-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2021-4601 JPCERT/CC 2021-11-25 <<< JPCERT/CC WEEKLY REPORT 2021-11-25 >>> ―――――――――――――――――――――――――――――――――――――― ■11/14(日)〜11/20(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Drupalにクロスサイトスクリプティングの脆弱性 【2】Google Chromeに複数の脆弱性 【3】rwtxtにクロスサイトスクリプティングの脆弱性 【4】WordPress用プラグインPush Notifications for WordPress (Lite)にクロスサイトリクエストフォージェリの脆弱性 【5】Data Distribution Serviceの実装における複数の脆弱性 【今週のひとくちメモ】フィッシング対策協議会が「フィッシング対策セミナー2021 講演資料」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2021/wr214601.html https://www.jpcert.or.jp/wr/2021/wr214601.xml ============================================================================ 【1】Drupalにクロスサイトスクリプティングの脆弱性 情報源 CISA Current Activity Drupal Releases Security Updates https://us-cert.cisa.gov/ncas/current-activity/2021/11/18/drupal-releases-security-updates 概要 Drupalが使用するサードパーティライブラリCKEditorには、複数のクロスサイ トスクリプティングの脆弱性があります。結果として、当該製品を使用してい るサイトにアクセスしたユーザーのウェブブラウザー上で、任意のスクリプト を実行される可能性があります。 対象となるバージョンは次のとおりです。 - Drupal 9.2.9より前の9.2系バージョン - Drupal 9.1.14より前の9.1系バージョン - Drupal 8.9.20より前の8.9系バージョン この問題は、Drupalを開発者が提供する修正済みのバージョンに更新すること で解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (英語) Drupal Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2021-011 https://www.drupal.org/sa-core-2021-011 【2】Google Chromeに複数の脆弱性 情報源 CISA Current Activity Google Releases Security Updates for Chrome https://us-cert.cisa.gov/ncas/current-activity/2021/11/16/google-releases-security-updates-chrome 概要 Google Chromeには、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 96.0.4664.45より前のバージョン この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新 することで解決します。詳細は、Googleが提供する情報を参照してください。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2021/11/stable-channel-update-for-desktop.html 【3】rwtxtにクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#22515597 rwtxt におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN22515597/ 概要 Zack Schollが提供するコンテンツ管理システムであるrwtxtには、クロスサイ トスクリプティングの脆弱性があります。結果として、当該製品を使用してい るサイトにアクセスしたユーザーのウェブブラウザー上で、任意のスクリプト を実行される可能性があります。 対象となるバージョンは次のとおりです。 - rwtxt v1.8.6より前のバージョン この問題は、開発者が提供するアップデートを適用することで解決します。詳 細は、開発者が提供する情報を参照してください。 関連文書 (英語) Zack Scholl rwtxt https://github.com/schollz/rwtxt 【4】WordPress用プラグインPush Notifications for WordPress (Lite)にクロスサイトリクエストフォージェリの脆弱性 情報源 Japan Vulnerability Notes JVN#85492429 WordPress 用プラグイン Push Notifications for WordPress (Lite) におけるクロスサイトリクエストフォージェリの脆弱性 https://jvn.jp/jp/JVN85492429/ 概要 Delite Studioが提供するWordPress用プラグインPush Notifications for WordPress (Lite)には、クロスサイトリクエストフォージェリの脆弱性があり ます。結果として、当該製品にログインした状態の管理者権限を持つユーザー が細工されたページにアクセスした場合、意図しない操作を行う可能性があり ます。 対象となるバージョンは次のとおりです。 - Push Notifications for WordPress (Lite) 6.0.1より前のバージョン この問題は、開発者が提供するアップデートを適用することで解決します。詳 細は、開発者が提供する情報を参照してください。 関連文書 (英語) Delite Studio Push Notifications for WordPress (Lite) https://ja.wordpress.org/plugins/push-notifications-for-wp/ Delite Studio We make software https://delitestudio.com/en/ 【5】Data Distribution Serviceの実装における複数の脆弱性 情報源 CISA Current Activity CISA Releases Advisory on Vulnerabilities in Multiple Data Distribution Service Implementations https://us-cert.cisa.gov/ncas/current-activity/2021/11/12/cisa-releases-advisory-vulnerabilities-multiple-data-distribution 概要 Object Management Groupが提供するData Distribution Service(DDS)を実 装しているソフトウェアには、複数の脆弱性があります。結果として、遠隔の 第三者が任意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Eclipse:CycloneDDS 0.8.0より前のバージョン - eProsima:Fast DDS 2.4.0より前のバージョン - GurumNetworks:GurumDDSすべてのバージョン - Object Computing, Inc. (OCI):OpenDDS 3.18.1より前のバージョン - Real-Time Innovations (RTI):Connext DDS Professional、Connext DDS Secure バージョン4.2系から6.1.0 - Real-Time Innovations (RTI):Connext DDS Micro 3.0.0以降のバージョン - TwinOaks:Computing CoreDX DDS 5.9.1より前のバージョン この問題は、各開発者が提供するアップデートを適用することで解決します。 ただしGurumDDSは、2021年11月25日現在アップデートは提供されていません。 詳細は、各開発者が提供する情報を参照してください。 関連文書 (英語) ICS Advisory (ICSA-21-315-02) Multiple Data Distribution Service (DDS) Implementations https://us-cert.cisa.gov/ics/advisories/icsa-21-315-02 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○フィッシング対策協議会が「フィッシング対策セミナー2021 講演資料」を公開 2021年11月19日、フィッシング対策協議会は、先日オンラインで実施された フィッシング対策セミナー2021の講演資料を公開しました。 「暗号資産を狙うフィッシングの事例紹介と対策」や「フィッシング対策技術 とPKI」などの講演資料が公開されています。フィッシングの報告件数は、年 々増加傾向にあります。現状の把握や対策の実施にご参考ください。 参考文献 (日本語) フィッシング対策協議会 フィッシング対策セミナー2021(オンライン)講演資料公開のお知らせ https://www.antiphishing.jp/news/info/antiphishing_seminar2021.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CCからのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下のURLからご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下のURLを参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJhns8qAAoJEKntH+qu5CT/OEcQAIP3PBtih6fEr693KGxD7Y/3 Yen0GUd2zSyf4/kpfXohToDOrM6T37LqwBuFRsegpxYcvBu57DJebZEMapbHXIPg RYCBe/k4Pe5f6BoALBV0OZ0a0bRtBCBi77S+VibmlSYEp4oB/yiJZgo7SBXEF9w9 DUcUnsppbfmC/R8kF2BUKA/00/22mwkUwAgNbEwqSgLdeYc8VEv2DSFwnhvAQ0BJ zdDuhC8v/FdvHaqwM1u5DTc7lr0Euz7TLJ7WMPkAHmUHQWtzHSL7AYA5VSNkYzOG IKA3ElhxYJcgGxZsFrLHj5nISX/Gu0W0xTPmQ+bI8L8c8kkPENbR9zQ3R4cR62nJ 8xbXbX9K/Wdiho1JHePfR2BVdRcWOyHYPIz/ZSLMbYAKdbwkzOQwgmgWgk8E4qmT w/RbXFt/LBydHDCsc0IsEUTLqcBLV3yYwOvnETmN6aoJlAsD4+09yBP9Qgk070QZ s7DdRW6e7toYvlEfJu2Srunpe+19EGb/di6L6FqHN8gmV5yxyMqNV7atZePwPciS voIyyicKsDIz090A45RdFUCaas3v1OwYXEuDOEqEblMMk56e2GAzOO3nBeJC9Ody sPVG2JR9WzwGek4jKBDdbEl4qwp3Voadt4TYZa0vdNODw59inAKZ5UyJlB8afHeZ C0Mq8J2bzyRCfq98yGYM =tyAy -----END PGP SIGNATURE-----