-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2022-0401 JPCERT/CC 2022-01-26 <<< JPCERT/CC WEEKLY REPORT 2022-01-26 >>> ―――――――――――――――――――――――――――――――――――――― ■01/16(日)〜01/22(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】2022年1月Oracle Critical Patch Updateについて 【2】ManageEngine Desktop Central及びManageEngine Desktop Central MSPに認証回避の脆弱性 【3】Google Chromeに複数の脆弱性 【4】複数のCisco製品に脆弱性 【5】Drupalにクロスサイトスクリプティングの脆弱性 【6】McAfee Agent for Windowsに複数の脆弱性 【7】複数のF5 Networks製品に脆弱性 【8】GROWIにユーザー制御の鍵による認証回避の脆弱性 【9】キヤノン製レーザープリンター及びスモールオフィス向け複合機にクロスサイトスクリプティングの脆弱性 【10】三菱電機製GENESIS64及びMC Works64に複数の脆弱性 【11】php_mailformに複数のクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】フィッシング対策協議会が「第4回フィッシング対策勉強会」の参加申し込み受付けを開始 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2022/wr220401.html https://www.jpcert.or.jp/wr/2022/wr220401.xml ============================================================================ 【1】2022年1月Oracle Critical Patch Updateについて 情報源 CISA Current Activity Oracle Releases January 2022 Critical Patch Update https://www.cisa.gov/uscert/ncas/current-activity/2022/01/18/oracle-releases-january-2022-critical-patch-update 概要 Oracleから複数の製品及びコンポーネントに含まれる脆弱性に対応した Oracle Critical Patch Update Advisoryが公開されました。 詳細は、Oracleが提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC 注意喚起 2022年1月Oracle製品のクリティカルパッチアップデートに関する注意喚起 https://www.jpcert.or.jp/at/2022/at220003.html 関連文書 (英語) Oracle Oracle Critical Patch Update Advisory - January 2022 https://www.oracle.com/security-alerts/cpujan2022.html 【2】ManageEngine Desktop Central及びManageEngine Desktop Central MSPに認証回避の脆弱性 情報源 CISA Current Activity Zoho Releases Security Advisory for ManageEngine Desktop Central and Desktop Central MSP https://www.cisa.gov/uscert/ncas/current-activity/2022/01/19/zoho-releases-security-advisory-manageengine-desktop-central-and 概要 Zohoが提供するManageEngine Desktop Central及びManageEngine Desktop Central MSPには、認証回避の脆弱性があります。結果として、遠隔の攻撃者 が各製品のサーバーからアクセス権限のないファイルを読み出したり、任意の zipファイルを書き込んだりする可能性があります。 対象となる製品及びバージョンは次のとおりです。 - ManageEngine Desktop Central ビルド番号10.1.2137.9より前のバージョン - ManageEngine Desktop Central MSP ビルド番号10.1.2137.9より前のバージョン この問題は、該当する製品をZohoが提供する修正済みのバージョンに更新する ことで解決します。詳細は、Zohoが提供する情報を参照してください。 関連文書 (英語) Zoho A critical security patch released in Desktop Central and Desktop Central MSP for CVE-2021-44757 https://pitstop.manageengine.com/portal/en/community/topic/a-critical-security-patch-released-in-desktop-central-and-desktop-central-msp-for-cve-2021-44757-17-1-2022 【3】Google Chromeに複数の脆弱性 情報源 CISA Current Activity Google Releases Security Updates for Chrome https://www.cisa.gov/uscert/ncas/current-activity/2022/01/20/google-releases-security-updates-chrome 概要 Google Chromeには、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 97.0.4692.99より前のバージョン この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新 することで解決します。詳細は、Googleが提供する情報を参照してください。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2022/01/stable-channel-update-for-desktop_19.html 【4】複数のCisco製品に脆弱性 情報源 CISA Current Activity Cisco Releases Security Updates for Multiple Products https://www.cisa.gov/uscert/ncas/current-activity/2022/01/20/cisco-releases-security-updates-multiple-products 概要 複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者がroot 権限で任意のコマンドを実行するなどの可能性があります。 対象となる製品は、多岐にわたります。