-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2021-4001 JPCERT/CC 2021-10-13 <<< JPCERT/CC WEEKLY REPORT 2021-10-13 >>> ―――――――――――――――――――――――――――――――――――――― ■10/03(日)〜10/09(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Apache HTTP Serverにディレクトリトラバーサルの脆弱性 【2】複数のCisco製品に脆弱性 【3】複数のMozilla製品に脆弱性 【4】スマートフォンアプリ「Nike」における Custom URL Scheme の処理にアクセス制限不備の脆弱性 【今週のひとくちメモ】NOTICEの取組改善に向けた調査協力のお願いについて ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2021/wr214001.html https://www.jpcert.or.jp/wr/2021/wr214001.xml ============================================================================ 【1】Apache HTTP Serverにディレクトリトラバーサルの脆弱性 情報源 Japan Vulnerability Notes JVN#51106450 Apache HTTP Server におけるディレクトリトラバーサルの脆弱性 https://jvn.jp/jp/JVN51106450/ 概要 Apache HTTP Serverには、ディレクトリトラバーサルの脆弱性があります。結 果として、遠隔の第三者が、ドキュメントルート外に置かれたアクセスを適切 に制限されていないファイルにアクセスするなどの可能性があります。 対象となるバージョンは次のとおりです。 バージョン - Apache HTTP Server2.4.49および2.4.50 この問題は、該当する製品をThe Apache Software Foundationが提供する修正 済みのバージョンに更新することで解決します。詳細は、The Apache Software Foundationが提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC注意喚起 Apache HTTP Serverのパストラバーサルの脆弱性(CVE-2021-41773)に関する注意喚起 https://www.jpcert.or.jp/at/2021/at210043.html 関連文書 (英語) The Apache Software Foundation Fixed in Apache HTTP Server 2.4.51 https://httpd.apache.org/security/vulnerabilities_24.html#2.4.51 CISA Current Activity Apache Releases HTTP Server version 2.4.51 to Address Vulnerabilities Under Exploitation https://us-cert.cisa.gov/ncas/current-activity/2021/10/07/apache-releases-http-server-version-2451-address-vulnerabilities 【2】複数のCisco製品に脆弱性 情報源 CISA Current Activity Cisco Releases Security Updates for Multiple Products https://us-cert.cisa.gov/ncas/current-activity/2021/10/07/cisco-releases-security-updates-multiple-products 概要 複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が権限 を昇格するなどの可能性があります。 対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ 情報を参照してください。 この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Ciscoが提供する情報を参照してください。 関連文書 (英語) Cisco Cisco Security Advisories https://tools.cisco.com/security/center/publicationListing.x 【3】複数のMozilla製品に脆弱性 情報源 CISA Current Activity Mozilla Releases Security Updates for Firefox and Firefox ESR https://us-cert.cisa.gov/ncas/current-activity/2021/10/06/mozilla-releases-security-updates-firefox-and-firefox-esr 概要 複数のMozilla製品には、脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Mozilla Firefox 93より前のバージョン - Mozilla Firefox ESR 91.2より前のバージョン - Mozilla Firefox ESR 78.15より前のバージョン この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新 することで解決します。詳細は、Mozillaが提供する情報を参照してください。 関連文書 (英語) Mozilla Mozilla Foundation Security Advisory 2021-43 https://www.mozilla.org/en-US/security/advisories/mfsa2021-43/ Mozilla Mozilla Foundation Security Advisory 2021-44 https://www.mozilla.org/en-US/security/advisories/mfsa2021-44/ Mozilla Mozilla Foundation Security Advisory 2021-45 https://www.mozilla.org/en-US/security/advisories/mfsa2021-45/ 【4】スマートフォンアプリ「Nike」における Custom URL Scheme の処理にアクセス制限不備の脆弱性 情報源 Japan Vulnerability Notes JVN#89126639 スマートフォンアプリ「Nike」における Custom URL Scheme の処理にアクセス制限不備の脆弱性 https://jvn.jp/jp/JVN89126639/ 概要 Nike, Inc.が提供するスマートフォンアプリ「Nike」には、Custom URL Scheme を利用した機能においてアクセス制限不備の脆弱性があります。結果として、 遠隔の第三者が、当該製品を経由し、任意のWebサイトにアクセスを誘導する 可能性があります。 対象となるバージョンは次のとおりです。 バージョン - Androidアプリ「Nike」バージョン2.177より前のバージョン - iOSアプリ「Nike」バージョン2.177.1より前のバージョン この問題は、該当する製品をNike, Inc.が提供する修正済みのバージョンに更 新することで解決します。詳細はNike, Inc.が提供する情報を参照してくださ い。 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○NOTICEの取組改善に向けた調査協力のお願いについて 総務省、国立研究開発法人情報通信研究機構(NICT)および一般社団法人ICT-ISAC は、2021年10月4日に「サイバー攻撃に悪用される恐れのあるIoT機器の利用者 への注意喚起の取組改善に向けた調査への協力のお願い」を公開しました。 インターネットサービスプロバイダ(ISP)と連携し、サイバー攻撃に悪用される 恐れのあるIoT機器の調査および当該機器の利用者への注意喚起を行う取組 「NOTICE(National Operation Towards IoT Clean Environment)」の取組改 善の調査を実施します。2021年10月から12月にかけて、通知対象者に対して、 注意喚起の内容など効果的な注意の伝え方などを電話による調査をするとのこ とです。 参考文献 (日本語) 一般社団法人ICT-ISAC サイバー攻撃に悪用されるおそれのあるIoT機器の利用者への注意喚起の取組改善に向けた調査への協力のお願い https://www.ict-isac.jp/news/news20211004.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CCからのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下のURLからご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下のURLを参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJhZipjAAoJEKntH+qu5CT/wAkP/A7cFEE4nTrLWVdPA0CjBvuH nLxP5qZ2XUUWNv6Xbv1kEGttGAt6mpiupGp46I5ErIUHhdXwodJ0sST8XQFW1vcl 0eEcd8Hz1PiyfCn4fH1HUHJOeoZHOfA5PXxUftA4W9lWJgR6vTMxlEd/c97cI+a3 C9poqttYXx82sPQfDxrksg62fNQK22tbOS5Bz1iMku/rxCyr3v3EUOzfrtQCk5cv du5zNPYLkeUmrGCcg2lyXuu/Is3e71Hd8V7tkRBhVOJwmgPg44gSM6RD8TIWothP ZUmOB39A52n1RmmmeoPtADz6CCULT1kyJzYHxEkiLRwC7/Iq5rGyuEevnLAORdxp ovnK3XR5E+Apv0GvBGnGbCH62vKq7Jld4Uel/2Hl2oWT5XXCXuDDXlJpaGlNoS2s QJuSyKHo6/jQh66FD+0wJMm7tgrA8TSd51SyudtsyVXRURHqBdIhaxHNQUptZKn+ TXKxU8nBqRftuBjgo/AGaXwKlr0/K/hQpoazPcH9KbwF/G9Fq9fQYHeky7Wt7sOa 3dHt8HJtQ/aE0WL8te2oXmVaoz+3rb3r5ttU9/wd3pDbIXtWrL1LojGS/Dwg1y2T XrnA4QRYG0Xn8qG1RFll/n/Mruc7c8yCd4alKEVftslGTgOpjBjiNFYtZM6tbW5v 7D4uN+0pVxAWUI/L/a7L =9jp6 -----END PGP SIGNATURE-----