<<< JPCERT/CC WEEKLY REPORT 2022-03-30 >>>
■03/20(日)〜03/26(土) のセキュリティ関連情報
目 次
【1】Google Chromeに型の取り違えの脆弱性
【2】VMware Carbon Black App Controlに複数の脆弱性
【3】Drupalのサードパーティライブラリに脆弱性
【4】Netcommunity OG410XおよびOG810XシリーズにOSコマンドインジェクションの脆弱性
【今週のひとくちメモ】IPAが「情報セキュリティ対策ベンチマーク」Ver.5.1診断データの統計情報を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr221301.txt
https://www.jpcert.or.jp/wr/2022/wr221301.xml
【1】Google Chromeに型の取り違えの脆弱性
情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/28/google-releases-security-updates-chrome
概要
Google Chromeには、型の取り違えの脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 99.0.4844.84より前のバージョン この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新 することで解決します。詳細は、Googleが提供する情報を参照してください。
関連文書 (英語)
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/03/stable-channel-update-for-desktop_25.html
【2】VMware Carbon Black App Controlに複数の脆弱性
情報源
CISA Current Activity
VMware Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/24/vmware-releases-security-updates
概要
VMware Carbon Black App Controlには、複数の脆弱性があります。結果とし て、管理画面にアクセス可能な遠隔のユーザーが、不正な入力をして任意のコ マンドを実行したり、細工したファイルをアップロードして任意のコードを実 行したりする可能性があります。 対象となる製品は次のとおりです。 - VMware Carbon Black App Control(AppC) この問題は、当該製品をVMwareが提供する修正済みのバージョンに更新するこ とで解決します。詳細は、VMwareが提供する情報を参照してください。
関連文書 (英語)
VMware
VMSA-2022-0008
https://www.vmware.com/security/advisories/VMSA-2022-0008.html
【3】Drupalのサードパーティライブラリに脆弱性
情報源
CISA Current Activity
Drupal Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/22/drupal-releases-security-updates
概要
Drupalが使用するGuzzleライブラリには、脆弱性があります。結果として、第 三者がヘッダーに任意の値を設定する可能性があります。 対象となるバージョンは次のとおりです。 - Drupal 9.3.9より前の9.3系バージョン - Drupal 9.2.16より前の9.2系バージョン この問題は、該当する製品をDrupalが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Drupalが提供する情報を参照してください。
関連文書 (英語)
Drupal
Drupal core - Moderately critical - Third-party libraries - SA-CORE-2022-006
https://www.drupal.org/sa-core-2022-006
【4】Netcommunity OG410XおよびOG810XシリーズにOSコマンドインジェクションの脆弱性
情報源
Japan Vulnerability Notes JVNVU#94900322
Netcommunity OG410XおよびOG810XシリーズにおけるOSコマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU94900322/
概要
東日本電信電話株式会社および西日本電信電話株式会社が提供するVoIPゲート ウェイ/事業所向けひかり電話対応アダプターOG410XおよびOG810Xシリーズに は、脆弱性があります。結果として、管理画面にログイン可能な第三者が任意 のコマンドを実行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - VoIPゲートウェイ Netcommunity OG410Xa、OG410Xi、OG810Xa、OG810Xi ファームウェアVer.2.28およびそれ以前のバージョン - 事業所向けひかり電話対応アダプター Netcommunity OG410Xa、OG410Xi、OG810Xa、OG810Xi ファームウェアVer.2.28およびそれ以前のバージョン この問題は、該当する製品を東日本電信電話株式会社および西日本電信電話株 式会社が提供する修正済みのバージョンに更新することで解決します。詳細は、 東日本電信電話株式会社および西日本電信電話株式会社が提供する情報を参照 してください。
関連文書 (日本語)
東日本電信電話株式会社
Netcommunity OG410X810Xシリーズをご利用のお客さまへ
https://business.ntt-east.co.jp/topics/2022/03_22.html西日本電信電話株式会社
「Netcommunity OG410X810Xシリーズ」をご利用のお客さまへ
https://www.ntt-west.co.jp/smb/kiki_info/info/220322.html
■今週のひとくちメモ
○IPAが「情報セキュリティ対策ベンチマーク」Ver.5.1診断データの統計情報を公開
2022年3月22日、独立行政法人情報処理推進機構(IPA)は、「情報セキュリティ 対策ベンチマーク」Ver.5.1診断データの統計情報を公開しました。情報セキュ リティ対策ベンチマークは、Webページ上の質問に答えることで、組織の情報 セキュリティへの取組状況を自己診断するツールです。本統計情報は2010年4月 1日から2021年12月31日までの診断データに関する統計情報となっています。
参考文献 (日本語)
独立行政法人情報処理推進機構
情報セキュリティ対策ベンチマークVer.5.1について
https://security-shien.ipa.go.jp/diagnosis/
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/