-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2022-1201 JPCERT/CC 2022-03-24 <<< JPCERT/CC WEEKLY REPORT 2022-03-24 >>> ―――――――――――――――――――――――――――――――――――――― ■03/13(日)〜03/19(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】ISC BIND 9に複数の脆弱性 【2】Google Chromeに複数の脆弱性 【3】複数のApple製品に脆弱性 【4】Apache HTTP Serverに複数の脆弱性 【5】WordPressに複数の脆弱性 【6】OpenSSLにサービス運用妨害(DoS)の脆弱性 【7】Drupalのサードパーティライブラリに複数の脆弱性 【8】CRI-Oに権限昇格の脆弱性 【9】キングソフト製「WPS Office」および「KINGSOFT Internet Security」に複数の脆弱性 【10】pfSenseに複数の脆弱性 【今週のひとくちメモ】JPCERT/CCが「サイバー政策動向を知ろう Watch! Cyber World vol.2|ランキング」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2022/wr221201.html https://www.jpcert.or.jp/wr/2022/wr221201.xml ============================================================================ 【1】ISC BIND 9に複数の脆弱性 情報源 CISA Current Activity ISC Releases Security Advisories for BIND https://www.cisa.gov/uscert/ncas/current-activity/2022/03/17/isc-releases-security-advisories-bind 概要 ISC BIND 9には、複数の脆弱性があります。結果として、遠隔の第三者がサー ビス運用妨害(DoS)攻撃を行うなどの可能性があります。 対象となるバージョンは次のとおりです。 - BIND 9.11.0から9.11.36までのバージョン - BIND 9.12.0から9.16.26までのバージョン - BIND 9.17.0から9.18.0までのバージョン - BIND Supported Preview Edition 9.11.4-S1から9.11.36-S1までのバージョン - BIND Supported Preview Edition 9.16.8-S1から9.16.26-S1までのバージョン なお、すでにサポートが終了しているBIND 9も影響を受ける可能性があります。 この問題は、該当する製品をISCが提供する修正済みのバージョンに更新する ことで解決します。詳細は、ISCが提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC CyberNewsFlash ISC BIND 9における複数の脆弱性について(2022年3月) https://www.jpcert.or.jp/newsflash/2022031701.html 日本レジストリサービス (JPRS) BIND 9.xの脆弱性(キャッシュポイズニングの危険性)について(CVE-2021-25220)- DNSフォワーダーのみ対象、バージョンアップを推奨 - https://jprs.jp/tech/security/2022-03-17-bind9-vuln-forwarder.html 日本レジストリサービス (JPRS) BIND 9.xの脆弱性(システムリソースの過度な消費)について(CVE-2022-0396)- keep-response-orderを有効にしている場合のみ対象、バージョンアップを推奨 - https://jprs.jp/tech/security/2022-03-17-bind9-vuln-keep-response-order.html 日本レジストリサービス (JPRS) (緊急)BIND 9.18.0の脆弱性(DNSサービスの停止)について(CVE-2022-0635)- BIND 9.18.0のみが対象、バージョンアップを強く推奨 - https://jprs.jp/tech/security/2022-03-17-bind9-vuln-aggressiveuse.html 日本レジストリサービス (JPRS) (緊急)BIND 9.18.0の脆弱性(DNSサービスの停止)について(CVE-2022-0667)- BIND 9.18.0のみが対象、バージョンアップを強く推奨 - https://jprs.jp/tech/security/2022-03-17-bind9-vuln-dslookup.html Japan Vulnerability Notes JVNVU#98927070 ISC BINDにおける複数の脆弱性 https://jvn.jp/vu/JVNVU98927070/ 関連文書 (英語) Internet Systems Consortium(ISC) CVE-2021-25220: DNS forwarders - cache poisoning vulnerability https://kb.isc.org/docs/cve-2021-25220 Internet Systems Consortium(ISC) CVE-2022-0396: DoS from specifically crafted TCP packets https://kb.isc.org/docs/cve-2022-0396 Internet Systems Consortium(ISC) CVE-2022-0635: DNAME insist with synth-from-dnssec enabled https://kb.isc.org/docs/cve-2022-0635 Internet Systems Consortium(ISC) CVE-2022-0667: Assertion failure on delayed DS lookup https://kb.isc.org/docs/cve-2022-0667 【2】Google Chromeに複数の脆弱性 情報源 CISA Current Activity Google Releases Security Updates for Chrome https://www.cisa.gov/uscert/ncas/current-activity/2022/03/16/google-releases-security-updates-chrome 概要 Google Chromeには、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 99.0.4844.74より前のバージョン この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新 することで解決します。