-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


                                                         JPCERT-WR-2022-2501
                                                                   JPCERT/CC
                                                                  2022-06-29

            <<< JPCERT/CC WEEKLY REPORT 2022-06-29 >>>

――――――――――――――――――――――――――――――――――――――
■06/19(日)〜06/25(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】Google Chromeに複数の脆弱性
【2】複数のCitrix製品に脆弱性
【3】Apache Tomcatのexamplesにクロスサイトスクリプティングの脆弱性
【4】OpenSSLのc_rehashスクリプトにコマンドインジェクションの脆弱性
【5】web2pyにオープンリダイレクトの脆弱性
【6】L2Blockerセンサー設定画面に認証回避の脆弱性
【今週のひとくちメモ】「第13回TCG日本支部公開ワークショップ」開催のお知らせ

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2022/wr222501.html
        https://www.jpcert.or.jp/wr/2022/wr222501.xml
============================================================================


【1】Google Chromeに複数の脆弱性

    情報源
      CISA Current Activity
      Google Releases Security Updates for Chrome
      https://www.cisa.gov/uscert/ncas/current-activity/2022/06/22/google-releases-security-updates-chrome

    概要
      Google Chromeには、複数の脆弱性があります。

      対象となる製品は次のとおりです。

      - Google Chrome 103.0.5060.53より前のバージョン

      この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
      することで解決します。詳細は、Googleが提供する情報を参照してください。

    関連文書 (英語)
      Google
      Stable Channel Update for Desktop
      https://chromereleases.googleblog.com/2022/06/stable-channel-update-for-desktop_21.html

【2】複数のCitrix製品に脆弱性

    情報源
      CISA Current Activity
      Citrix Releases Security Updates for Hypervisor
      https://www.cisa.gov/uscert/ncas/current-activity/2022/06/24/citrix-releases-security-updates-hypervisor

    概要
      複数のCitrix製品には、脆弱性があります。結果として、ゲストVM上の第三者
      が権限を昇格し、ホストシステム全体を制御するなどの可能性があります。

      対象となる製品およびバージョンは次のとおりです。

      - Citrix Hypervisor 8.2 CU1 LTSR
      - Citrix XenServer 7.1 CU2 LTSR

      この問題は、該当する製品にCitrixが提供するhotfixを適用することで解決し
      ます。詳細は、Citrixが提供する情報を参照してください。

    関連文書 (英語)
      Citrix
      Citrix Hypervisor Security Update
      https://support.citrix.com/article/CTX460064/citrix-hypervisor-security-update

【3】Apache Tomcatのexamplesにクロスサイトスクリプティングの脆弱性

    情報源
      Japan Vulnerability Notes JVNVU#92304549
      Apache Tomcatのexamplesにおけるクロスサイトスクリプティングの脆弱性
      https://jvn.jp/vu/JVNVU92304549/

    概要
      Apache Tomcatのexamples Webアプリケーション内のフォーム認証サンプルに
      は、クロスサイトスクリプティングの脆弱性があります。結果として、当該サン
      プルを使用したサイトにアクセスしたユーザーのWebブラウザー上で、任意の
      スクリプトを実行される可能性があります。

      対象となるバージョンは次のとおりです。

      - Apache Tomcat 10.1.0-M1から10.1.0-M16までのバージョン
      - Apache Tomcat 10.0.0-M1から10.0.22までのバージョン
      - Apache Tomcat 9.0.30から9.0.64までのバージョン
      - Apache Tomcat 8.5.50から8.5.81までのバージョン

      この問題について、開発者は本脆弱性を修正するバージョンのリリースを予定
      しています。詳細や最新の情報は、開発者が提供する情報を参照してください。

    関連文書 (英語)
      The Apache Software Foundation
      Fixed in Apache Tomcat 10.1.0-M17
      https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.0-M17

      The Apache Software Foundation
      Fixed in Apache Tomcat 10.0.23
      https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.23

      The Apache Software Foundation
      Fixed in Apache Tomcat 9.0.65
      https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.65

      The Apache Software Foundation
      Fixed in Apache Tomcat 8.5.82
      https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.82

【4】OpenSSLのc_rehashスクリプトにコマンドインジェクションの脆弱性

    情報源
      Japan Vulnerability Notes JVNVU#92867820
      OpenSSLのc_rehashスクリプトにおけるコマンドインジェクションの脆弱性
      https://jvn.jp/vu/JVNVU92867820/

    概要
      OpenSSLのc_rehashスクリプトには、シェルのメタ文字を適切にサニタイズし
      ていない問題があります。結果として、c_rehashスクリプトが自動的に実行さ
      れる一部のオペレーティングシステムで、第三者がスクリプトの実行権限で任
      意のコマンドを実行する可能性があります。

      対象となるバージョンは次のとおりです。

      - OpenSSL 3.0.4より前のバージョン
      - OpenSSL 1.1.1pより前のバージョン
      - OpenSSL 1.0.2zfより前のバージョン

      なお、OpenSSL 1.1.0はサポートが終了しているため、本脆弱性の評価を実施
      していないとのことです。

      この問題は、該当する製品をOpenSSL Projectが提供する修正済みのバージョン
      に更新することで解決します。詳細は、OpenSSL Projectが提供する情報を参
      照してください。

