<<< JPCERT/CC WEEKLY REPORT 2022-01-26 >>>
■01/16(日)〜01/22(土) のセキュリティ関連情報
目 次
【1】2022年1月Oracle Critical Patch Updateについて
【2】ManageEngine Desktop Central及びManageEngine Desktop Central MSPに認証回避の脆弱性
【3】Google Chromeに複数の脆弱性
【4】複数のCisco製品に脆弱性
【5】Drupalにクロスサイトスクリプティングの脆弱性
【6】McAfee Agent for Windowsに複数の脆弱性
【7】複数のF5 Networks製品に脆弱性
【8】GROWIにユーザー制御の鍵による認証回避の脆弱性
【9】キヤノン製レーザープリンター及びスモールオフィス向け複合機にクロスサイトスクリプティングの脆弱性
【10】三菱電機製GENESIS64及びMC Works64に複数の脆弱性
【11】php_mailformに複数のクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】フィッシング対策協議会が「第4回フィッシング対策勉強会」の参加申し込み受付けを開始
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr220401.txt
https://www.jpcert.or.jp/wr/2022/wr220401.xml
【1】2022年1月Oracle Critical Patch Updateについて
情報源
CISA Current Activity
Oracle Releases January 2022 Critical Patch Update
https://www.cisa.gov/uscert/ncas/current-activity/2022/01/18/oracle-releases-january-2022-critical-patch-update
概要
Oracleから複数の製品及びコンポーネントに含まれる脆弱性に対応した Oracle Critical Patch Update Advisoryが公開されました。 詳細は、Oracleが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC 注意喚起
2022年1月Oracle製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2022/at220003.html
関連文書 (英語)
Oracle
Oracle Critical Patch Update Advisory - January 2022
https://www.oracle.com/security-alerts/cpujan2022.html
【2】ManageEngine Desktop Central及びManageEngine Desktop Central MSPに認証回避の脆弱性
情報源
CISA Current Activity
Zoho Releases Security Advisory for ManageEngine Desktop Central and Desktop Central MSP
https://www.cisa.gov/uscert/ncas/current-activity/2022/01/19/zoho-releases-security-advisory-manageengine-desktop-central-and
概要
Zohoが提供するManageEngine Desktop Central及びManageEngine Desktop Central MSPには、認証回避の脆弱性があります。結果として、遠隔の攻撃者 が各製品のサーバーからアクセス権限のないファイルを読み出したり、任意の zipファイルを書き込んだりする可能性があります。 対象となる製品及びバージョンは次のとおりです。 - ManageEngine Desktop Central ビルド番号10.1.2137.9より前のバージョン - ManageEngine Desktop Central MSP ビルド番号10.1.2137.9より前のバージョン この問題は、該当する製品をZohoが提供する修正済みのバージョンに更新する ことで解決します。詳細は、Zohoが提供する情報を参照してください。
関連文書 (英語)
Zoho
A critical security patch released in Desktop Central and Desktop Central MSP for CVE-2021-44757
https://pitstop.manageengine.com/portal/en/community/topic/a-critical-security-patch-released-in-desktop-central-and-desktop-central-msp-for-cve-2021-44757-17-1-2022
【3】Google Chromeに複数の脆弱性
情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://www.cisa.gov/uscert/ncas/current-activity/2022/01/20/google-releases-security-updates-chrome
概要
Google Chromeには、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 97.0.4692.99より前のバージョン この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新 することで解決します。詳細は、Googleが提供する情報を参照してください。
関連文書 (英語)
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/01/stable-channel-update-for-desktop_19.html
【4】複数のCisco製品に脆弱性
情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/01/20/cisco-releases-security-updates-multiple-products
