<<< JPCERT/CC WEEKLY REPORT 2021-10-06 >>>
■09/26(日)〜10/02(土) のセキュリティ関連情報
目 次
【1】SonicWall SMA 100シリーズ製品にアクセス制限不備の脆弱性
【2】Hikvision製ネットワークカメラ製品にコマンドインジェクションの脆弱性
【3】Google Chromeに複数の脆弱性
【4】複数のトレンドマイクロ製品に脆弱性
【5】サイボウズ リモートサービスに複数の脆弱性
【6】WordPress用プラグインOG Tagsにクロスサイトリクエストフォージェリの脆弱性
【7】スマートフォンアプリ「InBody」に情報漏えいの脆弱性
【8】iOSアプリ「スニーカーダンク スニーカーフリマアプリ」にサーバー証明書の検証不備の脆弱性
【今週のひとくちメモ】総務省が「クラウドサービス提供における情報セキュリティ対策ガイ ドライン(第3版)」(案)に対する意見募集の結果および「クラウドサービ ス提供における情報セキュリティ対策ガイドライン(第3版)」の公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr213901.txt
https://www.jpcert.or.jp/wr/2021/wr213901.xml
【1】SonicWall SMA 100シリーズ製品にアクセス制限不備の脆弱性
情報源
SonicWall
Unauthenticated SMA100 arbitrary file delete vulnerability
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0021
概要
SonicWall SMA 100シリーズには、アクセス制限不備の脆弱性があります。結 果として、遠隔の第三者が任意のファイルを削除するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 製品 - SMA 200 - SMA 210 - SMA 400 - SMA 410 - SMA 500v(ESX, KVM, AWS, Azure) バージョン - 10.2.1.0-17svおよびそれ以前 - 10.2.0.7-34svおよびそれ以前 - 9.0.0.10-28svおよびそれ以前 この問題は、該当する製品をSonicWallが提供する修正済みのバージョンに更 新することで解決します。詳細は、SonicWallが提供する情報を参照してくだ さい。
関連文書 (日本語)
JPCERT/CC注意喚起
SonicWall製のSMA100シリーズの脆弱性(CVE-2021-20034)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210042.html
関連文書 (英語)
SonicWall
Security Notice: Critical Arbitrary File Delete Vulnerability in SonicWall SMA 100 Series Appliances
https://www.sonicwall.com/support/product-notification/security-notice-critical-arbitrary-file-delete-vulnerability-in-sonicwall-sma-100-series-appliances/210913034617403/
【2】Hikvision製ネットワークカメラ製品にコマンドインジェクションの脆弱性
情報源
CISA Current Activity
RCE Vulnerability in Hikvision Cameras (CVE-2021-36260)
https://us-cert.cisa.gov/ncas/current-activity/2021/09/28/rce-vulnerability-hikvision-cameras-cve-2021-36260JPCERT/CC CyberNewsFlash
Hikvision製ネットワークカメラの脆弱性(CVE-2021-36260)について
https://www.jpcert.or.jp/newsflash/2021093001.html
概要
Hikvision製のネットワークカメラ製品には、コマンドインジェクションの脆 弱性があります。結果として、遠隔の第三者が、任意のコマンドを実行する可 能性があります。 対象となる製品は、多岐にわたります。詳細はHikvisionが提供するアドバイ ザリ情報を参照してください。 この問題は、該当する製品をHikvisionが提供する修正済みのファームウェア に更新することで解決します。詳細はHikvisionのアドバイザリの情報を参照 してください。
関連文書 (日本語)
Hikvision
重要な製品のファームウェア更新についてのお知らせ
https://www.hikvision.com/jp/support/cybersecurity/security-advisory/security-notification-command-injection-vulnerability-in-some-hikvision-products/important-product-firmware-update/Hikvision
セキュリティ強化に関するお知らせ 一部のHikvision製品におけるコマンドインジェクションの脆弱性
https://www.hikvision.com/jp/support/cybersecurity/security-advisory/security-notification-command-injection-vulnerability-in-some-hikvision-products/security-notification-command-injection-vulnerability-in-some-hikvision-products/
【3】Google Chromeに複数の脆弱性
情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/10/01/google-releases-security-updates-chrome
概要
Google Chromeには、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 94.0.4606.71より前のバージョン この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新 することで解決します。詳細は、Googleが提供する情報を参照してください。
関連文書 (英語)
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/09/stable-channel-update-for-desktop_30.html
【4】複数のトレンドマイクロ製品に脆弱性
情報源
Japan Vulnerability Notes JVNVU#99718667
トレンドマイクロ製スマートホームスキャナー (Windows版) における権限昇格の脆弱性
https://jvn.jp/vu/JVNVU99718667/Japan Vulnerability Notes JVNVU#99520559
トレンドマイクロ製ServerProtectにおける認証回避の脆弱性
https://jvn.jp/vu/JVNVU99520559/
概要
