-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


                                                         JPCERT-WR-2022-3101
                                                                   JPCERT/CC
                                                                  2022-08-10

            <<< JPCERT/CC WEEKLY REPORT 2022-08-10 >>>

――――――――――――――――――――――――――――――――――――――
■07/31(日)〜08/06(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】muhttpdにディレクトリトラバーサルの脆弱性
【2】複数のCisco製品に脆弱性
【3】複数のF5 Networks製品に脆弱性
【4】複数のVMware製品に脆弱性
【5】Kaitai Struct: compilerにサービス運用妨害（DoS）の脆弱性
【今週のひとくちメモ】連載「標準から学ぶICSセキュリティ」の初回を公表

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2022/wr223101.html
        https://www.jpcert.or.jp/wr/2022/wr223101.xml
============================================================================


【1】muhttpdにディレクトリトラバーサルの脆弱性

    情報源
      Japan Vulnerability Notes JVNVU#97753810
      muhttpdにおけるディレクトリトラバーサルの脆弱性
      https://jvn.jp/vu/JVNVU97753810/

    概要
      muhttpdには、ディレクトリトラバーサルの脆弱性があります。結果として、
      muhttpdが動作する機器にアクセス可能な第三者が、機器内の任意のファイル
      を窃取する可能性があります。

      対象となる製品およびバージョンは次のとおりです。

      - muhttpd バージョン 1.1.5およびそれ以前

      この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
      ることで解決します。詳細は、開発者が提供する情報を参照してください。
      また、muhttpdが動作する機器を提供するベンダの情報を適宜確認してくださ
      い。

    関連文書 (英語)
      SOURCEFORGE
      muhttpd
      https://sourceforge.net/projects/muhttpd/

      Derek Abdine
      Arris / Arris-variant DSL/Fiber router critical vulnerability exposure
      https://derekabdine.com/blog/2022-arris-advisory

      Software Engineering Institute
      muhttpd versions 1.1.5 and earlier are vulnerable to path traversal
      https://kb.cert.org/vuls/id/495801

【2】複数のCisco製品に脆弱性

    情報源
      CISA Current Activity
      Cisco Releases Security Updates for RV Series Routers
      https://www.cisa.gov/uscert/ncas/current-activity/2022/08/04/cisco-releases-security-updates-rv-series-routers

    概要
      複数のCisco製品には、複数の脆弱性があります。結果として、遠隔の第三者
      が当該製品上で任意のコードを実行するなどの可能性があります。

      影響を受けるバージョンは多岐にわたります。詳細は、Ciscoが提供するアド
      バイザリ情報を参照してください。

      この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
      ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

    関連文書 (英語)
      Cisco
      Cisco Small Business RV Series Routers Vulnerabilities
      https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sb-mult-vuln-CbVp4SUR

      Cisco
      Cisco Webex Meetings Web Interface Vulnerabilities
      https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-xss-frmhijck-kO3wmkuS

      Cisco
      Cisco Identity Services Engine Sensitive Information Disclosure Vulnerability
      https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-pwd-WH64AhQF

      Cisco
      Cisco Unified Communications Manager Arbitrary File Deletion Vulnerability
      https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-file-delete-N2VPmOnE

      Cisco
      Cisco BroadWorks Application Delivery Platform Software Cross-Site Scripting Vulnerability
      https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-broadworks-xss-xbhfr4cD

      Cisco
      Cisco Email Security Appliance and Cisco Secure Email and Web Manager External Authentication Bypass Vulnerability
      https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sma-esa-auth-bypass-66kEcxQD

【3】複数のF5 Networks製品に脆弱性

    情報源
      CISA Current Activity
      F5 Releases Security Updates
      https://www.cisa.gov/uscert/ncas/current-activity/2022/08/04/f5-releases-security-updates

    概要
      複数のF5 Networks製品には、複数の脆弱性があります。結果として、遠隔の
      第三者がサービス運用妨害（DoS）攻撃を行うなどの可能性があります。

      対象となる製品は、多岐にわたります。詳細はF5 Networksが提供するアドバ
      イザリ情報を参照してください。

      この問題は、該当する製品をF5 Networksが提供する修正済みのバージョンに
      更新することで解決します。詳細は、F5 Networksが提供する情報を参照して
      ください。

    関連文書 (英語)
      F5 Networks
      K14649763: Overview of F5 vulnerabilities (August 2022)
      https://support.f5.com/csp/article/K14649763

【4】複数のVMware製品に脆弱性

    情報源
      CISA Current Activity
      VMware Releases Security Updates
      https://www.cisa.gov/uscert/ncas/current-activity/2022/08/03/vmware-releases-security-updates-0

    概要
      複数のVMware製品には、脆弱性があります。結果として、遠隔の第三者が認証
      をバイパスすることで当該製品の管理者権限を取得し、任意のコードを実行す
      るなどの可能性があります。

      対象となる製品は次のとおりです。対象となるバージョンは多岐にわたります。
      詳細はVMwareが提供するアドバイザリ情報を参照してください。

       - VMware Workspace ONE Access (Access)
       - VMware Workspace ONE Access Connector (Access Connector)
       - VMware Identity Manager (vIDM)
       - VMware Identity Manager Connector (vIDM Connector)
       - VMware vRealize Automation (vRA)
       - VMware Cloud Foundation
       - vRealize Suite Lifecycle Manager

      この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
      るか、回避策を適用することで解決します。詳細は、VMwareが提供する情報を
      参照してください。


    関連文書 (英語)
      VMware
      VMSA-2022-0021
      https://www.vmware.com/security/advisories/VMSA-2022-0021.html

【5】Kaitai Struct: compilerにサービス運用妨害（DoS）の脆弱性

    情報源
      Japan Vulnerability Notes JVN#42883072
      Kaitai Struct: compiler におけるサービス運用妨害 (DoS) の脆弱性
      https://jvn.jp/jp/JVN42883072/

    概要
      Kaitai Struct: compilerには、サービス運用妨害（DoS）の脆弱性があります。
      結果として、遠隔の第三者からサービス運用妨害（DoS）攻撃を受ける可能性が
      あります。

      対象となるバージョンは次のとおりです。

      - Kaitai Struct: compiler 0.9およびそれ以前のバージョン

      この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
      ることで解決します。詳細は、開発者が提供する情報を参照してください。

    関連文書 (英語)
      github
      kaitai-io /kaitai_struct_compiler
      https://github.com/kaitai-io/kaitai_struct_compiler

      github
       	Update SnakeYAML to 1.29 (was 1.25: vulnerable to "billion laughs")
      https://github.com/kaitai-io/kaitai_struct_compiler/commit/50f80d7eca36983ca0b7f354d12656ec62e639eb


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○連載「標準から学ぶICSセキュリティ」の初回を公表

      2022年8月4日、JPCERT/CCは連載「標準から学ぶICSセキュリティ」の初回を公
      表しました。同連載では、産業用制御システム（ICS）の現場を担当されてい
      る方々や、ICSセキュリティ課題に関心をお持ちの方々に役立てていただくこ
      とを目的に、ICSセキュリティの国際標準であるIEC 62443シリーズおよびその
      中で定義されているセキュリティ概念を順次紹介していきます。

    参考文献 (日本語)
      JPCERT/CC Eyes
      連載「標準から学ぶICSセキュリティ」の初回を公表しました
      https://blogs.jpcert.or.jp/ja/2022/08/ics-sec-standards-01.html


――――――――――――――――――――――――――――――――――――――
■JPCERT/CCからのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下のURLからご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下のURLを参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

-----BEGIN PGP SIGNATURE-----
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=W2PR
-----END PGP SIGNATURE-----