<<< JPCERT/CC WEEKLY REPORT 2022-03-02 >>>
■02/20(日)〜02/26(土) のセキュリティ関連情報
目 次
【1】複数のCisco製品に脆弱性
【2】トレンドマイクロ製企業向けエンドポイントセキュリティ製品に複数の脆弱性
【3】Mozilla VPNに任意のコード実行の脆弱性
【4】GitLabに複数の脆弱性
【5】EC-CUBEにHTTP Hostヘッダー処理の脆弱性
【6】EC-CUBE用プラグイン「メルマガ管理プラグイン」にクロスサイトリクエストフォージェリの脆弱性
【今週のひとくちメモ】経済産業省が「昨今の情勢を踏まえたサイバーセキュリティ対策の強化について(注意喚起)」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr220901.txt
https://www.jpcert.or.jp/wr/2022/wr220901.xml
【1】複数のCisco製品に脆弱性
情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/02/24/cisco-releases-security-updates-multiple-products
概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者がサー ビス運用妨害(DoS)攻撃を行うなどの可能性があります。 対象となる製品は、多岐にわたります。詳細や最新の情報については、Cisco が提供するアドバイザリ情報を参照してください。 この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Ciscoが提供するアドバイザリ情報を参照して ください。
関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.xCisco
Cisco Nexus 9000 Series Switches Bidirectional Forwarding Detection Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-bfd-dos-wGQXrzxnCisco
Cisco NX-OS Software NX-API Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-nxapi-cmdinject-ULukNMZ2Cisco
Cisco NX-OS Software Cisco Fabric Services Over IP Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cfsoip-dos-tpykyDrCisco
Cisco Nexus 9000 Series Fabric Switches ACI Mode Multi-Pod and Multi-Site TCP Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-n9kaci-tcp-dos-YXukt6gM
【2】トレンドマイクロ製企業向けエンドポイントセキュリティ製品に複数の脆弱性
情報源
Japan Vulnerability Notes JVNVU#96994445
トレンドマイクロ製企業向けエンドポイントセキュリティ製品における脆弱性に対するアップデート (2022年3月)
https://jvn.jp/vu/JVNVU96994445/
概要
トレンドマイクロ製企業向けエンドポイントセキュリティ製品には、複数の脆 弱性があります。結果として、遠隔の第三者がサービス運用妨害(DoS)攻撃 などを行う可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Apex One 2019 - Apex One SaaS - ウイルスバスターコーポレートエディション XG SP1 - ウイルスバスタービジネスセキュリティ 10.0 SP1 - ウイルスバスタービジネスセキュリティサービス 6.7 この問題は、該当する製品にトレンドマイクロ株式会社が提供する最新版を適 用することで解決します。詳細はトレンドマイクロ株式会社が提供する情報を 参照してください。
関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスタービジネスセキュリティとウイルスバスタービジネスセキュリティサービスで確認された複数の脆弱性について(2022年2月)
https://success.trendmicro.com/jp/solution/000290491
【3】Mozilla VPNに任意のコード実行の脆弱性
情報源
CISA Current Activity
Mozilla Releases Security Update for Mozilla VPN
https://www.cisa.gov/uscert/ncas/current-activity/2022/02/25/mozilla-releases-security-update-mozilla-vpn
概要
Mozilla VPNには、脆弱性があります。結果として、ユーザーがSYSTEM権限で 任意のコードを実行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Mozilla VPN 2.7.1より前のバージョン この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新 することで解決します。詳細は、Mozillaが提供する情報を参照してください。
