<<< JPCERT/CC WEEKLY REPORT 2021-11-25 >>>
■11/14(日)〜11/20(土) のセキュリティ関連情報
目 次
【1】Drupalにクロスサイトスクリプティングの脆弱性
【2】Google Chromeに複数の脆弱性
【3】rwtxtにクロスサイトスクリプティングの脆弱性
【4】WordPress用プラグインPush Notifications for WordPress (Lite)にクロスサイトリクエストフォージェリの脆弱性
【5】Data Distribution Serviceの実装における複数の脆弱性
【今週のひとくちメモ】フィッシング対策協議会が「フィッシング対策セミナー2021 講演資料」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr214601.txt
https://www.jpcert.or.jp/wr/2021/wr214601.xml
【1】Drupalにクロスサイトスクリプティングの脆弱性
情報源
CISA Current Activity
Drupal Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/11/18/drupal-releases-security-updates
概要
Drupalが使用するサードパーティライブラリCKEditorには、複数のクロスサイ トスクリプティングの脆弱性があります。結果として、当該製品を使用してい るサイトにアクセスしたユーザーのウェブブラウザー上で、任意のスクリプト を実行される可能性があります。 対象となるバージョンは次のとおりです。 - Drupal 9.2.9より前の9.2系バージョン - Drupal 9.1.14より前の9.1系バージョン - Drupal 8.9.20より前の8.9系バージョン この問題は、Drupalを開発者が提供する修正済みのバージョンに更新すること で解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (英語)
Drupal
Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2021-011
https://www.drupal.org/sa-core-2021-011
【2】Google Chromeに複数の脆弱性
情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/11/16/google-releases-security-updates-chrome
概要
Google Chromeには、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 96.0.4664.45より前のバージョン この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新 することで解決します。詳細は、Googleが提供する情報を参照してください。
関連文書 (英語)
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/11/stable-channel-update-for-desktop.html
【3】rwtxtにクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#22515597
rwtxt におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN22515597/
概要
Zack Schollが提供するコンテンツ管理システムであるrwtxtには、クロスサイ トスクリプティングの脆弱性があります。結果として、当該製品を使用してい るサイトにアクセスしたユーザーのウェブブラウザー上で、任意のスクリプト を実行される可能性があります。 対象となるバージョンは次のとおりです。 - rwtxt v1.8.6より前のバージョン この問題は、開発者が提供するアップデートを適用することで解決します。詳 細は、開発者が提供する情報を参照してください。
関連文書 (英語)
Zack Scholl
rwtxt
https://github.com/schollz/rwtxt
【4】WordPress用プラグインPush Notifications for WordPress (Lite)にクロスサイトリクエストフォージェリの脆弱性
情報源
Japan Vulnerability Notes JVN#85492429
WordPress 用プラグイン Push Notifications for WordPress (Lite) におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN85492429/
概要
Delite Studioが提供するWordPress用プラグインPush Notifications for WordPress (Lite)には、クロスサイトリクエストフォージェリの脆弱性があり ます。結果として、当該製品にログインした状態の管理者権限を持つユーザー が細工されたページにアクセスした場合、意図しない操作を行う可能性があり ます。 対象となるバージョンは次のとおりです。 - Push Notifications for WordPress (Lite) 6.0.1より前のバージョン この問題は、開発者が提供するアップデートを適用することで解決します。詳 細は、開発者が提供する情報を参照してください。
関連文書 (英語)
Delite Studio
Push Notifications for WordPress (Lite)
https://ja.wordpress.org/plugins/push-notifications-for-wp/Delite Studio
We make software
https://delitestudio.com/en/
【5】Data Distribution Serviceの実装における複数の脆弱性
情報源
CISA Current Activity
CISA Releases Advisory on Vulnerabilities in Multiple Data Distribution Service Implementations
https://us-cert.cisa.gov/ncas/current-activity/2021/11/12/cisa-releases-advisory-vulnerabilities-multiple-data-distribution
概要
Object Management Groupが提供するData Distribution Service(DDS)を実 装しているソフトウェアには、複数の脆弱性があります。結果として、遠隔の 第三者が任意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Eclipse:CycloneDDS 0.8.0より前のバージョン - eProsima:Fast DDS 2.4.0より前のバージョン - GurumNetworks:GurumDDSすべてのバージョン - Object Computing, Inc. (OCI):OpenDDS 3.18.1より前のバージョン - Real-Time Innovations (RTI):Connext DDS Professional、Connext DDS Secure バージョン4.2系から6.1.0 - Real-Time Innovations (RTI):Connext DDS Micro 3.0.0以降のバージョン - TwinOaks:Computing CoreDX DDS 5.9.1より前のバージョン この問題は、各開発者が提供するアップデートを適用することで解決します。 ただしGurumDDSは、2021年11月25日現在アップデートは提供されていません。 詳細は、各開発者が提供する情報を参照してください。
関連文書 (英語)
ICS Advisory (ICSA-21-315-02)
Multiple Data Distribution Service (DDS) Implementations
https://us-cert.cisa.gov/ics/advisories/icsa-21-315-02
■今週のひとくちメモ
○フィッシング対策協議会が「フィッシング対策セミナー2021 講演資料」を公開
2021年11月19日、フィッシング対策協議会は、先日オンラインで実施された フィッシング対策セミナー2021の講演資料を公開しました。 「暗号資産を狙うフィッシングの事例紹介と対策」や「フィッシング対策技術 とPKI」などの講演資料が公開されています。フィッシングの報告件数は、年 々増加傾向にあります。現状の把握や対策の実施にご参考ください。
参考文献 (日本語)
フィッシング対策協議会
フィッシング対策セミナー2021(オンライン)講演資料公開のお知らせ
https://www.antiphishing.jp/news/info/antiphishing_seminar2021.html
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/