概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者がroot 権限で任意のコマンドを実行するなどの可能性があります。 対象となる製品は、多岐にわたります。詳細や最新の情報については、Cisco が提供するアドバイザリ情報を参照してください。 この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Ciscoが提供する情報を参照してください。
関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.xCisco
Cisco Redundancy Configuration Manager for Cisco StarOS Software Multiple Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rcm-vuls-7cS3Nuq
【5】Drupalにクロスサイトスクリプティングの脆弱性
情報源
CISA Current Activity
Drupal Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/01/20/drupal-releases-security-updates
概要
Drupalが使用するサードパーティライブラリjQuery UIには、複数のクロスサ イトスクリプティングの脆弱性があります。結果として、当該製品を使用して いるサイトにアクセスしたユーザーのウェブブラウザー上で、任意のスクリプ トを実行される可能性があります。 対象となるバージョンは次のとおりです。 - Drupal 9.3.3より前の9.3系バージョン - Drupal 9.2.11より前の9.2系バージョン - Drupal 7.86より前の7系バージョン この問題は、Drupalを開発者が提供する修正済みのバージョンに更新すること で解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (英語)
Drupal
Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2022-001
https://www.drupal.org/sa-core-2022-001Drupal
Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2022-002
https://www.drupal.org/sa-core-2022-002
【6】McAfee Agent for Windowsに複数の脆弱性
情報源
CISA Current Activity
McAfee Releases Security Update for McAfee Agent for Windows
https://www.cisa.gov/uscert/ncas/current-activity/2022/01/21/mcafee-releases-security-update-mcafee-agent-windows
概要
McAfee Agent for Windowsには、複数の脆弱性があります。結果として、第三 者がSYSTEM権限で任意のコードを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - McAfee Agent for Windows 5.7.5より前のバージョン この問題は、McAfee Agent for WindowsをMcAfeeが提供する修正済みのバージョン に更新することで解決します。詳細は、McAfeeが提供する情報を参照してくだ さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#96845652
McAfee Agent for Windowsにおける複数の脆弱性
https://jvn.jp/vu/JVNVU96845652/
関連文書 (英語)
McAfee
Security Bulletin - McAfee Agent update fixes two vulnerabilities (CVE-2021-31854, CVE-2022-0166)
https://kc.mcafee.com/corporate/index?page=content&id=SB10378CERT/CC Vulnerability Note VU#287178
McAfee Agent for Windows is vulnerable to privilege escalation due to OPENSSLDIR location
https://kb.cert.org/vuls/id/287178
【7】複数のF5 Networks製品に脆弱性
情報源
CISA Current Activity
F5 Releases January 2022 Quarterly Security Notification
https://www.cisa.gov/uscert/ncas/current-activity/2022/01/20/f5-releases-january-2022-quarterly-security-notification
概要
複数のF5 Networks製品には、影響度Highを含む複数の脆弱性があります。結 果として、認証済みの攻撃者が、NGINXデータプレーンインスタンス上の任意 のファイルにアクセスするなどの可能性があります。 対象となる製品は、多岐にわたります。詳細はF5 Networksが提供するアドバ イザリ情報を参照してください。 この問題は、該当する製品をF5 Networksが提供する修正済みのバージョンに 更新するか、回避策を適用することで解決します。詳細は、F5 Networksが提 供する情報を参照してください。
関連文書 (英語)
F5 Networks
K40084114: Overview of F5 vulnerabilities (January 2022)
https://support.f5.com/csp/article/K40084114
【8】GROWIにユーザー制御の鍵による認証回避の脆弱性
情報源
Japan Vulnerability Notes JVNVU#94151526