関連文書 (英語)
Mozilla
Mozilla VPN local privilege escalation vis uncontrolled OpenSSL search path
https://www.mozilla.org/en-US/security/advisories/mfsa2022-08/
【4】GitLabに複数の脆弱性
情報源
GitLab
GitLab Critical Security Release: 14.8.2, 14.7.4, and 14.6.5
https://about.gitlab.com/releases/2022/02/25/critical-security-release-gitlab-14-8-2-released/
概要
GitLabには、複数の脆弱性があります。結果として、権限のないユーザーが認 証情報を窃取したり、他のユーザーをグループに加えたりするなどの可能性が あります。 対象となるバージョンは次のとおりです。 - GitLab Community EditionおよびEnterprise Edition 14.8.2より前の14.8系バージョン - GitLab Community EditionおよびEnterprise Edition 14.7.4より前の14.7系バージョン - GitLab Community EditionおよびEnterprise Edition 14.6.5より前の14.6系バージョン この問題は、該当する製品をGitLabが提供する修正済みのバージョンに更新す ることで解決します。詳細は、GitLabが提供する情報を参照してください。
【5】EC-CUBEにHTTP Hostヘッダー処理の脆弱性
情報源
Japan Vulnerability Notes JVN#53871926
EC-CUBE における HTTP Host ヘッダの処理に脆弱性
https://jvn.jp/jp/JVN53871926/
概要
EC-CUBEには、HTTP Hostヘッダーの処理に脆弱性があります。結果として、遠 隔の第三者によって、EC-CUBEユーザーにURLの一部が改ざんされたパスワード 再発行用のメールが送信される可能性があります。 - EC-CUBE 3.0.0から3.0.18-p3まで (EC-CUBE 3系) - EC-CUBE 4.0.0から4.1.1まで (EC-CUBE 4系) この問題は、EC-CUBEに株式会社イーシーキューブが提供するアップデートを 適用したり、EC-CUBEの設定の変更や対象ファイルを修正したりすることによっ て解決します。詳細は、株式会社イーシーキューブが提供する情報を参照して ください。
関連文書 (日本語)
株式会社イーシーキューブ
EC-CUBEにおける HTTP Hostヘッダの処理に脆弱性 (JVN#53871926)
https://www.ec-cube.net/info/weakness/20220221/
【6】EC-CUBE用プラグイン「メルマガ管理プラグイン」にクロスサイトリクエストフォージェリの脆弱性
情報源
Japan Vulnerability Notes JVN#67108459
EC-CUBE 用プラグイン「メルマガ管理プラグイン」におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN67108459/
概要
EC-CUBE用プラグイン「メルマガ管理プラグイン」には、クロスサイトリクエ ストフォージェリの脆弱性があります。結果として、当該プラグインがインス トールされたEC-CUBEにログインした状態の管理者権限を持つユーザーが、細 工されたページにアクセスした場合、意図せずメールマガジンテンプレートや 送信履歴が削除される可能性があります。 対象となるバージョンは次のとおりです。 - メルマガ管理プラグイン ver4.0.0から4.1.1まで (EC-CUBE 4系向け) - メルマガ管理プラグイン ver1.0.0から1.0.4まで (EC-CUBE 3系向け) この問題は、該当する製品を株式会社イーシーキューブが提供する修正済みの バージョンに更新することで解決します。詳細は、株式会社イーシーキューブ が提供する情報を参照してください。
関連文書 (日本語)
株式会社イーシーキューブ
EC-CUBE メルマガ管理プラグインにおける CSRFの脆弱性 (JVN#67108459)
https://www.ec-cube.net/info/weakness/20220221/mail_magazine_plugin.php
■今週のひとくちメモ
○経済産業省が「昨今の情勢を踏まえたサイバーセキュリティ対策の強化について(注意喚起)」を公開
経済産業省は2022年2月23日、昨今の国際情勢の変動を受けて、「昨今の情勢 を踏まえたサイバーセキュリティ対策の強化について(注意喚起)」を公開し ました。サイバー攻撃事案の潜在的リスクが高まっていると考えられる中、サ イバーセキュリティについて推奨される対策とあわせて、不審な動きがあった 際の相談先となる専門機関を紹介する内容となっています。
参考文献 (日本語)
経済産業省
昨今の情勢を踏まえたサイバーセキュリティ対策の強化について注意喚起を行います
https://www.meti.go.jp/press/2021/02/20220221003/20220221003.html
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/