-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2022-2301 JPCERT/CC 2022-06-15 <<< JPCERT/CC WEEKLY REPORT 2022-06-15 >>> ―――――――――――――――――――――――――――――――――――――― ■06/05(日)〜06/11(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Google Chromeに複数の脆弱性 【2】Apache HTTP Serverに複数の脆弱性 【3】SHIRASAGIにクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】フィッシング対策協議会が技術・制度検討 WG 報告会の資料を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2022/wr222301.html https://www.jpcert.or.jp/wr/2022/wr222301.xml ============================================================================ 【1】Google Chromeに複数の脆弱性 情報源 CISA Current Activity Google Releases Security Updates for Chrome https://www.cisa.gov/uscert/ncas/current-activity/2022/06/10/google-releases-security-updates-chrome 概要 Google Chromeには、複数の脆弱性があります。 対象となる製品は次のとおりです。 - Google Chrome 102.0.5005.115より前のバージョン この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新 することで解決します。詳細は、Googleが提供する情報を参照してください。 関連文書 (英語) GOOGLE Stable Channel Update for Desktop https://chromereleases.googleblog.com/2022/06/stable-channel-update-for-desktop.html 【2】Apache HTTP Serverに複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#94306894 Apache HTTP Server 2.4における複数の脆弱性に対するアップデート https://jvn.jp/vu/JVNVU94306894/ 概要 The Apache Software Foundationが提供するApache HTTP Serverには、複数の 脆弱性があります。結果として、遠隔の第三者がサーバのクラッシュや情報の 窃取を行うなどの可能性があります。 対象となるバージョンは次のとおりです。 - Apache HTTP Server 2.4.53およびそれ以前 この問題は、Apache HTTP Serverを開発者が提供する修正済みのバージョンに 更新することで解決します。詳細は、開発者が提供する情報を参照してくださ い。 関連文書 (英語) The Apache Software Foundation Fixed in Apache HTTP Server 2.4.54 https://httpd.apache.org/security/vulnerabilities_24.html#2.4.54 The Apache Software Foundation Apache HTTP Server 2.4.54 Released https://downloads.apache.org/httpd/Announcement2.4.html 【3】SHIRASAGIにクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#32962443 SHIRASAGI におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN32962443/ 概要 SHIRASAGI Projectが提供するSHIRASAGIには、クロスサイトスクリプティング の脆弱性が存在します。結果として、第三者が当該製品を使用しているユーザ のWebブラウザ上で、任意のスクリプトを実行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - SHIRASAGI v1.0.0 から v1.14.2 - SHIRASAGI v1.15.0 この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) SHIRASAGI Project JVN#32962443 SHIRASAGI におけるクロスサイト・スクリプティング脆弱性 https://www.ss-proj.org/support/843.html SHIRASAGI Project shirasagi / shirasagi https://github.com/shirasagi/shirasagi ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○フィッシング対策協議会が技術・制度検討 WG 報告会の資料を公開 フィッシング対策協議会は、今年3月に開催されたフィッシング対策協議会 技 術・制度検討 WG 報告会 (オンライン)の講演資料 を公開しました。本報告会 では、有識者や会員企業などが携わり、毎年改定している 「2022 年度版フィ ッシング対策ガイドライン」 の改定内容、および最新のフィッシングの状況 や対策技術動向などをレポートする 「2022年度版フィッシングレポート」に ついて紹介されました。 参考文献 (日本語) フィッシング対策協議会 フィッシング対策協議会 技術・制度検討 WG 報告会 (オンライン)資料公開のお知らせ https://www.antiphishing.jp/news/info/techwg_openday2021_online.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CCからのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下のURLからご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下のURLを参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJiqR7XAAoJEDoQgdvpn3qqq6MP/0cYWa7UfuRTr03vEbPHeCAL ekTmGL9DXkjz5bguEHW/iutteX3A/YY04ipcveDi6iMnWO++Difd4Ws0o57HjLyA McxJpGxIq0k4mZTdk+pYjSG/jhKwd/k2FgorNe47VTkDiXuiFBvTD/tnwltmY+YH kltQ1VV/e+dd92iO2kNT5RPtwbP26gNNfpgienjCayp+JOd1pqHfzOc1cicYiCGd ZRzjwMfCbreqQMvB+Kx2RwsaHP5MHU+s1rIEqBDVQhm0OuupG68e67ZqIb+mpBGl 5GEigLo6mEfcOW8zbPJYYWFFLo4akPJhibNXJSNy+K9uZbCKM/EFmvuD9C63LjhI NF/GvWvY25OTEdo711B1lhfjLyxv353W3boO1JvM5PICx+6vtRYIBQ1O16t5tvOA FouoTTFJaicmdWIbIIxe1t5Fo0IcyeB4n4zFNSbBtkHnhtIK5tNkkVgXLno4ZNkb EtX2SF6J3OiHJJ0fH3Paoc0KH8jvluiJzK/qNNL+rCbcC3Tar6fgymWTRKPp/elV beCtSNpq5xjeZo/CnAyy9TzwG+ZvQXP1wuqkBVvSu6Y7iJCTnFVuxRRI239VAzSI Nhc38arFLjMm1K5BmxALCWhUnpZsE1mh9EyQHfhCvQah/nzc8AVRCumWFgTM8LdE Ul6LcKShV24DWJqNC6Nb =WFEg -----END PGP SIGNATURE-----