<<< JPCERT/CC WEEKLY REPORT 2022-06-29 >>>
■06/19(日)〜06/25(土) のセキュリティ関連情報
目 次
【1】Google Chromeに複数の脆弱性
【2】複数のCitrix製品に脆弱性
【3】Apache Tomcatのexamplesにクロスサイトスクリプティングの脆弱性
【4】OpenSSLのc_rehashスクリプトにコマンドインジェクションの脆弱性
【5】web2pyにオープンリダイレクトの脆弱性
【6】L2Blockerセンサー設定画面に認証回避の脆弱性
【今週のひとくちメモ】「第13回TCG日本支部公開ワークショップ」開催のお知らせ
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr222501.txt
https://www.jpcert.or.jp/wr/2022/wr222501.xml
【1】Google Chromeに複数の脆弱性
情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://www.cisa.gov/uscert/ncas/current-activity/2022/06/22/google-releases-security-updates-chrome
概要
Google Chromeには、複数の脆弱性があります。 対象となる製品は次のとおりです。 - Google Chrome 103.0.5060.53より前のバージョン この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新 することで解決します。詳細は、Googleが提供する情報を参照してください。
関連文書 (英語)
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/06/stable-channel-update-for-desktop_21.html
【2】複数のCitrix製品に脆弱性
情報源
CISA Current Activity
Citrix Releases Security Updates for Hypervisor
https://www.cisa.gov/uscert/ncas/current-activity/2022/06/24/citrix-releases-security-updates-hypervisor
概要
複数のCitrix製品には、脆弱性があります。結果として、ゲストVM上の第三者 が権限を昇格し、ホストシステム全体を制御するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Citrix Hypervisor 8.2 CU1 LTSR - Citrix XenServer 7.1 CU2 LTSR この問題は、該当する製品にCitrixが提供するhotfixを適用することで解決し ます。詳細は、Citrixが提供する情報を参照してください。
関連文書 (英語)
Citrix
Citrix Hypervisor Security Update
https://support.citrix.com/article/CTX460064/citrix-hypervisor-security-update
【3】Apache Tomcatのexamplesにクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVNVU#92304549
Apache Tomcatのexamplesにおけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/vu/JVNVU92304549/
概要
Apache Tomcatのexamples Webアプリケーション内のフォーム認証サンプルに は、クロスサイトスクリプティングの脆弱性があります。結果として、当該サン プルを使用したサイトにアクセスしたユーザーのWebブラウザー上で、任意の スクリプトを実行される可能性があります。 対象となるバージョンは次のとおりです。 - Apache Tomcat 10.1.0-M1から10.1.0-M16までのバージョン - Apache Tomcat 10.0.0-M1から10.0.22までのバージョン - Apache Tomcat 9.0.30から9.0.64までのバージョン - Apache Tomcat 8.5.50から8.5.81までのバージョン この問題について、開発者は本脆弱性を修正するバージョンのリリースを予定 しています。詳細や最新の情報は、開発者が提供する情報を参照してください。
関連文書 (英語)
The Apache Software Foundation
Fixed in Apache Tomcat 10.1.0-M17
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.0-M17The Apache Software Foundation
Fixed in Apache Tomcat 10.0.23
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.23The Apache Software Foundation
Fixed in Apache Tomcat 9.0.65
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.65The Apache Software Foundation
Fixed in Apache Tomcat 8.5.82
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.82
【4】OpenSSLのc_rehashスクリプトにコマンドインジェクションの脆弱性
情報源
Japan Vulnerability Notes JVNVU#92867820
OpenSSLのc_rehashスクリプトにおけるコマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU92867820/
概要
OpenSSLのc_rehashスクリプトには、シェルのメタ文字を適切にサニタイズし ていない問題があります。結果として、c_rehashスクリプトが自動的に実行さ れる一部のオペレーティングシステムで、第三者がスクリプトの実行権限で任 意のコマンドを実行する可能性があります。 対象となるバージョンは次のとおりです。 - OpenSSL 3.0.4より前のバージョン - OpenSSL 1.1.1pより前のバージョン - OpenSSL 1.0.2zfより前のバージョン なお、OpenSSL 1.1.0はサポートが終了しているため、本脆弱性の評価を実施 していないとのことです。 この問題は、該当する製品をOpenSSL Projectが提供する修正済みのバージョン に更新することで解決します。詳細は、OpenSSL Projectが提供する情報を参 照してください。
関連文書 (英語)
OpenSSL Project
OpenSSL Security Advisory [21 June 2022]
https://www.openssl.org/news/secadv/20220621.txt
【5】web2pyにオープンリダイレクトの脆弱性
情報源
Japan Vulnerability Notes JVN#02158640
web2py におけるオープンリダイレクトの脆弱性
https://jvn.jp/jp/JVN02158640/
概要
web2pyには、オープンリダイレクトの脆弱性があります。結果として、細工さ れたURLにアクセスすることで、任意のWebサイトにリダイレクトされる可能性 があります。 対象となるバージョンは次のとおりです。 - web2py 2.22.5より前のバージョン この問題は、web2pyを開発者が提供する修正済みのバージョンに更新すること で解決します。詳細は、開発者が提供する情報を参照してください。
【6】L2Blockerセンサー設定画面に認証回避の脆弱性
情報源
Japan Vulnerability Notes JVN#51464799
L2Blockerセンサー設定画面における認証回避の脆弱性
https://jvn.jp/jp/JVN51464799/
概要
株式会社ソフトクリエイトが提供するL2Blockerには、認証回避の脆弱性があ ります。結果として、当該製品にアクセスできる第三者が不正にログインし、 当該製品内の情報を窃取するなどの可能性があります。 対象となるバージョンは次のとおりです。 - L2Blockerオンプレミス版 Ver4.8.5およびそれ以前のバージョン - L2Blockerクラウド版 Ver4.8.5およびそれ以前のバージョン 開発者によると、すでにサポート終了をした3系以前のバージョンも本脆弱性 の影響を受けるとのことです。 この問題は、該当する製品を株式会社ソフトクリエイトが提供する修正済みの バージョンに更新することで解決します。詳細は、株式会社ソフトクリエイト が提供する情報を参照してください。
関連文書 (日本語)
株式会社ソフトクリエイト
L2Blockerセンサー設定画面における、認証回避の脆弱性
https://www.softcreate.co.jp/news/detail/210
■今週のひとくちメモ
○「第13回TCG日本支部公開ワークショップ」開催のお知らせ
2022年7月8日(金)、「第13回TCG日本支部公開ワークショップ」が開催され ます。TCG日本支部が主催する本イベントは「進化する環境で広がるIoTをセキュ アにつなげるTCG技術〜セキュアエレメントからリモートアテステーションま で、IoT機器の更なる強化へ」をテーマに講演やパネルディスカッションが行 われます。JPCERT/CCは本イベントの運営に協力しています。参加には事前申 し込みが必要です。 日 時:2022年7月8日(金)13:15-17:00日本時間(Zoom入室受付13:00〜、開演13:15) 主 催:TCG 日本支部(TCG Japan Regional Forum) 形 式:オンライン(Zoom Webinar)+ 30名程度会場参加(品川) ※申込時にご希望の参加形式をご選択ください。 費 用:無料(事前登録制)
参考文献 (日本語)
TCG 日本支部(TCG Japan Regional Forum)
第13回TCG日本支部公開ワークショップ
https://trustedcomputinggroup.org/work-groups/regional-forums/japan/jrfworkshop/
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/