-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2022-0601 JPCERT/CC 2022-02-09 <<< JPCERT/CC WEEKLY REPORT 2022-02-09 >>> ―――――――――――――――――――――――――――――――――――――― ■01/30(日)〜02/05(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Sambaに複数の脆弱性 【2】Google Chromeに複数の脆弱性 【3】MIPS上で動作するOpenSSLにおけるBN_mod_exp()の誤った処理による脆弱性 【4】Cisco Small Business RVシリーズルーターに複数の脆弱性 【5】CSV+にクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】NISCがサイバーセキュリティ戦略(令和3年9月28日閣議決定)のカラーパンフレットを掲載 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2022/wr220601.html https://www.jpcert.or.jp/wr/2022/wr220601.xml ============================================================================ 【1】Sambaに複数の脆弱性 情報源 CISA Current Activity Samba Releases Security Updates https://www.cisa.gov/uscert/ncas/current-activity/2022/02/01/samba-releases-security-updates 概要 Sambaには、複数の脆弱性があります。結果として、遠隔の第三者が任意のコ マンドを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Samba 4.15.5より前のバージョン - Samba 4.14.12より前のバージョン - Samba 4.13.17より前のバージョン この問題は、SambaをThe Samba Teamが提供する修正済みのバージョンに更新 することで解決します。詳細は、The Samba Teamが提供する情報を参照してく ださい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#92602689 Samba vfs_fruitモジュールにおける拡張ファイル属性の安全でない処理による境界外読み書きの脆弱性 https://jvn.jp/vu/JVNVU92602689/ 関連文書 (英語) The Samba Team Samba Security Releases https://www.samba.org/samba/history/security.html CERT/CC Vulnerability Note VU#119678 Samba vfs_fruit module insecurely handles extended file attributes https://kb.cert.org/vuls/id/119678 【2】Google Chromeに複数の脆弱性 情報源 CISA Current Activity Google Releases Security Updates for Chrome https://www.cisa.gov/uscert/ncas/current-activity/2022/02/02/google-releases-security-updates-chrome 概要 Google Chromeには、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 98.0.4758.80/81/82(Windows版)より前のバージョン - Google Chrome 98.0.4758.80(MacおよびLinux版)より前のバージョン この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新 することで解決します。詳細は、Googleが提供する情報を参照してください。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2022/02/stable-channel-update-for-desktop.html 【3】MIPS上で動作するOpenSSLにおけるBN_mod_exp()の誤った処理による脆弱性 情報源 Japan Vulnerability Notes JVNVU#95979433 MIPS上で動作するOpenSSLにおけるBN_mod_exp()の誤った処理 https://jvn.jp/vu/JVNVU95979433/ 概要 MIPS上で動作するOpenSSLには、BN_mod_exp()で誤った結果を生成する可能性 があります。結果として、第三者が秘密鍵に関する情報を推測し、暗号化され た通信内容を解読する可能性があります。 対象となるバージョンは次のとおりです。 MIPSプラットフォーム上で動作する次のバージョンのOpenSSL - OpenSSL 1.0.2 - OpenSSL 1.1.1 - OpenSSL 3.0.0 なお、OpenSSL 1.1.0はサポートが終了しているため、本脆弱性の評価を実施 していないとのことです。 この問題は、OpenSSLをOpenSSL Projectが提供する修正済みのバージョンに更 新することで解決します。詳細は、OpenSSL Projectが提供する情報を参照し てください。 