詳細は、Googleが提供する情報を参照してください。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2022/03/stable-channel-update-for-desktop_15.html 【3】複数のApple製品に脆弱性 情報源 CISA Current Activity Apple Releases Security Updates for Multiple Products https://www.cisa.gov/uscert/ncas/current-activity/2022/03/16/apple-releases-security-updates-multiple-products 概要 複数のApple製品には、脆弱性があります。結果として、遠隔の第三者が任意 のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - iOS 15.4より前のバージョン - iPadOS 15.4より前のバージョン - macOS Monterey 12.3より前のバージョン - macOS Big Sur 11.6.5より前のバージョン - macOS Catalina(Security Update 2022-003 未適用) - tvOS 15.4より前のバージョン - iTunes for Windows 12.12.3より前のバージョン - Xcode 13.3より前のバージョン - Logic Pro X 10.7.3より前のバージョン - GarageBand 10.4.6より前のバージョン - watchOS 8.5より前のバージョン - Safari 15.4より前のバージョン この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Appleが提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC CyberNewsFlash Apple製品のアップデートについて(2022年3月) https://www.jpcert.or.jp/newsflash/2022031501.html Apple iOS 15.4 および iPadOS 15.4 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT213182 Apple macOS Monterey 12.3 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT213183 Apple macOS Big Sur 11.6.5 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT213184 Apple セキュリティアップデート 2022-003 Catalina のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT213185 Apple tvOS 15.4 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT213186 Apple iTunes for Windows 12.12.3 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT213188 Apple Xcode 13.3 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT213189 Apple Logic Pro X 10.7.3 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT213190 Apple GarageBand 10.4.6 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT213191 Apple watchOS 8.5 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT213193 Apple Safari 15.4 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT213187 【4】Apache HTTP Serverに複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#99602154 Apache HTTP Server 2.4における複数の脆弱性に対するアップデート https://jvn.jp/vu/JVNVU99602154/ 概要 The Apache Software Foundationが提供するApache HTTP Serverには、複数の 脆弱性があります。結果として、遠隔の第三者がサービス運用妨害(DoS)攻 撃を行うなどの可能性があります。 対象となるバージョンは次のとおりです。 - Apache HTTP Server 2.4.52およびそれ以前 この問題は、Apache HTTP Serverを開発者が提供する修正済みのバージョンに 更新することで解決します。詳細は、開発者が提供する情報を参照してくださ い。 