GROWIにおけるユーザ制御の鍵による認証回避の脆弱性
https://jvn.jp/vu/JVNVU94151526/
概要
GROWIには、ユーザー制御の鍵による認証回避の脆弱性があります。結果とし て、認証のない遠隔の攻撃者が認証を回避し、ユーザーのコメントを削除する 可能性があります。 対象となるバージョンは次のとおりです。 - GROWI v4.4.7及びそれ以前のバージョン この問題は、該当する製品を株式会社WESEEKが提供する修正済みのバージョン に更新することで解決します。詳細は、株式会社WESEEKが提供する情報を参照 してください。
関連文書 (日本語)
株式会社WESEEK
GROWI 脆弱性対応のお知らせ (JVNVU#94151526)
https://weseek.co.jp/security/2022/01/21/vulnerability/growi-authentication-bypass/
【9】キヤノン製レーザープリンター及びスモールオフィス向け複合機にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#64806328
キヤノン製レーザープリンターおよびスモールオフィス向け複合機におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN64806328/
概要
キヤノン株式会社が提供するレーザープリンター及びスモールオフィス向け複 合機には、格納型クロスサイトスクリプティングの脆弱性があります。結果と して、当該製品の設定画面にアクセスしたユーザーのウェブブラウザー上で、 任意のスクリプトを実行される可能性があります。 対象となる製品は、多岐にわたります。詳細や最新の情報については、キヤノン 株式会社が提供するアドバイザリ情報を参照してください。 この問題は、該当する製品をキヤノン株式会社が提供する修正済みのバージョン に更新することで解決します。詳細はキヤノン株式会社が提供する情報を参照 してください。
関連文書 (日本語)
キヤノン株式会社
レーザープリンター及びスモールオフィス向け複合機のクロスサイトスクリプティングに関する脆弱性対応について
https://cweb.canon.jp/e-support/info/211221xss.html
【10】三菱電機製GENESIS64及びMC Works64に複数の脆弱性
情報源
Japan Vulnerability Notes JVNVU#95403720
三菱電機製GENESIS64およびMC Works64における複数の脆弱性
https://jvn.jp/vu/JVNVU95403720/
概要
三菱電機株式会社が提供するGENESIS64及びMC Works64には、複数の脆弱性が あります。結果として、遠隔の第三者が細工したWebSocketプロトコルのパケッ トを送信することで、認証が回避され、当該製品を不正に操作されるなどの可 能性があります。 対象となる製品及びバージョンは次のとおりです。 - GENESIS64 Version 10.97 - MC Works64 Version 4.04E及びそれ以前 この問題は、当該製品のソフトウェアを三菱電機株式会社が提供するセキュリ ティパッチを使用して更新することで解決します。詳細は、三菱電機株式会社 が提供する情報を参照してください。
関連文書 (日本語)
三菱電機株式会社
GENESIS64およびMC Works64のデータベースサーバーにおけるサービス拒否(DoS)の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-028.pdf三菱電機株式会社
GENESIS64およびMC Works64における情報漏えいの脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-027.pdf三菱電機株式会社
GENESIS64およびMC Works64のWeb通信機能における認証回避の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-026.pdf三菱電機株式会社
MC Works64のモバイル監視における情報漏えいの脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-025.pdf
【11】php_mailformに複数のクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#16690037
php_mailform における複数のクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN16690037/
概要
エコノシス システム設計事務所が提供するphp_mailformには、複数のクロス サイトスクリプティングの脆弱性があります。結果として、当該製品を使用し ているユーザーのウェブブラウザー上で、任意のスクリプトを実行される可能 性があります。 対象となる製品及びバージョンは次のとおりです。 - php_mailform Version 1.40より前のバージョン この問題は、該当する製品をエコノシス システム設計事務所が提供する修正 済みのバージョンに更新することで解決します。詳細はエコノシス システム 設計事務所が提供する情報を参照してください。
関連文書 (日本語)
エコノシス システム設計事務所
econosys-system / php_mailform
https://github.com/econosys-system/php_mailform
■今週のひとくちメモ
○フィッシング対策協議会が「第4回フィッシング対策勉強会」の参加申し込み受付けを開始
フィッシング対策協議会は、2月15日(火)に「第4回フィッシング対策勉強 会」をオンラインで開催します。フィッシング対策やWebサイトのセキュリティ に興味がある方向けに参加を受付けています。 講演内容や、参加登録の手順については以下のURLからご参照ください。
参考文献 (日本語)
フィッシング対策協議会
第4回フィッシング対策勉強会
https://www.antiphishing.jp/news/event/antiphishing_4th_studygroup.html
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/