<<< JPCERT/CC WEEKLY REPORT 2021-12-01 >>>
■11/21(日)〜11/27(土) のセキュリティ関連情報
目 次
【1】複数のVMware製品に脆弱性
【2】複数のCisco製品に脆弱性
【3】PowerCMSのXMLRPC APIにOSコマンドインジェクションの脆弱性
【4】baserCMSに複数の脆弱性
【5】Apache log4netにXML外部実体参照(XXE)の脆弱性
【6】トレンドマイクロ製ウイルスバスター for Macにアクセス制限不備の脆弱性
【7】WordPress用プラグインBrowser and Operating System Finderにクロスサイトリクエストフォージェリの脆弱性
【今週のひとくちメモ】JPCERT/CC ベストレポーター賞 2021
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr214701.txt
https://www.jpcert.or.jp/wr/2021/wr214701.xml
【1】複数のVMware製品に脆弱性
情報源
CISA Current Activity
VMware Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/11/24/vmware-releases-security-updates
概要
複数のVMware製品には、脆弱性があります。結果として、遠隔の第三者が機微 情報を窃取するなどの可能性があります。 対象となる製品は次のとおりです。 - vCenter Server 6.7系 6.7 U3pより前のバージョン - vCenter Server 6.5系 6.5 U3rより前のバージョン - Cloud Foundation (vCenter Server) 3系 この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す ることで解決します。詳細は、VMwareが提供する情報を参照してください。
関連文書 (英語)
VMware
VMSA-2021-0027
https://www.vmware.com/security/advisories/VMSA-2021-0027.html
【2】複数のCisco製品に脆弱性
情報源
Cisco
Multiple Vulnerabilities in Apache HTTP Server Affecting Cisco Products: November 2021
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-httpd-2.4.49-VWL69sWQ
概要
複数のCisco製品には、Apache HTTP Serverの脆弱性に関連する脆弱性があり ます。結果として、遠隔の第三者が機微な情報を窃取するなどの可能性があり ます。 対象となる製品は、多岐にわたります。詳細や最新の情報については、Cisco が提供するアドバイザリ情報を参照してください。 この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Ciscoが提供する情報を参照してください。
【3】PowerCMSのXMLRPC APIにOSコマンドインジェクションの脆弱性
情報源
Japan Vulnerability Notes JVN#17645965
PowerCMS の XMLRPC API における OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN17645965/
概要
PowerCMSのXMLRPC APIには、OSコマンドインジェクションの脆弱性があります。 結果として、遠隔の第三者が任意のOSコマンドを実行する可能性があります。 対象となるバージョンは次のとおりです。 - PowerCMS 5.19およびそれ以前の5系のバージョン - PowerCMS 4.49およびそれ以前の4系のバージョン - PowerCMS 3.295およびそれ以前の3系のバージョン 開発者によると、すでにサポート終了をしたPowerCMS 2系以前のバージョンも 本脆弱性の影響を受けるとのことです。 この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
アルファサード株式会社
PowerCMS 5.19 / 4.49 / 3.295 向けパッチについて (XMLRPC API における OS コマンド・インジェクションの脆弱性対策)
https://www.powercms.jp/news/release-patch-xmlrpc-api-202110.htmlアルファサード株式会社
PowerCMS の XMLRPC API における OS コマンド・インジェクションへの対応
https://www.powercms.jp/news/xmlrpc-api-provision-202111.html.html
【4】baserCMSに複数の脆弱性
情報源
Japan Vulnerability Notes JVN#81376414
baserCMS における複数の脆弱性
https://jvn.jp/jp/JVN81376414/
概要
baserCMSユーザー会が提供するbaserCMSには、複数の脆弱性があります。結果 として、当該製品にサイト運営者権限でログイン可能なユーザーが、任意のOS コマンドを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - baserCMS 4.5.4より前のバージョン この問題は、baserCMSを開発者が提供する修正済みのバージョンに更新するこ とで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
baserCMSユーザー会
2021/11/25 OSコマンドインジェクション、不正なコードアップロードの脆弱性
https://basercms.net/security/JVN_81376414
【5】Apache log4netにXML外部実体参照(XXE)の脆弱性
情報源
Japan Vulnerability Notes JVNTA#94851885
Apache log4netにおけるXML外部実体参照(XXE)の脆弱性
