-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2021-4801 JPCERT/CC 2021-12-08 <<< JPCERT/CC WEEKLY REPORT 2021-12-08 >>> ―――――――――――――――――――――――――――――――――――――― ■11/28(日)〜12/04(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Mozilla Network Security Servicesにメモリ破損の脆弱性 【2】エレコム製LANルーターに複数の脆弱性 【3】NTTドコモ製Wi-Fi STATION SH-52Aにクロスサイトスクリプティングの脆弱性 【4】三菱電機製MELSECおよびMELIPCシリーズのEthernetポートに複数の脆弱性 【5】WordPress用プラグインAdvanced Custom Fieldsに複数の認証欠如の脆弱性 【今週のひとくちメモ】JPCERT/CC CSIRTマテリアルを更新 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2021/wr214801.html https://www.jpcert.or.jp/wr/2021/wr214801.xml ============================================================================ 【1】Mozilla Network Security Servicesにメモリ破損の脆弱性 情報源 CISA Current Activity Mozilla Releases Security Updates for Network Security Services https://us-cert.cisa.gov/ncas/current-activity/2021/12/02/mozilla-releases-security-updates-network-security-services 概要 Mozilla Network Security Servicesには、メモリ破損の脆弱性があります。 DERエンコードされたDSAまたはRSA-PSS署名の処理に問題があり、結果として、 ヒープオーバーフローが発生する可能性があります。 対象となるバージョンは次のとおりです。 - Mozilla Network Security Services 3.73より前のバージョン - Mozilla Network Security Services 3.68.1 ESRより前のバージョン Mozillaによると、Firefoxはこの問題の影響を受けませんが、Thunderbirdや LibreOffice、Evolution、Evinceなど、署名検証にNetwork Security Services を使用しているメールクライアントやPDFビューアーは影響を受ける可能性が あります。 この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新 することで解決します。詳細は、Mozillaが提供する情報を参照してください。 関連文書 (英語) Mozilla Memory corruption in NSS via DER-encoded DSA and RSA-PSS signatures https://www.mozilla.org/en-US/security/advisories/mfsa2021-51/ 【2】エレコム製LANルーターに複数の脆弱性 情報源 Japan Vulnerability Notes JVN#88993473 複数のエレコム製 LAN ルーターにおける複数の脆弱性 https://jvn.jp/jp/JVN88993473/ Japan Vulnerability Notes JVNVU#94527926 エレコム製ルータにおける複数の脆弱性 https://jvn.jp/vu/JVNVU94527926/ 概要 エレコム製LANルーターには、複数の脆弱性があります。結果として、隣接す るネットワーク上の第三者が、認証なしで管理画面にアクセスするなどの可能 性があります。 対象となる製品およびバージョンは、多岐に渡ります。詳細は、エレコム株式 会社が提供する情報を参照してください。 この問題は、当該製品をエレコム株式会社が提供する情報をもとに、ファーム ウェアを最新版へアップデートすることで解決します。詳細は、エレコム株式 会社が提供する情報を参照してください。 関連文書 (日本語) エレコム株式会社 無線LANルーターのセキュリティ向上のためのファームウェアアップデートのお願い https://www.elecom.co.jp/news/security/20211130-01/ 【3】NTTドコモ製Wi-Fi STATION SH-52Aにクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#19482703 株式会社NTTドコモ製 Wi-Fi STATION SH-52A におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN19482703/ 概要 株式会社NTTドコモが提供するWi-Fi STATION SH-52Aには、クロスサイトスク リプティングの脆弱性があります。結果として、第三者が、当該製品のWebUI にアクセスしているユーザーのウェブブラウザー上で、任意のスクリプトを実 行する可能性があります。 対象となるバージョンは次のとおりです。 - Wi-Fi STATION SH-52A - 38JP_1_11G - 38JP_1_11J - 38JP_1_11K - 38JP_1_11L - 38JP_1_26F - 38JP_1_26G - 38JP_1_26J - 38JP_2_03B - 38JP_2_03C この問題は、株式会社NTTドコモが提供する情報をもとに、最新版にアップデー トすることで解決します。詳細は、株式会社NTTドコモが提供する情報を参照 してください。 関連文書 (日本語) 株式会社NTTドコモ Wi-Fi STATION SH-52Aのソフトウェアアップデート情報 https://www.nttdocomo.co.jp/support/product_update/sh52a/ 【4】三菱電機製MELSECおよびMELIPCシリーズのEthernetポートに複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#94434051 三菱電機製MELSECおよびMELIPCシリーズのEthernetポートにおける複数の脆弱性 https://jvn.jp/vu/JVNVU94434051/ 概要 三菱電機製MELSECおよびMELIPCシリーズのEthernetポートには、複数の脆弱性 があります。