文書 (日本語) Mario Valney OG Tags https://ja.wordpress.org/plugins/og-tags/ 【7】スマートフォンアプリ「InBody」に情報漏えいの脆弱性 情報源 Japan Vulnerability Notes JVN#63023305 スマートフォンアプリ「InBody」における情報漏えいの脆弱性 https://jvn.jp/jp/JVN63023305/ 概要 スマートフォンアプリ「InBody」には、情報漏えいの脆弱性が存在します。こ の問題は、当該アプリが体組成計InBody Dialと連動し、測定結果をアプリに 転送する際に、特定の条件下において情報漏えいが発生する可能性があります。 対象となるバージョンは次のとおりです。 - iOSアプリ「InBody」バージョン 2.3.30より前のバージョン - Androidアプリ「InBody」バージョン 2.2.90(510)より前のバージョン この問題は、該当する製品を株式会社インボディ・ジャパンが提供する修正済 みのバージョンに更新することで解決します。詳細は、株式会社インボディ・ ジャパンが提供する情報を参照してください。 関連文書 (日本語) 株式会社インボディ・ジャパン InBody Dial セキュリティ強化のためのアプリアップデートのご案内 https://www.inbody.co.jp/inbody-news/?uid=55&mod=document&pageid=1 【8】iOSアプリ「スニーカーダンク スニーカーフリマアプリ」にサーバー証明書の検証不備の脆弱性 情報源 Japan Vulnerability Notes JVN#10168753 iOS アプリ「スニーカーダンク スニーカーフリマアプリ」におけるサーバ証明書の検証不備の脆弱性 https://jvn.jp/jp/JVN10168753/ 概要 iOSアプリ「スニーカーダンク スニーカーフリマアプリ」には、サーバー証明 書の検証不備の脆弱性があります。結果として、遠隔の第三者によって、通信 内容の取得や改ざんなどが行われる可能性があります。 対象となるバージョンは次のとおりです。 - iOSアプリ「スニーカーダンク スニーカーフリマアプリ」バージョン2.2.0より前のバージョン この問題は、株式会社SODAが提供する修正済みのバージョンに更新することで 解決します。詳細は、株式会社SODAが提供する情報を参照してください。 関連文書 (日本語) 株式会社SODA iOS版におけるSSLサーバ証明書の検証不備の脆弱性 修正完了のお知らせ https://snkrdunk.com/information/37/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○総務省が「クラウドサービス提供における情報セキュリティ対策ガイ ドライン(第3版)」(案)に対する意見募集の結果および「クラウドサービ ス提供における情報セキュリティ対策ガイドライン(第3版)」の公開 総務省は、2021年7月より意見募集をしていた「クラウドサービス提供におけ る情報セキュリティ対策ガイドライン(第3版)」(案)に関し、募集結果と あわせ、当ガイドラインを公開しました。旧版から、クラウドサービスにおけ る責任分界のあり方や国際規格等との整合性の観点から、さらなる内容の検討 を行い、反映させた内容として更新されています。 参考文献 (日本語) 総務省 「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」(案)に対する意見募集の結果及び「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」の公表 https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00121.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CCからのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下のURLからご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下のURLを参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJhXOX6AAoJEKntH+qu5CT/p60P/jd1UcDsPzaHQzQX7HvdUNGB sJ3dhThTdn7lE9p4MXtR9TUHuHOU/maHzkc2JBmNSjV7EsAyEXiy2Ox+yX8WAofa hUAojNRmYeoMbv+LqrvxUtVt87zimqeOPfqHnhkIu5LoSkMlm10brpC2m38kyXxY TtZTYKavIBc6hzsmsN79cvL+BoX4WrLVaGKG1bxO5adoR8uzwGMVjgbIQ6QpHsOw kx94wYF9DYKUXxhKrj/qqVuPVvIftQ6vKWC2o1sI/jwzKAmc9Trf3bOiOv4XVf2r xf+4AQe4vNQ9MR1ppG3N8SryYqMKCaY6ikS0hluGz09u0SHeexUKm6zYa/M89mGv syGrASOc2aBc+6mmmF5W9Hziyi7FnYIAwRkcsd3IL97VuUkbx6C1Da2WumJwrGva OWWTqqHi0Y7ocKxGZMDXgEXWhuHA6W0e1KAImFlkNnWGSZOHUSLQOLyesPzJmmTP f4rT75MfuHkXoy0iXsyDI763GiPFeq23DtId4Nwo9SuKaKvUiulmabyYyqI7gk3Q 2J8EufbOxjv44Zx+4ZpFYsQrmCdtKJSsudoJGcDiinsyQpTXA6PZcWf2laJrLlAf MYECCJa1QREWY5AB6MuIm8vj9SL4zoVGL7NJtioYXUFSxUuzl5FGolUxZqrBICsX QGOCnlUovpWJBVbq3cHb =VqMW -----END PGP SIGNATURE-----