複数のトレンドマイクロ製品には、脆弱性があります。結果として、遠隔の第 三者が認証を回避するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - スマートホームスキャナー(Windows版)バージョン番号 5.3.1225およびそれ以前 - ServerProtect for Windows 5.8(Build 1575)より前のバージョン - ServerProtect for NetApp 5.8(Build 1299)より前のバージョン - ServerProtect for EMC Celerra 5.8(Build 1577)より前のバージョン - ServerProtect for Storage 6.0(Build 1284)より前のバージョン この問題は、トレンドマイクロ株式会社が提供する修正済みのバージョンに更 新することで解決します。詳細は、トレンドマイクロ株式会社が提供する情報 を参照してください。
関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ:スマートホームスキャナー(Windows版)の脆弱性について (CVE-2021-32466)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10621トレンドマイクロ株式会社
アラート/アドバイザリ:ServerProtect における認証バイパスの脆弱性について
https://success.trendmicro.com/jp/solution/000289030
【5】サイボウズ リモートサービスに複数の脆弱性
情報源
Japan Vulnerability Notes JVN#52694228
サイボウズ リモートサービスにおける複数の脆弱性
https://jvn.jp/jp/JVN52694228/
概要
サイボウズ リモートサービスには、複数の脆弱性があります。結果として、 遠隔の第三者が情報を改ざんするなどの可能性があります。 対象となるバージョンは次のとおりです。 - サイボウズ リモートサービス 3.0.0から3.1.9まで この問題は、サイボウズ株式会社が提供する修正済みのバージョンに更新する ことで解決します。詳細は、サイボウズ株式会社が提供する情報を参照してく ださい。
関連文書 (日本語)
サイボウズ株式会社
サイボウズ リモートサービス 4 脆弱性に関するお知らせ
https://cs.cybozu.co.jp/2021/007503.html
【6】WordPress用プラグインOG Tagsにクロスサイトリクエストフォージェリの脆弱性
情報源
Japan Vulnerability Notes JVN#29428319
WordPress 用プラグイン OG Tags におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN29428319/
概要
WordPress用プラグインOG Tagsには、クロスサイトリクエストフォージェリの 脆弱性が存在します。結果として、当該製品に管理者権限でログインした状態 のユーザーが、細工されたページにアクセスした場合、意図しない操作をさせ られる可能性があります。 対象となるバージョンは次のとおりです。 - OG Tags 2.0.2より前のバージョン この問題は、該当する製品をMario Valneyが提供する修正済みのバージョンに 更新することで解決します。詳細は、Mario Valneyが提供する情報を参照して ください。
関連文書 (日本語)
Mario Valney
OG Tags
https://ja.wordpress.org/plugins/og-tags/
【7】スマートフォンアプリ「InBody」に情報漏えいの脆弱性
情報源
Japan Vulnerability Notes JVN#63023305
スマートフォンアプリ「InBody」における情報漏えいの脆弱性
https://jvn.jp/jp/JVN63023305/
概要
スマートフォンアプリ「InBody」には、情報漏えいの脆弱性が存在します。こ の問題は、当該アプリが体組成計InBody Dialと連動し、測定結果をアプリに 転送する際に、特定の条件下において情報漏えいが発生する可能性があります。 対象となるバージョンは次のとおりです。 - iOSアプリ「InBody」バージョン 2.3.30より前のバージョン - Androidアプリ「InBody」バージョン 2.2.90(510)より前のバージョン この問題は、該当する製品を株式会社インボディ・ジャパンが提供する修正済 みのバージョンに更新することで解決します。詳細は、株式会社インボディ・ ジャパンが提供する情報を参照してください。
関連文書 (日本語)
株式会社インボディ・ジャパン
InBody Dial セキュリティ強化のためのアプリアップデートのご案内
https://www.inbody.co.jp/inbody-news/?uid=55&mod=document&pageid=1
【8】iOSアプリ「スニーカーダンク スニーカーフリマアプリ」にサーバー証明書の検証不備の脆弱性
情報源
Japan Vulnerability Notes JVN#10168753
iOS アプリ「スニーカーダンク スニーカーフリマアプリ」におけるサーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN10168753/
概要
iOSアプリ「スニーカーダンク スニーカーフリマアプリ」には、サーバー証明 書の検証不備の脆弱性があります。結果として、遠隔の第三者によって、通信 内容の取得や改ざんなどが行われる可能性があります。 対象となるバージョンは次のとおりです。 - iOSアプリ「スニーカーダンク スニーカーフリマアプリ」バージョン2.2.0より前のバージョン この問題は、株式会社SODAが提供する修正済みのバージョンに更新することで 解決します。詳細は、株式会社SODAが提供する情報を参照してください。
関連文書 (日本語)
株式会社SODA
iOS版におけるSSLサーバ証明書の検証不備の脆弱性 修正完了のお知らせ
https://snkrdunk.com/information/37/
■今週のひとくちメモ
○総務省が「クラウドサービス提供における情報セキュリティ対策ガイ ドライン(第3版)」(案)に対する意見募集の結果および「クラウドサービ ス提供における情報セキュリティ対策ガイドライン(第3版)」の公開
総務省は、2021年7月より意見募集をしていた「クラウドサービス提供におけ る情報セキュリティ対策ガイドライン(第3版)」(案)に関し、募集結果と あわせ、当ガイドラインを公開しました。旧版から、クラウドサービスにおけ る責任分界のあり方や国際規格等との整合性の観点から、さらなる内容の検討 を行い、反映させた内容として更新されています。
参考文献 (日本語)
総務省
「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」(案)に対する意見募集の結果及び「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」の公表
https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00121.html
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/