詳細や最新の情報については、Cisco が提供するアドバイザリ情報を参照してください。 この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Ciscoが提供する情報を参照してください。 関連文書 (英語) Cisco Cisco Security Advisories https://tools.cisco.com/security/center/publicationListing.x Cisco Cisco Redundancy Configuration Manager for Cisco StarOS Software Multiple Vulnerabilities https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rcm-vuls-7cS3Nuq 【5】Drupalにクロスサイトスクリプティングの脆弱性 情報源 CISA Current Activity Drupal Releases Security Updates https://www.cisa.gov/uscert/ncas/current-activity/2022/01/20/drupal-releases-security-updates 概要 Drupalが使用するサードパーティライブラリjQuery UIには、複数のクロスサ イトスクリプティングの脆弱性があります。結果として、当該製品を使用して いるサイトにアクセスしたユーザーのウェブブラウザー上で、任意のスクリプ トを実行される可能性があります。 対象となるバージョンは次のとおりです。 - Drupal 9.3.3より前の9.3系バージョン - Drupal 9.2.11より前の9.2系バージョン - Drupal 7.86より前の7系バージョン この問題は、Drupalを開発者が提供する修正済みのバージョンに更新すること で解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (英語) Drupal Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2022-001 https://www.drupal.org/sa-core-2022-001 Drupal Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2022-002 https://www.drupal.org/sa-core-2022-002 【6】McAfee Agent for Windowsに複数の脆弱性 情報源 CISA Current Activity McAfee Releases Security Update for McAfee Agent for Windows https://www.cisa.gov/uscert/ncas/current-activity/2022/01/21/mcafee-releases-security-update-mcafee-agent-windows 概要 McAfee Agent for Windowsには、複数の脆弱性があります。結果として、第三 者がSYSTEM権限で任意のコードを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - McAfee Agent for Windows 5.7.5より前のバージョン この問題は、McAfee Agent for WindowsをMcAfeeが提供する修正済みのバージョン に更新することで解決します。詳細は、McAfeeが提供する情報を参照してくだ さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#96845652 McAfee Agent for Windowsにおける複数の脆弱性 https://jvn.jp/vu/JVNVU96845652/ 関連文書 (英語) McAfee Security Bulletin - McAfee Agent update fixes two vulnerabilities (CVE-2021-31854, CVE-2022-0166) https://kc.mcafee.com/corporate/index?page=content&id=SB10378 CERT/CC Vulnerability Note VU#287178 McAfee Agent for Windows is vulnerable to privilege escalation due to OPENSSLDIR location https://kb.cert.org/vuls/id/287178 【7】複数のF5 Networks製品に脆弱性 情報源 CISA Current Activity F5 Releases January 2022 Quarterly Security Notification https://www.cisa.gov/uscert/ncas/current-activity/2022/01/20/f5-releases-january-2022-quarterly-security-notification 概要 複数のF5 Networks製品には、影響度Highを含む複数の脆弱性があります。結 果として、認証済みの攻撃者が、NGINXデータプレーンインスタンス上の任意 のファイルにアクセスするなどの可能性があります。 対象となる製品は、多岐にわたります。詳細はF5 Networksが提供するアドバ イザリ情報を参照してください。 この問題は、該当する製品をF5 Networksが提供する修正済みのバージョンに 更新するか、回避策を適用することで解決します。詳細は、F5 Networksが提 供する情報を参照してください。 関連文書 (英語) F5 Networks K40084114: Overview of F5 vulnerabilities (January 2022) https://support.f5.com/csp/article/K40084114 【8】GROWIにユーザー制御の鍵による認証回避の脆弱性 情報源 Japan Vulnerability Notes JVNVU#94151526 GROWIにおけるユーザ制御の鍵による認証回避の脆弱性 https://jvn.jp/vu/JVNVU94151526/ 概要 GROWIには、ユーザー制御の鍵による認証回避の脆弱性があります。結果とし て、認証のない遠隔の攻撃者が認証を回避し、ユーザーのコメントを削除する 可能性があります。 対象となるバージョンは次のとおりです。 - GROWI v4.4.7及びそれ以前のバージョン この問題は、該当する製品を株式会社WESEEKが提供する修正済みのバージョン に更新することで解決します。詳細は、株式会社WESEEKが提供する情報を参照 してください。 関連文書 (日本語) 株式会社WESEEK GROWI 脆弱性対応のお知らせ (JVNVU#94151526) https://weseek.co.jp/security/2022/01/21/vulnerability/growi-authentication-bypass/ 【9】キヤノン製レーザープリンター及びスモールオフィス向け複合機にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#64806328 キヤノン製レーザープリンターおよびスモールオフィス向け複合機におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN64806328/ 概要 キヤノン株式会社が提供するレーザープリンター及びスモールオフィス向け複 合機には、格納型クロスサイトスクリプティングの脆弱性があります。