-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


                                                         JPCERT-WR-2022-1301
                                                                   JPCERT/CC
                                                                  2022-03-30

            <<< JPCERT/CC WEEKLY REPORT 2022-03-30 >>>

――――――――――――――――――――――――――――――――――――――
■03/20(日)〜03/26(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】Google Chromeに型の取り違えの脆弱性
【2】VMware Carbon Black App Controlに複数の脆弱性
【3】Drupalのサードパーティライブラリに脆弱性
【4】Netcommunity OG410XおよびOG810XシリーズにOSコマンドインジェクションの脆弱性
【今週のひとくちメモ】IPAが「情報セキュリティ対策ベンチマーク」Ver.5.1診断データの統計情報を公開

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2022/wr221301.html
        https://www.jpcert.or.jp/wr/2022/wr221301.xml
============================================================================


【1】Google Chromeに型の取り違えの脆弱性

    情報源
      CISA Current Activity
      Google Releases Security Updates for Chrome
      https://www.cisa.gov/uscert/ncas/current-activity/2022/03/28/google-releases-security-updates-chrome

    概要
      Google Chromeには、型の取り違えの脆弱性があります。

      対象となるバージョンは次のとおりです。

      - Google Chrome 99.0.4844.84より前のバージョン

      この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
      することで解決します。詳細は、Googleが提供する情報を参照してください。

    関連文書 (英語)
      Google
      Stable Channel Update for Desktop
      https://chromereleases.googleblog.com/2022/03/stable-channel-update-for-desktop_25.html

【2】VMware Carbon Black App Controlに複数の脆弱性

    情報源
      CISA Current Activity
      VMware Releases Security Updates
      https://www.cisa.gov/uscert/ncas/current-activity/2022/03/24/vmware-releases-security-updates

    概要
      VMware Carbon Black App Controlには、複数の脆弱性があります。結果とし
      て、管理画面にアクセス可能な遠隔のユーザーが、不正な入力をして任意のコ
      マンドを実行したり、細工したファイルをアップロードして任意のコードを実
      行したりする可能性があります。

      対象となる製品は次のとおりです。

      - VMware Carbon Black App Control（AppC）

      この問題は、当該製品をVMwareが提供する修正済みのバージョンに更新するこ
      とで解決します。詳細は、VMwareが提供する情報を参照してください。

    関連文書 (英語)
      VMware
      VMSA-2022-0008
      https://www.vmware.com/security/advisories/VMSA-2022-0008.html

【3】Drupalのサードパーティライブラリに脆弱性

    情報源
      CISA Current Activity
      Drupal Releases Security Updates
      https://www.cisa.gov/uscert/ncas/current-activity/2022/03/22/drupal-releases-security-updates

    概要
      Drupalが使用するGuzzleライブラリには、脆弱性があります。結果として、第
      三者がヘッダーに任意の値を設定する可能性があります。

      対象となるバージョンは次のとおりです。

      - Drupal 9.3.9より前の9.3系バージョン
      - Drupal 9.2.16より前の9.2系バージョン

      この問題は、該当する製品をDrupalが提供する修正済みのバージョンに更新す
      ることで解決します。詳細は、Drupalが提供する情報を参照してください。

    関連文書 (英語)
      Drupal
      Drupal core - Moderately critical - Third-party libraries - SA-CORE-2022-006
      https://www.drupal.org/sa-core-2022-006

【4】Netcommunity OG410XおよびOG810XシリーズにOSコマンドインジェクションの脆弱性

    情報源
      Japan Vulnerability Notes JVNVU#94900322
      Netcommunity OG410XおよびOG810XシリーズにおけるOSコマンドインジェクションの脆弱性
      https://jvn.jp/vu/JVNVU94900322/

    概要
      東日本電信電話株式会社および西日本電信電話株式会社が提供するVoIPゲート
      ウェイ/事業所向けひかり電話対応アダプターOG410XおよびOG810Xシリーズに
      は、脆弱性があります。結果として、管理画面にログイン可能な第三者が任意
      のコマンドを実行する可能性があります。

      対象となる製品およびバージョンは次のとおりです。

      - VoIPゲートウェイ Netcommunity OG410Xa、OG410Xi、OG810Xa、OG810Xi ファームウェアVer.2.28およびそれ以前のバージョン
      - 事業所向けひかり電話対応アダプター Netcommunity OG410Xa、OG410Xi、OG810Xa、OG810Xi ファームウェアVer.2.28およびそれ以前のバージョン

      この問題は、該当する製品を東日本電信電話株式会社および西日本電信電話株
      式会社が提供する修正済みのバージョンに更新することで解決します。詳細は、
      東日本電信電話株式会社および西日本電信電話株式会社が提供する情報を参照
      してください。

    関連文書 (日本語)
      東日本電信電話株式会社
      Netcommunity OG410X810Xシリーズをご利用のお客さまへ
      https://business.ntt-east.co.jp/topics/2022/03_22.html

      西日本電信電話株式会社
      「Netcommunity OG410X810Xシリーズ」をご利用のお客さまへ
      https://www.ntt-west.co.jp/smb/kiki_info/info/220322.html


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○IPAが「情報セキュリティ対策ベンチマーク」Ver.5.1診断データの統計情報を公開

      2022年3月22日、独立行政法人情報処理推進機構（IPA）は、「情報セキュリティ
      対策ベンチマーク」Ver.5.1診断データの統計情報を公開しました。情報セキュ
      リティ対策ベンチマークは、Webページ上の質問に答えることで、組織の情報
      セキュリティへの取組状況を自己診断するツールです。本統計情報は2010年4月
      1日から2021年12月31日までの診断データに関する統計情報となっています。

    参考文献 (日本語)
      独立行政法人情報処理推進機構
      情報セキュリティ対策ベンチマークVer.5.1について
      https://security-shien.ipa.go.jp/diagnosis/


――――――――――――――――――――――――――――――――――――――
■JPCERT/CCからのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下のURLからご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下のURLを参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

-----BEGIN PGP SIGNATURE-----
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=bYbx
-----END PGP SIGNATURE-----