<<< JPCERT/CC WEEKLY REPORT 2021-10-13 >>>
■10/03(日)〜10/09(土) のセキュリティ関連情報
目 次
【1】Apache HTTP Serverにディレクトリトラバーサルの脆弱性
【2】複数のCisco製品に脆弱性
【3】複数のMozilla製品に脆弱性
【4】スマートフォンアプリ「Nike」における Custom URL Scheme の処理にアクセス制限不備の脆弱性
【今週のひとくちメモ】NOTICEの取組改善に向けた調査協力のお願いについて
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr214001.txt
https://www.jpcert.or.jp/wr/2021/wr214001.xml
【1】Apache HTTP Serverにディレクトリトラバーサルの脆弱性
情報源
Japan Vulnerability Notes JVN#51106450
Apache HTTP Server におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN51106450/
概要
Apache HTTP Serverには、ディレクトリトラバーサルの脆弱性があります。結 果として、遠隔の第三者が、ドキュメントルート外に置かれたアクセスを適切 に制限されていないファイルにアクセスするなどの可能性があります。 対象となるバージョンは次のとおりです。 バージョン - Apache HTTP Server2.4.49および2.4.50 この問題は、該当する製品をThe Apache Software Foundationが提供する修正 済みのバージョンに更新することで解決します。詳細は、The Apache Software Foundationが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC注意喚起
Apache HTTP Serverのパストラバーサルの脆弱性(CVE-2021-41773)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210043.html
関連文書 (英語)
The Apache Software Foundation
Fixed in Apache HTTP Server 2.4.51
https://httpd.apache.org/security/vulnerabilities_24.html#2.4.51CISA Current Activity
Apache Releases HTTP Server version 2.4.51 to Address Vulnerabilities Under Exploitation
https://us-cert.cisa.gov/ncas/current-activity/2021/10/07/apache-releases-http-server-version-2451-address-vulnerabilities
【2】複数のCisco製品に脆弱性
情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/10/07/cisco-releases-security-updates-multiple-products
概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が権限 を昇格するなどの可能性があります。 対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ 情報を参照してください。 この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Ciscoが提供する情報を参照してください。
関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x
【3】複数のMozilla製品に脆弱性
情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox and Firefox ESR
https://us-cert.cisa.gov/ncas/current-activity/2021/10/06/mozilla-releases-security-updates-firefox-and-firefox-esr
概要
複数のMozilla製品には、脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Mozilla Firefox 93より前のバージョン - Mozilla Firefox ESR 91.2より前のバージョン - Mozilla Firefox ESR 78.15より前のバージョン この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新 することで解決します。詳細は、Mozillaが提供する情報を参照してください。
関連文書 (英語)
Mozilla
Mozilla Foundation Security Advisory 2021-43
https://www.mozilla.org/en-US/security/advisories/mfsa2021-43/Mozilla
Mozilla Foundation Security Advisory 2021-44
https://www.mozilla.org/en-US/security/advisories/mfsa2021-44/Mozilla
Mozilla Foundation Security Advisory 2021-45
https://www.mozilla.org/en-US/security/advisories/mfsa2021-45/
【4】スマートフォンアプリ「Nike」における Custom URL Scheme の処理にアクセス制限不備の脆弱性
情報源
Japan Vulnerability Notes JVN#89126639
スマートフォンアプリ「Nike」における Custom URL Scheme の処理にアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN89126639/
概要
Nike, Inc.が提供するスマートフォンアプリ「Nike」には、Custom URL Scheme を利用した機能においてアクセス制限不備の脆弱性があります。結果として、 遠隔の第三者が、当該製品を経由し、任意のWebサイトにアクセスを誘導する 可能性があります。 対象となるバージョンは次のとおりです。 バージョン - Androidアプリ「Nike」バージョン2.177より前のバージョン - iOSアプリ「Nike」バージョン2.177.1より前のバージョン この問題は、該当する製品をNike, Inc.が提供する修正済みのバージョンに更 新することで解決します。詳細はNike, Inc.が提供する情報を参照してくださ い。
■今週のひとくちメモ
○NOTICEの取組改善に向けた調査協力のお願いについて
総務省、国立研究開発法人情報通信研究機構(NICT)および一般社団法人ICT-ISAC は、2021年10月4日に「サイバー攻撃に悪用される恐れのあるIoT機器の利用者 への注意喚起の取組改善に向けた調査への協力のお願い」を公開しました。 インターネットサービスプロバイダ(ISP)と連携し、サイバー攻撃に悪用される 恐れのあるIoT機器の調査および当該機器の利用者への注意喚起を行う取組 「NOTICE(National Operation Towards IoT Clean Environment)」の取組改 善の調査を実施します。2021年10月から12月にかけて、通知対象者に対して、 注意喚起の内容など効果的な注意の伝え方などを電話による調査をするとのこ とです。
参考文献 (日本語)
一般社団法人ICT-ISAC
サイバー攻撃に悪用されるおそれのあるIoT機器の利用者への注意喚起の取組改善に向けた調査への協力のお願い
https://www.ict-isac.jp/news/news20211004.html
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/