<<< JPCERT/CC WEEKLY REPORT 2021-03-24 >>>
■03/14(日)〜03/20(土) のセキュリティ関連情報
目 次
【1】Google Chromeに複数の脆弱性
【2】サイボウズ Officeに複数の脆弱性
【3】Cisco Small Business RV132WおよびRV134Wに脆弱性
【4】WordPress用プラグインPaid Memberships ProにSQLインジェクションの脆弱性
【5】富士ゼロックス製複合機およびプリンターにサービス運用妨害(DoS)の脆弱性
【今週のひとくちメモ】フィッシング対策協議会が「フィッシング詐欺のビジネスプロセス分類」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr211201.txt
https://www.jpcert.or.jp/wr/2021/wr211201.xml
【1】Google Chromeに複数の脆弱性
情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/03/15/google-releases-security-updates-chrome
概要
Google Chromeには、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 89.0.4389.90より前のバージョン この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新 することで解決します。詳細は、Googleが提供する情報を参照してください。
関連文書 (英語)
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/03/stable-channel-update-for-desktop_12.html
【2】サイボウズ Officeに複数の脆弱性
情報源
Japan Vulnerability Notes JVN#45797538
サイボウズ Office に複数の脆弱性
https://jvn.jp/jp/JVN45797538/
概要
サイボウズ株式会社が提供するサイボウズ Officeには、複数の脆弱性があり ます。結果として、当該製品にログイン可能なユーザーが、情報を窃取したり、 改ざんしたりするなどの可能性があります。 対象となるバージョンは次のとおりです。 - サイボウズ Office 10.0.0から10.8.4までのバージョン この問題は、サイボウズ Officeを開発者が提供する修正済みのバージョンに 更新することで解決します。詳細は、開発者が提供する情報を参照してくださ い。
関連文書 (日本語)
サイボウズ株式会社
サイボウズ Office 10 脆弱性に関するお知らせ
https://cs.cybozu.co.jp/2021/007306.html
【3】Cisco Small Business RV132WおよびRV134Wに脆弱性
情報源
CISA Current Activity
Cisco Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/03/18/cisco-releases-security-updates
概要
Cisco Small Business RV132WおよびRV134WのWebベース管理インタフェースに は、脆弱性があります。結果として、遠隔の第三者が、任意のコマンドを実行 したり、サービス運用妨害(DoS)攻撃を行ったりする可能性があります。 対象となるバージョンは次のとおりです。 - RV132W ADSL2+ Wireless-N VPN Routers ファームウェア 1.0.1.15より前のバージョン - RV134W VDSL2 Wireless-AC VPN Routers ファームウェア 1.0.1.21より前のバージョン この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Ciscoが提供する情報を参照してください。
関連文書 (英語)
Cisco
Cisco Small Business RV132W and RV134W Routers Management Interface Remote Command Execution and Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-132w134w-overflow-Pptt4H2p
【4】WordPress用プラグインPaid Memberships ProにSQLインジェクションの脆弱性
情報源
Japan Vulnerability Notes JVN#08191557
WordPress 用プラグイン Paid Memberships Pro における SQL インジェクションの脆弱性
https://jvn.jp/jp/JVN08191557/
概要
WordPress用プラグインPaid Memberships Proには、SQLインジェクションの脆 弱性があります。結果として、遠隔の第三者が、情報を窃取したり、改ざんし たりする可能性があります。 対象となるバージョンは次のとおりです。 - Paid Memberships Pro version 2.5.6より前のバージョン この問題は、Paid Memberships Proを開発者が提供する修正済みのバージョン に更新することで解決します。詳細は、開発者が提供する情報を参照してくだ さい。
関連文書 (英語)
Stranger Studios
PMPro Update 2.5.6
https://www.paidmembershipspro.com/pmpro-update-2-5-6/Stranger Studios
Paid Memberships Pro
https://wordpress.org/plugins/paid-memberships-pro/
【5】富士ゼロックス製複合機およびプリンターにサービス運用妨害(DoS)の脆弱性
情報源
Japan Vulnerability Notes JVN#37607293
富士ゼロックス製複合機およびプリンターにおけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN37607293/
概要
富士ゼロックス製複合機およびプリンターには、脆弱性があります。結果とし て、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となる製品は、多岐に渡ります。詳細は、富士ゼロックス株式会社が提供 する情報を参照してください。 この問題は、該当する製品を富士ゼロックス株式会社が提供する修正済みのバー ジョンに更新することで解決します。詳細は、富士ゼロックス株式会社が提供 する情報を参照してください。
関連文書 (日本語)
富士ゼロックス株式会社
弊社複合機・プリンターのサービス運用妨害(DoS)の脆弱性に関するお知らせ
https://www.fujixerox.co.jp/company/news/notice/2021/0319_announce.html
■今週のひとくちメモ
○フィッシング対策協議会が「フィッシング詐欺のビジネスプロセス分類」を公開
2021年3月16日、フィッシング対策協議会が、長崎県立大学との共同研究プロ ジェクトの活動成果の1つとして、学術論文「フィッシング詐欺のビジネスプ ロセス分類」を公開しました。 本研究では、フィッシング詐欺をビジネスであると定義し、その営利活動にお けるプロセスを分類した上で、2つの事例分析を実施しています。フィッシン グ詐欺の脅威分析や予測の参考にご活用ください。
参考文献 (日本語)
フィッシング対策協議会
「フィッシング詐欺のビジネスプロセス分類」を公開 (2021/03/16)
https://www.antiphishing.jp/news/info/collabo_20210316.html
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/