関連文書 (英語) The Apache Software Foundation Fixed in Apache HTTP Server 2.4.53 https://httpd.apache.org/security/vulnerabilities_24.html The Apache Software Foundation Apache HTTP Server 2.4.53 Released https://downloads.apache.org/httpd/Announcement2.4.html 【5】WordPressに複数の脆弱性 情報源 CISA Current Activity WordPress Releases Security Update https://www.cisa.gov/uscert/ncas/current-activity/2022/03/17/wordpress-releases-security-update 概要 WordPressには、複数の脆弱性があります。結果として、遠隔の第三者が任意 のスクリプトを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - WordPress 3.7から5.9.2より前のバージョン この問題は、該当する製品をWordPressが提供する修正済みのバージョンに更 新することで解決します。詳細は、WordPressが提供する情報を参照してくだ さい。 関連文書 (英語) WordPress WordPress 5.9.2 Security and Maintenance Release https://wordpress.org/news/2022/03/wordpress-5-9-2-security-maintenance-release/ 【6】OpenSSLにサービス運用妨害(DoS)の脆弱性 情報源 CISA Current Activity OpenSSL Releases Security Updates https://www.cisa.gov/uscert/ncas/current-activity/2022/03/17/openssl-releases-security-updates 概要 OpenSSLのBN_mod_sqrt()には、法が非素数の場合、無限ループを引き起こす問 題があります。結果として、サービス運用妨害(DoS)状態になる可能性があ ります。 対象となるバージョンは次のとおりです。 - OpenSSL 1.0.2zdより前の1.0.2系のバージョン - OpenSSL 1.1.0系のすべてのバージョン - OpenSSL 1.1.1nより前の1.1.1系のバージョン - OpenSSL 3.0.2より前の3.0系のバージョン この問題は、OpenSSLをOpenSSL Projectが提供する修正済みのバージョンに更 新することで解決します。詳細は、OpenSSL Projectが提供する情報を参照し てください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#90813125 OpenSSLのBN_mod_sqrt()における法が非素数のときに無限ループを引き起こす問題 https://jvn.jp/vu/JVNVU90813125/ 関連文書 (英語) OpenSSL OpenSSL Security Advisory [15 March 2022] https://www.openssl.org/news/secadv/20220315.txt 【7】Drupalのサードパーティライブラリに複数の脆弱性 情報源 CISA Current Activity Drupal Releases Security Updates https://www.cisa.gov/uscert/ncas/current-activity/2022/03/17/drupal-releases-security-updates 概要 Drupalが使用するCKEditorライブラリには、複数の脆弱性があります。結果と して、第三者が任意のスクリプトを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Drupal 9.3.8より前の9.3系バージョン - Drupal 9.2.15より前の9.2系バージョン この問題は、該当する製品をDrupalが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Drupalが提供する情報を参照してください。 関連文書 (英語) Drupal Drupal core - Moderately critical - Third-party libraries - SA-CORE-2022-005 https://www.drupal.org/sa-core-2022-005 【8】CRI-Oに権限昇格の脆弱性 情報源 CISA Current Activity CRI-O Security Update for Kubernetes https://www.cisa.gov/uscert/ncas/current-activity/2022/03/18/cri-o-security-update-kubernetes 概要 CRI-Oには、権限昇格の脆弱性があります。結果として、CRI-Oランタイムを使 用するKubernetesクラスターにポッドをデプロイする権限を持つユーザーがルー ト権限で任意のコードを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - CRI-O 1.19.6より前のバージョン - CRI-O 1.20.7より前のバージョン - CRI-O 1.21.6より前のバージョン - CRI-O 1.22.3より前のバージョン - CRI-O 1.23.2より前のバージョン - CRI-O 1.24.0より前のバージョン この問題は、CRI-Oに開発者が提供するパッチを適用することで解決します。 詳細は、開発者が提供する情報を参照してください。 