関連文書 (英語) OpenSSL Project OpenSSL Security Advisory [28 January 2022] https://www.openssl.org/news/secadv/20220128.txt 【4】Cisco Small Business RVシリーズルーターに複数の脆弱性 情報源 CISA Current Activity Cisco Releases Security Updates for RV Series Routers https://www.cisa.gov/uscert/ncas/current-activity/2022/02/03/cisco-releases-security-updates-rv-series-routers 概要 Cisco Small Business RVシリーズルーターには、複数の脆弱性があります。 結果として、遠隔の第三者が任意のコマンドを実行するなどの可能性がありま す。 対象となる製品およびバージョンは次のとおりです。 - RV160およびRV260シリーズルーター - ファームウェアバージョン1.0.01.05およびそれ以前 - RV340およびRV345シリーズルーター - ファームウェアバージョン1.0.03.24 この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Ciscoが提供する情報を参照してください。 関連文書 (英語) Cisco Cisco Small Business RV Series Routers Vulnerabilities https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-smb-mult-vuln-KA9PK6D 【5】CSV+にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#67396225 CSV+ におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN67396225/ 概要 CSV+には、クロスサイトスクリプティングの脆弱性があります。結果として、 第三者が、当該製品を使用しているユーザーに細工されたCSVファイルを読み 込ませ、リンクをクリックさせることで、任意のスクリプトを実行したり、 OSコマンドを実行したりする可能性があります。 対象となるバージョンは次のとおりです。 - CSV+ 0.8.1より前のバージョン この問題は、CSV+を開発者が提供する修正済みのバージョンに更新することで 解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) Plus one 0.8.1 脆弱性対応 https://github.com/plusone-masaki/csv-plus/releases/tag/v0.8.1 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○NISCがサイバーセキュリティ戦略(令和3年9月28日閣議決定)のカラーパンフレットを掲載 2022年2月1日、内閣サイバーセキュリティセンター(NISC)がサイバーセキュ リティ戦略(令和3年9月28日閣議決定)のカラーパンフレット(日本語版と英 語版)をWebサイトに掲載しました。 参考文献 (日本語) 内閣サイバーセキュリティセンター(NISC) サイバーセキュリティ戦略 Cybersecurity for All 誰も取り残さないサイバーセキュリティ https://www.nisc.go.jp/active/kihon/pdf/cs-senryaku2021-c.pdf 参考文献 (英語) 内閣サイバーセキュリティセンター(NISC) Cybersecurity Strategy: Cybersecurity for All "Cybersecurity which leaves no-one behind" https://www.nisc.go.jp/active/kihon/pdf/cs-senryaku2021-en-booklet.pdf ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CCからのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下のURLからご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下のURLを参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJiAwNZAAoJEKntH+qu5CT/DtcP/17AoqCc+vd5e0k8ysC4b4mp JRYERywO2gLTiIIab6A/JWM48fseTV8vGUq3kHKCYoSltQC/+XxYvc2iYWLk8Ck8 r1D3ld6L9K0K1PPOVi4MheUX6fvjTJwIdcISP7OBSmdaiN8QT+FHEKZrYWAmtc7m jw0x6dAg/neLw3ADKtvO4/4U6HD1fzDlfdz+gNVSl9h9ZkQfQl0dnJ0EPtBwyXAh Tk2/BcUPa0r3nusNkp3uKPY3qvi2/VYDRhJMjLHj3BQFTcSUYJaz6pQ40ee94JEP VckXTkqgaMsMvD9RwmDG+GgBEH3zs+nRqCcmKYKnRs8I9BSdkWCGB9Jm17wK0K/9 E84SnQPEoG6A61bWwLAppRQssZ+Am/93BZO4QO5uR3UFSJfY/Wj3u/mduze0V1ej bN5zi6wzvqZCCPRlHQkeEn2vzjbAJvmtAFX326RCKULtIl2lanRBCitFWwpwsVZd 8f9Tm721XJnUcLUjHYzCbD+8IQcvreOwBWBJRiX7n7EXVIbbam9+yAo2UjyFuCZB Xz2N/JdTKllLAi5y6y0tpouIgwab7J5ZVmTjxp/aBjseC27Wt2B673FADHCVzdgz +hs3HDkzXnVMTPwe5sOuh/mRH4UpeOyydMkC4cbf6NIOnuHPOpgelHmNVmcrIMsw Urxt+x2gwfO5qvttbtSy =oXHJ -----END PGP SIGNATURE-----