-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2022-3601 JPCERT/CC 2022-09-14 <<< JPCERT/CC WEEKLY REPORT 2022-09-14 >>> ―――――――――――――――――――――――――――――――――――――― ■09/04(日)〜09/10(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数のCisco製品に脆弱性 【2】Movable Type用プラグインA-Formにクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】フィッシング対策協議会が「各ブラウザーによるSSL/TLSサーバー証明書の表示の違い」を更新 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2022/wr223601.html https://www.jpcert.or.jp/wr/2022/wr223601.xml ============================================================================ 【1】複数のCisco製品に脆弱性 情報源 CISA Current Activity Cisco Releases Security Updates for Multiple Products https://www.cisa.gov/uscert/ncas/current-activity/2022/09/08/cisco-releases-security-updates-multiple-products 概要 複数のCisco製品には、影響度Highを含む複数の脆弱性があります。結果とし て、隣接するネットワーク上の第三者が構成を変更するなどの可能性がありま す。 影響度Highの脆弱性情報に記載されている製品は次のとおりです。 - Cisco SD-WAN vManage Software - Cisco Catalyst 8000V Edge Software - Adaptive Security Virtual Appliance (ASAv) - Secure Firewall Threat Defense Virtual (formerly FTDv) 上記製品以外にも、影響度Mediumの脆弱性情報が公開されています。詳細は Ciscoが提供する情報を参照してください。 この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Ciscoが提供するアドバイザリ情報を参照して ください。 関連文書 (英語) Cisco Cisco Security Advisories https://tools.cisco.com/security/center/publicationListing.x Cisco Cisco SD-WAN vManage Software Unauthenticated Access to Messaging Services Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vmanage-msg-serv-AqTup7vs Cisco Vulnerability in NVIDIA Data Plane Development Kit Affecting Cisco Products: August 2022 https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-mlx5-jbPCrqD8 【2】Movable Type用プラグインA-Formにクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#48120704 Movable Type 用プラグイン A-Form におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN48120704/ 概要 Movable Type用プラグインA-Formには、クロスサイトスクリプティングの脆弱 性があります。結果として、当該プラグインを使用しているサイトにアクセス したユーザーのWebブラウザー上で、任意のスクリプトを実行される可能性が あります。 対象となるバージョンは次のとおりです。 - A-Form 4.1.1より前のバージョン(Movable Type 7系用) - A-Form 3.9.1より前のバージョン(Movable Type 6系用) なお、開発者によると、A-FormはA-Member、A-Reserve、A-Memberサブスクリ プションパックにも同梱されているとのことです。 この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) 株式会社アークウェブ MTプラグインAシリーズ:新バージョン4.1.1/3.9.1(脆弱性対応版)リリースのお知らせ https://www.ark-web.jp/blog/archives/2022/09/a-series-411-391.html 株式会社アークウェブ リリースノート:A-Form PC 4.1.1/3.9.1, A-Member 4.1.1/3.9.1, A-Reserve 4.1.1/3.9.1, A-Memberサブスクリプションパック 1.005 https://www.ark-web.jp/movabletype/blog/2022/09/a-series-411-391.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○フィッシング対策協議会が「各ブラウザーによるSSL/TLSサーバー証明書の表示の違い」を更新 2022年9月6日、フィッシング対策協議会は、各ブラウザーによるSSL/TLSサーバー 証明書の表示の違いに関するお知らせを更新しました。本お知らせでは、主要 ブラウザーのバージョンアップおよびMicrosoft Internet Explorer(IE)バー ジョン11が2022年6月15日をもってサポートが終了したことを受け、各ブラウ ザーによるサーバー証明書の表示の違いについて説明しています。また、ブラ ウザーの表示に対して適切な認識を持ち、証明書確認サービスを利用すること で証明書の種類やWebサイトに掲載されている情報に疑わしい点がないか確認 を行うことをお勧めしています。 参考文献 (日本語) フィッシング対策協議会 【更新】 各ブラウザーによる SSL / TLS サーバー証明書の表示の違い (2022/09/06) https://www.antiphishing.jp/news/info/_ssl_20220906.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CCからのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下のURLからご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下のURLを参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJjIRkVAAoJEDoQgdvpn3qqEDkP/0lgZRvAfz6kpkejKyr40opP BjFpYJTyNU5zHHJT2BJ7hIJZU3NXTqoLe24chak+TIurMAxj88pRUy++X5ckQ/pH 8K4bLWSAi+ak4K0xMGclz+IDnnu4EDC8Ksl+5E92Aji0SJdshil8+QCPAqqTF886 4cQPko/oDRkib0ht/51NfBGSdJz+o7a5gfQQLxMom/Celtq7QIneAyCEh/oQ6m6P 6UlE8yzKLB3jNz8fd6K4SZTLHGhHuehLsOyeLIXaejsNrYeNsN9h27sQw6/sIzUj G+Lq5SDJg4LTAKgui+ZLqkPfL/5tSzKrPKNTqooLpuNW6O30L7xMBkw95hMdcDCz Zf+5uoFinPvm+eaI4bqLXoKSnJ7kayFKYC9YOegfL1YbJ3ExIAH+82etA+MF61z6 M5VlatmZYDeMHq36RSZ3g+bnJQXhFnJRl9GXdZ5fgirbwH4U9LdTJVE8rzVqb/KZ eAHmYUPxkJQPi8WrV16cL15bhSq2UP6BuCQLt09TK76OIWn27RBy8eL+BBvuZnsA ntSe3vwhQyA+BhtXlZU5IJpMzpDx4DnqGfhfYqyCeHrX2LV7td/D4QJaC+eb7gz3 WA0GPG/i9ZchbNZ4wFQyKxxLHqYUdWs9Gq1q6qjnv18Ef+t83I+3ea2fvH6z7/jf YpLRUPnKKx8QptudV2T2 =QDbU -----END PGP SIGNATURE-----