関連文書 (英語) CRI-O cri-o: Arbitrary code execution in cri-o via abusing “kernel.core_pattern” kernel parameter https://github.com/cri-o/cri-o/security/advisories/GHSA-6x2m-w449-qwx7 【9】キングソフト製「WPS Office」および「KINGSOFT Internet Security」に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#21234459 キングソフト製「WPS Office」および「KINGSOFT Internet Security」における複数の脆弱性 https://jvn.jp/jp/JVN21234459/ 概要 キングソフト株式会社が提供する「WPS Office」および「KINGSOFT Internet Security」には、複数の脆弱性があります。結果として、第三者が任意のコマンド を実行する可能性があります。 対象となる製品は次のとおりです。 - WPS Office - WPS Presentation - KINGSOFT Internet Security 9 Plus 該当する製品は、サポートが終了しており、修正アップデートは提供されない ことから、キングソフト株式会社が提供する後継製品への移行が推奨されてい ます。詳細は、キングソフト株式会社が提供する情報を参照してください。 関連文書 (日本語) キングソフト株式会社 WPS Office,KINGSOFT Internet Security の脆弱性に関するお知らせ https://support.kingsoft.jp/support-info/weakness.html 【10】pfSenseに複数の脆弱性 情報源 Japan Vulnerability Notes JVN#87751554 pfSense における複数の脆弱性 https://jvn.jp/jp/JVN87751554/ 概要 pfSenseには、複数の脆弱性があります。結果として、遠隔の第三者が、悪意 のあるURLを通じてcaptiveポータルログインページへアクセスしたユーザーの Webブラウザー上で、任意のスクリプトを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - pfSense CE Software 2.6.0より前のバージョン - pfSense Plus Software 22.01より前のバージョン この問題は、開発者が提供する修正済みのバージョンに更新することで解決し ます。詳細は、開発者が提供する情報を参照してください。 関連文書 (英語) pfSense XSS vulnerability in the WebGUI https://docs.netgate.com/downloads/pfSense-SA-21_02.captiveportal.asc pfSense File overwrite vulnerability in the WebGUI https://docs.netgate.com/downloads/pfSense-SA-22_01.webgui.asc pfSense Multiple vulnerabilities in the WebGUI https://docs.netgate.com/downloads/pfSense-SA-22_03.webgui.asc ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○JPCERT/CCが「サイバー政策動向を知ろう Watch! Cyber World vol.2|ランキング」を公開 2022年3月17日、JPCERT/CCは「サイバー政策動向を知ろう Watch! Cyber World vol.2|ランキング」を公開しました。JPCERT/CCは、サイバーセキュリ ティ政策に関する諸外国の動向調査として政府機関、国際機関、企業などのニュー スの収集および分析を行っています。 vol.2となる今回は、世界各国を対象にした複数のサイバーセキュリティのラン キングから見た日本の強みについて解説しています。 参考文献 (日本語) JPCERT/CC Eyes サイバー政策動向を知ろう Watch! Cyber World vol.2|ランキング https://blogs.jpcert.or.jp/ja/2022/03/cyberworld2.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CCからのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下のURLからご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下のURLを参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJiO7RsAAoJEKntH+qu5CT/47YP/jQgz+vXNCsPlGbe6QD/AFEm CMYw2iOUZ88zWBENd0aG+3ALGopjgzhyxN3IIRu9Qjm9fDnEnqh7CnYI6EOjpaIG tUzqPqUzKZYnyyPgT75VH0IFTXq8ULEk3WZq5BqriGpYPMjgKs0XIrYYYry9ltI6 ltYnw+veuFWiXHP0Bz1WEst4lWUiHKzaiC+N2baw3Zxxxmoyo85NoYawHS8mLBME cST+z+tOxeb314aN9EWN64Rlal0KowhdcWBRwiiVEEDkKFLkiD1EWqjammr5fsP8 yc0bKhmPbmG+zSiYkTnecP9oZh/+D/YjdgFlLpyc/07LGc3k8Zbovur5Dvt2eQ9R UoyaCV0hlmudJmg3Xged6DB4J0T4rWHOcGjMbnmcCid0zaHgITncTlxOVLgklDD0 qflx/ENGDjSmQ7vsT5U2Xlju4ncPI0G1tM0Q9oVWPKZWYBAxwSA2LQo6Zoax0YP5 lJLsVcKkGpt7a6Eh5PQ234jbQCyRCGSIU07kd0AStfL8y3f5f9JcexOBqW6Puamu 4tCJYxDEThwspjDJWkdMWkyL7avZPkDum5n+BI3sf9zjjPJKZIhol25E1JXqM1Kp jNzIdqhr7Bps9bNfFNEgQ15nvS66G7Hu8MGMMCU6CPfKudU5nC12Bn0pqLkoJoIe DvacXgYHLXrRJi/V1REp =R7Me -----END PGP SIGNATURE-----