    関連文書 (英語)
      OpenSSL Project
      OpenSSL Security Advisory [21 June 2022]
      https://www.openssl.org/news/secadv/20220621.txt

【5】web2pyにオープンリダイレクトの脆弱性

    情報源
      Japan Vulnerability Notes JVN#02158640
      web2py におけるオープンリダイレクトの脆弱性
      https://jvn.jp/jp/JVN02158640/

    概要
      web2pyには、オープンリダイレクトの脆弱性があります。結果として、細工さ
      れたURLにアクセスすることで、任意のWebサイトにリダイレクトされる可能性
      があります。

      対象となるバージョンは次のとおりです。

      - web2py 2.22.5より前のバージョン

      この問題は、web2pyを開発者が提供する修正済みのバージョンに更新すること
      で解決します。詳細は、開発者が提供する情報を参照してください。

【6】L2Blockerセンサー設定画面に認証回避の脆弱性

    情報源
      Japan Vulnerability Notes JVN#51464799
      L2Blockerセンサー設定画面における認証回避の脆弱性
      https://jvn.jp/jp/JVN51464799/

    概要
      株式会社ソフトクリエイトが提供するL2Blockerには、認証回避の脆弱性があ
      ります。結果として、当該製品にアクセスできる第三者が不正にログインし、
      当該製品内の情報を窃取するなどの可能性があります。

      対象となるバージョンは次のとおりです。

      - L2Blockerオンプレミス版 Ver4.8.5およびそれ以前のバージョン
      - L2Blockerクラウド版 Ver4.8.5およびそれ以前のバージョン

      開発者によると、すでにサポート終了をした3系以前のバージョンも本脆弱性
      の影響を受けるとのことです。

      この問題は、該当する製品を株式会社ソフトクリエイトが提供する修正済みの
      バージョンに更新することで解決します。詳細は、株式会社ソフトクリエイト
      が提供する情報を参照してください。

    関連文書 (日本語)
      株式会社ソフトクリエイト
      L2Blockerセンサー設定画面における、認証回避の脆弱性
      https://www.softcreate.co.jp/news/detail/210


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○「第13回TCG日本支部公開ワークショップ」開催のお知らせ

      2022年7月8日（金）、「第13回TCG日本支部公開ワークショップ」が開催され
      ます。TCG日本支部が主催する本イベントは「進化する環境で広がるIoTをセキュ
      アにつなげるTCG技術〜セキュアエレメントからリモートアテステーションま
      で、IoT機器の更なる強化へ」をテーマに講演やパネルディスカッションが行
      われます。JPCERT/CCは本イベントの運営に協力しています。参加には事前申
      し込みが必要です。

      日  時：2022年7月8日（金）13:15-17:00日本時間（Zoom入室受付13:00〜、開演13:15）
      主  催：TCG 日本支部（TCG Japan Regional Forum）
      形  式：オンライン（Zoom Webinar）+ 30名程度会場参加（品川）
              ※申込時にご希望の参加形式をご選択ください。
      費  用：無料（事前登録制）

    参考文献 (日本語)
      TCG 日本支部（TCG Japan Regional Forum）
      第13回TCG日本支部公開ワークショップ
      https://trustedcomputinggroup.org/work-groups/regional-forums/japan/jrfworkshop/


――――――――――――――――――――――――――――――――――――――
■JPCERT/CCからのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下のURLからご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下のURLを参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

-----BEGIN PGP SIGNATURE-----

iQIcBAEBCAAGBQJiu5S2AAoJEDoQgdvpn3qqABsP/jVxDnDo7xIZmEDeEEvAqnBc
Qsp+nZbLg1CZu0SZksh+Vnkq4pT3tzphQ2vHgKXJYp+HhFCkGZzkIUxLeLRYHlfu
G3LD4TLYeAbqt0duNDIgZzYEaF/QakoYkRCkk1/lkHbTDQf63eypPtef9h13sdOw
dlZwj9mEyK3kN7SVQRV+5vgv1Eg3t+XQBlA/gyd5g9h23CMpxMQ4KkGYBg2VZDKn
9bqVTZ9Sr/zCJIH9GqsEmJBo1TjH0LVHk/yOK6dyk7o4XErKbqb8xkht7YCUdo/x
giF7RK0pK5nqLcxvla0CLqQm9h26/wKzGoUBlUS5GHgk9zn8ZitcFZt2f7L1VUhi
R6Svp+q0mSI0UajF6QOFC6lLlpBD4wwi7O8s2Ql7PcECOYI0GMCXyYT5SPgFuhaS
/SPxGAGFfG+qzUDcaD8ste9vAoPGwjJ7q7xUBdoNmheoCXowsIcGghY0tKVj27uG
O2PQWOBEuOUmwARhYywE9+H0JsX418czKwn+L0C455pe9xgEySwaYr6TtRNcuwBW
UuFQzEKVoR+dGDyZdsccidGLbbeDmof4sR7gTrrmD+YJkHl9J8Oagsg9uvZXZn3i
lx8bCjJ7htEyjy0AJvkzlrnHcMppGfG9TZEhbfnMaQ4stEXrmjNhaHAotJfTD+ft
Erk8o3bIMG9ftVf9E5sA
=4reQ
-----END PGP SIGNATURE-----