https://jvn.jp/ta/JVNTA94851885/
概要
Microsoft .NET Framework向けのオープンソースライブラリApache log4netに は、XML外部実体参照(XXE)の脆弱性があります。結果として、log4netが組 み込まれたアプリケーションにおいて、細工されたlog4net用の設定ファイル が読み込まれることによって、遠隔の第三者が機微なデータを窃取したり、サー ビス運用妨害(DoS)攻撃を行ったりするなどの可能性があります。 対象となる製品は次のとおりです。 - Apache log4net(2.0.10より前のバージョン)を組み込んだ.NET FrameworkベースのWindowsアプリケーションおよびWebアプリケーション この問題は、log4netを開発者が提供する修正済みのバージョンに更新するこ とで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (英語)
PEPPERL+FUCHS
Multiple DTM and VisuNet Software - Vulnerability may allow local authorized attackers access and remote code execution on the target device
https://files.pepperl-fuchs.com/webcat/navi/productInfo/doct/tdoct7494__eng.pdfApache log4net
Download Apache log4net
http://logging.apache.org/log4net/download_log4net.htmlApache log4net
log4net function having XXE vulnerability
https://issues.apache.org/jira/browse/LOG4NET-575
【6】トレンドマイクロ製ウイルスバスター for Macにアクセス制限不備の脆弱性
情報源
Japan Vulnerability Notes JVNVU#95400836
トレンドマイクロ製ウイルスバスター for Macにおけるアクセス制限不備の脆弱性
https://jvn.jp/vu/JVNVU95400836/
概要
トレンドマイクロ株式会社が提供するウイルスバスター for Macには、アクセ ス制限不備の脆弱性があります。結果として、当該製品がインストールされた システムにログイン可能なユーザーが、管理者権限を取得し、任意のコードを 実行する可能性があります。 対象となるバージョンは次のとおりです。 - ウイルスバスター for Mac バージョン11.0 この問題は、当該製品をトレンドマイクロ株式会社が提供する修正済みのバー ジョンに更新することで解決します。詳細は、トレンドマイクロ株式会社が提 供する情報を参照してください。
関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスター for Mac の脆弱性について(CVE-2021-43771)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10833
【7】WordPress用プラグインBrowser and Operating System Finderにクロスサイトリクエストフォージェリの脆弱性
情報源
Japan Vulnerability Notes JVN#93562098
WordPress 用プラグイン Browser and Operating System Finder におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN93562098/
概要
WordPress用プラグインBrowser and Operating System Finderには、クロスサ イトリクエストフォージェリの脆弱性があります。結果として、当該製品にロ グインした状態の管理者権限を持つユーザーが、細工されたページにアクセス した場合、意図しない操作をさせられる可能性があります。 対象となるバージョンは次のとおりです。 - Browser and Operating System Finder 1.2より前のバージョン この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
WordPress
Browser and Operating System Finder
https://ja.wordpress.org/plugins/browser-and-operating-system-finder/
■今週のひとくちメモ
○JPCERT/CC ベストレポーター賞 2021
JPCERT/CCは2021年度よりベストレポーター賞を制定し、2021年11月25日、初 回となる受賞者を発表しました。ベストレポーター賞は、インシデント報告と 脆弱性報告のそれぞれの部門において、情報提供によりJPCERT/CCの活動に顕 著な貢献をいただいた方に年1回、感謝の意を表するものです。 JPCERT/CCでは、国内外からインシデントや脆弱性などサイバーセキュリティ に関するさまざまな問題についての報告をいただき、報告された問題の技術的 な分析、問題を解決するための関係者間の調整、問題から得られた知見や対策 につながる情報を発信しています。問題をいち早く発見し正確な情報を提供い ただける報告者(レポーター)の皆さまの活動は、JPCERT/CCがサイバーセキュ リティにおける問題を解決するための一連の活動を進めるためには無くてはな らないものです。 JPCERT/CCは、多くの報告者の方々に日々ご協力いただいております。 JPCERT/CCに報告をくださったすべての方々に、この場を借りて感謝申し上げ ます。引き続きJPCERT/CCの活動にご協力いただければと存じます。
参考文献 (日本語)
JPCERT/CC
JPCERT/CC ベストレポーター賞 2021
https://www.jpcert.or.jp/award/best-reporter-award/2021.html
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/