結果と して、当該製品の設定画面にアクセスしたユーザーのウェブブラウザー上で、 任意のスクリプトを実行される可能性があります。 対象となる製品は、多岐にわたります。詳細や最新の情報については、キヤノン 株式会社が提供するアドバイザリ情報を参照してください。 この問題は、該当する製品をキヤノン株式会社が提供する修正済みのバージョン に更新することで解決します。詳細はキヤノン株式会社が提供する情報を参照 してください。 関連文書 (日本語) キヤノン株式会社 レーザープリンター及びスモールオフィス向け複合機のクロスサイトスクリプティングに関する脆弱性対応について https://cweb.canon.jp/e-support/info/211221xss.html 【10】三菱電機製GENESIS64及びMC Works64に複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#95403720 三菱電機製GENESIS64およびMC Works64における複数の脆弱性 https://jvn.jp/vu/JVNVU95403720/ 概要 三菱電機株式会社が提供するGENESIS64及びMC Works64には、複数の脆弱性が あります。結果として、遠隔の第三者が細工したWebSocketプロトコルのパケッ トを送信することで、認証が回避され、当該製品を不正に操作されるなどの可 能性があります。 対象となる製品及びバージョンは次のとおりです。 - GENESIS64 Version 10.97 - MC Works64 Version 4.04E及びそれ以前 この問題は、当該製品のソフトウェアを三菱電機株式会社が提供するセキュリ ティパッチを使用して更新することで解決します。詳細は、三菱電機株式会社 が提供する情報を参照してください。 関連文書 (日本語) 三菱電機株式会社 GENESIS64およびMC Works64のデータベースサーバーにおけるサービス拒否(DoS)の脆弱性 https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-028.pdf 三菱電機株式会社 GENESIS64およびMC Works64における情報漏えいの脆弱性 https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-027.pdf 三菱電機株式会社 GENESIS64およびMC Works64のWeb通信機能における認証回避の脆弱性 https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-026.pdf 三菱電機株式会社 MC Works64のモバイル監視における情報漏えいの脆弱性 https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-025.pdf 【11】php_mailformに複数のクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#16690037 php_mailform における複数のクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN16690037/ 概要 エコノシス システム設計事務所が提供するphp_mailformには、複数のクロス サイトスクリプティングの脆弱性があります。結果として、当該製品を使用し ているユーザーのウェブブラウザー上で、任意のスクリプトを実行される可能 性があります。 対象となる製品及びバージョンは次のとおりです。 - php_mailform Version 1.40より前のバージョン この問題は、該当する製品をエコノシス システム設計事務所が提供する修正 済みのバージョンに更新することで解決します。詳細はエコノシス システム 設計事務所が提供する情報を参照してください。 関連文書 (日本語) エコノシス システム設計事務所 econosys-system / php_mailform https://github.com/econosys-system/php_mailform ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○フィッシング対策協議会が「第4回フィッシング対策勉強会」の参加申し込み受付けを開始 フィッシング対策協議会は、2月15日(火)に「第4回フィッシング対策勉強 会」をオンラインで開催します。フィッシング対策やWebサイトのセキュリティ に興味がある方向けに参加を受付けています。 講演内容や、参加登録の手順については以下のURLからご参照ください。 参考文献 (日本語) フィッシング対策協議会 第4回フィッシング対策勉強会 https://www.antiphishing.jp/news/event/antiphishing_4th_studygroup.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CCからのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下のURLからご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下のURLを参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJh8I6BAAoJEKntH+qu5CT/gAUP/3BY+wBcVKrirOosiJcNfdG2 Um6B1cI1wyqz8xr9ao/FUGCJIzyjW92/bvGeiBTrw8I3+HhA/0j0xBui/j93xX55 UqrzR5j3kEsTFXjHULs6otqAJKHeYRbguccq5c/2+aWKpY2PZ841kzIwboK4srH8 esGyPYr56JIoK02AhL2y3D7iEvjrpZpLxmeNq5G+Fn/pcoCmzxHeVTD3HzdXGcgm euuBRSqgnTTkGXHmQo8xu2lLMrbtWzG0dVCmoYzVZIDzDBHF8P0fI9BplyJbk4jP BU/9GuKhgzlgwA328VPbgYRRqzY3ODKihqOgk/dmRP1wZTsSNC6LNMUUC8gm9I03 Tp6bT3XPpyojpc9VJ+7KnV3mnFO05qY2MiQGlPR5G06k/YgdHj/T0oCXNcOGA//C 3ql++OD22cDQmhy4m5ZHVi1GbiTNmCYDpO+K/luTczpb2b6W9TAjK+8dFfbowIrl Ypv4y5Z31er0WnFGmvOyvSRIJzmVZm5T5BKr4Zbrs6lQtwQZzaRP7i9AtuVjFj3p tL24x1rZgaV7JqUzyo2zr2NIvr2V1kEBVcA4FSPluYD90mhx4Ga4nVyMc4UTqsOo s2i97GGCRrOYtvaZnCJdiLXHn54Liqphi4xe29ek7c4V2s6kpFr8tMispTeSbm/m Vi5tXbjGOx7I+YCdnqND =Zjlz -----END PGP SIGNATURE-----