結果として、遠隔の第三者が、細工したパケットを送信すること でサービス運用妨害(DoS)状態を引き起こし、当該製品のプログラムの実行 を停止したり、Ethernetの通信を停止するなどの可能性があります。 対象となる製品およびバージョンは、多岐に渡ります。詳細は三菱電機株式会 社が提供する情報を参照してください。 この問題は、一部の製品については開発者が提供する情報をもとに、修正済み のバージョンにアップデートすることで解決します。その他の製品については、 次の回避策を適用することで影響を軽減することが可能です。 - 当該製品をインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク(VPN)等を使用する - LAN内で使用し、信頼できないネットワークやホストからアクセスできないようにする - 当該製品のリモートパスワード機能またはIPフィルター機能を使用し、信頼できないホストからアクセスできないようにする 詳細は三菱電機株式会社が提供する情報を参照してください。 関連文書 (日本語) 三菱電機株式会社 MELSECおよびMELIPCシリーズのEthernetポートにおける複数のサービス拒否(DoS)の脆弱性 https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-019.pdf 【5】WordPress用プラグインAdvanced Custom Fieldsに複数の認証欠如の脆弱性 情報源 Japan Vulnerability Notes JVN#09136401 WordPress 用プラグイン Advanced Custom Fields における複数の認証欠如の脆弱性 https://jvn.jp/jp/JVN09136401/ 概要 WordPress用プラグインAdvanced Custom Fieldsには、複数の認証欠如の脆弱 性があります。結果として、遠隔の第三者がデータベース上のアクセス権限の ないデータを閲覧するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Advanced Custom Fields 5.11より前のバージョン - Advanced Custom Fields Pro 5.11より前のバージョン この問題は、Delicious Brainsが提供する情報をもとに、修正済みのバージョン にアップデートすることで解決します。詳細はDelicious Brainsが提供する情 報を参照してください。 関連文書 (日本語) Delicious Brains Advanced Custom Fields https://ja.wordpress.org/plugins/advanced-custom-fields/ 関連文書 (英語) Delicious Brains Advanced Custom Fields for WordPress Developers. https://www.advancedcustomfields.com/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○JPCERT/CC CSIRTマテリアルを更新 JPCERT/CCはCSIRTマテリアルを更新しました。更新版では、CSIRTの体制整備 と運用、インシデント対応に関する現在の知見をもとに加筆修正するとともに、 PSIRTに代表される組織の提供物に対するセキュリティの取り組みといった、 組織のセキュリティ対応のスコープの変化を記述内容に反映しています。さら にインシデント対応演習の実施について説明する参考資料を新たに加えました。 CSIRTマテリアルは、組織的なインシデント対応体制である「組織内CSIRT」の 構築を支援する目的で作成した文書です。これから自組織内にCSIRTを構築し ようと考えている組織の方が、それまでのインシデント対応経験をもとに、既 存の体制を整理したり、見直したりしてCSIRTの構築に繋げる際の参考として いただくことを意図しています。一連の資料では組織内CSIRTが一般的に備え るべき機能や能力等を説明しています。 参考文献 (日本語) JPCERT/CC CSIRTマテリアル https://www.jpcert.or.jp/csirt_material/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CCからのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下のURLからご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下のURLを参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJhr/VvAAoJEKntH+qu5CT/ftUP/0YKU4ZjlHAicOMdI2z9Fndh hCyWqXWtc73GLGXAg2e4mtOvMfCQWiLOl/yA/kmbxjxdP4JB71eCI9+CNnTaDhzU /gwocqK+bGrmz1eCw9+o1g0shiVH3MMijADg4TPT/HhFtqNrCkVpL0M1UzAY2R0Y DXKqlJyVuN+QHb4SdzxiCLmUnwoKHtoo2ZgTbFhKtGtkBxHFbXrECsH6OW1q+YD7 xKwXoCBMvxulThFj4y6AEfNxYt+6x4tq2TH+DuQyfPEGAfqu8gXzQHb5avnJnM98 Qs2NhH8YHAMcyU3qj4fTygqSF1kjEo/CMtoOvC/4lEOJ3d/Z+igqtAD995ti0ksu UnEnWd9HrFbOkNUjn70veMlneY54Y2K3cKwvJBUZONWOTAt320aAvzw6Zgq06J+o pHchczdtPzqA0bYJ6n+nQtml/EF4G2ZzVNwRh1zTEkuVSEGkUAB8Ldh46TH2CAPx 78r64yy8K6gileJV+fu8ZczJV0QTokw8v/m5AKqyEtrcAA9MMACRWu6fDlL2rGEo yeq2yo52fq6UsUaqMRMdbYiVTP32Ti32YRuukvIYHfWcVDtfbQPYgI729nmhabFn x+6Dbm0t6rAWTNIsKgT6oUG9CeHlcyw5QTXvJIuNLbfXhblMxxyJLj5AOwnJiNUU MTR/j1RhuisM9YAEFQ1z =8XoL -----END PGP SIGNATURE-----