-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2022-2001 JPCERT/CC 2022-05-25 <<< JPCERT/CC WEEKLY REPORT 2022-05-25 >>> ―――――――――――――――――――――――――――――――――――――― ■05/15(日)〜05/21(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】 Apache TomcatにWebSocket接続の実装に関する問題 【2】複数のApple製品に脆弱性 【3】ISC BIND 9にサービス運用妨害 (DoS) の脆弱性 【4】サイボウズGaroonに複数の脆弱性 【5】Rakuten Casaに複数の脆弱性 【6】Spring Security OAuth(spring-security-oauth2)にサービス運用妨害 (DoS) の脆弱性 【今週のひとくちメモ】個人情報保護委員会が「個人情報を考える週間」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2022/wr222001.html https://www.jpcert.or.jp/wr/2022/wr222001.xml ============================================================================ 【1】 Apache TomcatにWebSocket接続の実装に関する問題 情報源 CISA Current Activity Apache Releases Security Advisory for Tomcat https://www.cisa.gov/uscert/ncas/current-activity/2022/05/16/apache-releases-security-advisory-tomcat Japan Vulnerability Notes JVNVU#94243578 Apache TomcatにおけるWebSocket接続の実装に関する問題 https://jvn.jp/vu/JVNVU94243578/ 概要 Apache Tomcatには、WebSocket接続の実装に関する問題があります。結果とし て、遠隔の第三者が予期せぬエラーを発生させる可能性があります。 対象となるバージョンは次のとおりです。 - Apache Tomcat 9.0.0.M1から9.0.20までのバージョン - Apache Tomcat 8.5.0から8.5.75までのバージョン この問題は、Apache TomcatをThe Apache Software Foundationが提供する修 正済みのバージョンに更新することで解決します。詳細は、 The Apache Software Foundationが提供する情報を参照してください。 関連文書 (英語) The Apache Software Foundation CVE-2022-25762 Apache Tomcat - Request Mix-up https://lists.apache.org/thread/qzkqh2819x6zsmj7vwdf14ng2fdgckw7 The Apache Software Foundation Fixed in Apache Tomcat 9.0.21 https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.21 The Apache Software Foundation Fixed in Apache Tomcat 8.5.76 https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.76 【2】複数のApple製品に脆弱性 情報源 CISA Current Activity Apple Releases Security Updates for Multiple Products https://www.cisa.gov/uscert/ncas/current-activity/2022/05/17/apple-releases-security-updates-multiple-products 概要 複数のApple製品には、複数の脆弱性があります。結果として、第三者が任意 のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Safari 15.5より前のバージョン - tvOS 15.5より前のバージョン - Xcode 13.4より前のバージョン - macOS Catalina(Security Update 2022-004 未適用) - macOS Monterey 12.4より前のバージョン - macOS Big Sur 11.6.6より前のバージョン - iOS 15.5より前のバージョン - iPadOS 15.5より前のバージョン - watchOS 8.6より前のバージョン この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Appleが提供する情報を参照してください。 関連文書 (日本語) Apple Safari 15.5 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT213260 Apple tvOS 15.5 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT213254 Apple Xcode 13.4 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT213261 Apple セキュリティアップデート 2022-004 Catalina のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT213255 Apple macOS Big Sur 11.6.6 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT213256 Apple macOS Monterey 12.4 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT213257 Apple iOS 15.5 および iPadOS 15.5 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT213258 Apple watchOS 8.6 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT213253 JPCERT/CC CyberNewsFlash Apple製品のアップデートについて(2022年5月) https://www.jpcert.or.jp/newsflash/2022051801.html 【3】ISC BIND 9にサービス運用妨害 (DoS) の脆弱性 情報源 CISA Current Activity ISC Releases Security Advisory for BIND https://www.cisa.gov/uscert/ncas/current-activity/2022/05/19/isc-releases-security-advisory-bind Japan Vulnerability Notes JVNVU#94035450 ISC BINDにおけるサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/vu/JVNVU94035450/ 概要 ISC BIND 9には、脆弱性があります。結果として、遠隔の第三者がサービス運 用妨害(DoS)攻撃を行うなどの可能性があります。 対象となるバージョンは次のとおりです。 - BIND 9.18.0から9.18.2まで - BIND 9.19.0(BIND 9.19開発用ブランチ) この問題は、該当する製品をISCが提供する修正済みのバージョンに更新する ことで解決します。詳細は、ISCが提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC CyberNewsFlash ISC BIND 9における脆弱性について(2022年5月) https://www.jpcert.or.jp/newsflash/2022051901.html 日本レジストリサービス (JPRS) (緊急)BIND 9.18.xの脆弱性(DNSサービスの停止)について(CVE-2022-1183) - BIND 9.18系列のみが対象、バージョンアップを強く推奨 - https://jprs.jp/tech/security/2022-05-19-bind9-vuln-dnsoverhttps.html 関連文書 (英語) Internet Systems Consortium, Inc. (ISC) CVE-2022-1183: Destroying a TLS session early causes assertion failure https://kb.isc.org/docs/cve-2022-1183 【4】サイボウズGaroonに複数の脆弱性 情報源 Japan Vulnerability Notes JVN#73897863 サイボウズ Garoon に複数の脆弱性 https://jvn.jp/jp/JVN73897863/ 概要 サイボウズGaroonには、複数の脆弱性があります。結果として、ログインして いるユーザーのブラウザー上で任意のスクリプトが実行されるなどの可能性が あります。 対象となるバージョンは脆弱性によって異なります。詳細はサイボウズ株式会 社が提供する情報を参照してください。 この問題は、該当する製品をサイボウズ株式会社が提供する修正済みのバージョン に更新することで解決します。詳細は、サイボウズ株式会社が提供する情報を 参照してください。 関連文書 (日本語) サイボウズ株式会社 パッケージ版 Garoon 脆弱性に関するお知らせ https://cs.cybozu.co.jp/2022/007429.html 【5】Rakuten Casaに複数の脆弱性 情報源 Japan Vulnerability Notes JVN#46892984 Rakuten Casa における複数の脆弱性 https://jvn.jp/jp/JVN46892984/ 概要 楽天モバイル株式会社が提供するRakuten Casaには、複数の脆弱性があります。 結果として、root権限でログインされ任意の操作を実行されたり、製品内部の 情報を取得されるなどの可能性があります。 対象となるバージョンは次のとおりです。 - Rakuten Casa バージョンAP_F_V1_4_1またはAP_F_V2_0_0 この問題は、設置規約に則って適切に設置した場合、自動的にアップデートが 適用され、修正されるとのことです。 関連文書 (日本語) 楽天モバイル株式会社 【重要】Rakuten Casaのソフトウェアアップデート情報 https://network.mobile.rakuten.co.jp/information/news/product/1033/ 【6】Spring Security OAuth(spring-security-oauth2)にサービス運用妨害 (DoS) の脆弱性 情報源 Japan Vulnerability Notes JVN#15317878 Spring Security OAuth (spring-security-oauth2) におけるサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/jp/JVN15317878/ 概要 VMwareが提供する Spring Security OAuth(spring-security-oauth2)には、リ ソースの枯渇の脆弱性があります。結果として、本製品を利用してOAuthクラ イアント機能を提供しているウェブサイトがサービス運用妨害 (DoS)の被害を 受ける可能性があります。 対象となるバージョンは次のとおりです。 - Spring Security OAuth(spring-security-oauth2) 2.5.1およびそれ以前 この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す ることで解決します。詳細は、VMwareが提供する情報を参照してください。 関連文書 (英語) VMware CVE-2022-22969: Denial-of-Service (DoS) in spring-security-oauth2 https://tanzu.vmware.com/security/cve-2022-22969 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○個人情報保護委員会が「個人情報を考える週間」を公開 個人情報保護委員会は、個人情報の重要性に関する情報発信を強化する目的で、 2022年5月30日から6月5日を「個人情報を考える週間」として取り組みを発表 しました。これは2018年度から広報啓発活動を継続して実施しているもので、 本年のテーマを「信頼の礎、プライバシー」(Privacy the foundation of trust) として、特設のページでは、「個人のみなさま」「事業者のみなさま」「学校 関係者、保護者のみなさま(お子さま向け資料)」で項目をわけ、それぞれに 個人情報の取り扱いについて、ポイントをまとめています。 参考文献 (日本語) 個人情報保護委員会 個人情報を考える週間 https://www.ppc.go.jp/news/privacy_awareness_week/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CCからのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下のURLからご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下のURLを参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJijXGdAAoJEKntH+qu5CT/2nMP/3uz+RhIJvZ/51cTSqoVT59m STgPKBEehneNhc2wyVcU8N74vUKbe++GHmS0QImR4X6aq4Ecl7KMlThQXBXju+D7 afd5wiICQlwjWX1W+kGZptKnmh4Qql3ncUKxRWmE6G6JdgBimFm0UCYv3OMc9KK0 ekKOVcbCKYU4YNkG++5KBJ9AdeLLEMV4N9LAkH6y7rKCyi6u9hmoTL9NSTLQ5qKF N+JVkkQEqqoJ5KOeHxm0r7TkIa2lbxneZvmEjiJPeDoZ+ac76OVaX/wCYR3NAwqn HAniFUwrEtchRj+4spnIojbWrM96PRoYGvLOl2khzHfez+WmgIcT1CV8DA7xFOgF WwkMytO5SqCY1a+/1c+2bYXbp34hchnXQrqHGM2AICLARsCtqnmPl/2FkCnn6BzE oGXcwfL4WIntdJacpZ4uY7kRCkhGHvQqilVjUyyjAz5tXR4cTm2zUl17YzQmx49z 3aW6+QjstGATji1aefXhW8GujN5pHH7YGMhB3OJJ6IC2s3ufUNvrvY49eCPXXhe0 rEq3Wc4283sUKhV7JBTLQn4bxfzQSjIox3iEENAaXHMOUQoHY5RfOhj3nOAQva2W 68IFVH8cgxAFNF94lONcTqchI8YUG3bodT7cVJB6qfaS9Lq+OvF7xdPQA90UGn9j X1luE6tkdZfErK9rGO4z =CiRq -----END PGP SIGNATURE-----