« ■06/06(日)~06/12(土) のセキュリティ関連情報 | メイン | ■06/20(日)~06/26(土) のセキュリティ関連情報 »

2021年6月23日 (水)

■06/13(日)~06/19(土) のセキュリティ関連情報

目 次

【1】複数のEC-CUBE 3.0系用プラグインに複数のクロスサイトスクリプティングの脆弱性
【2】GROWIに複数の脆弱性
【3】複数のCisco製品に脆弱性
【4】Mozilla Firefoxに境界外読み取りの脆弱性
【5】Apache HTTP Web Serverに複数の脆弱性
【6】Google Chromeに複数の脆弱性
【7】myQNAPcloud Linkに重要な情報が安全に格納されていない脆弱性
【8】Apple iOSに複数の脆弱性
【9】Androidアプリ「あすけん」にアクセス制限不備の脆弱性
【10】Hitachi Application Serverヘルプにクロスサイトスクリプティングの脆弱性
【11】日立仮想ファイルプラットフォーム製品にOSコマンドインジェクションの脆弱性
【今週のひとくちメモ】「TRANSITS Workshop Online 2021 Summer」開催のお知らせ

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr212401.html
https://www.jpcert.or.jp/wr/2021/wr212401.xml
============================================================================


【1】複数のEC-CUBE 3.0系用プラグインに複数のクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#79254445
複数の ETUNA 製 EC-CUBE 用プラグインにおけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN79254445/

Japan Vulnerability Notes JVN#57524494
複数のイーシーキューブ製 EC-CUBE 用プラグインにおける複数のクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN57524494/

概要
複数のEC-CUBE 3.0系用プラグインには、複数のクロスサイトスクリプティン
グの脆弱性があります。結果として、遠隔の第三者がECサイトの管理者のWeb
ブラウザー上で、任意のスクリプトを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- 配送伝票番号プラグイン(3.0系) 1.0.10およびそれ以前のバージョン
- 配送伝票番号csv一括登録プラグイン(3.0系) 1.0.8およびそれ以前のバージョン
- 配送伝票番号メールプラグイン(3.0系) 1.0.8およびそれ以前のバージョン
- 帳票出力プラグイン バージョン1.0.1より前のバージョン
- メルマガ管理プラグイン バージョン1.0.4より前のバージョン
- カテゴリコンテンツプラグイン バージョン1.0.1より前のバージョン

この問題は、本プラグインを各開発者が提供する修正済みのバージョンに更新
することで解決します。詳細は、各開発者が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
複数のEC-CUBE 3.0系用プラグインにおけるクロスサイトスクリプティングの脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210028.html

ETUNA
配送伝票番号プラグイン(3.0系)における脆弱性発覚と対応のお願い(2021/06/11)
https://www.ec-cube.net/release/detail.php?release_id=5088

ETUNA
配送伝票番号csv一括登録プラグイン(3.0系)における脆弱性発覚と対応のお願い(2021/06/11)
https://www.ec-cube.net/release/detail.php?release_id=5087

ETUNA
配送伝票番号メールプラグイン(3.0系)における脆弱性発覚と対応のお願い(2021/06/11)
https://www.ec-cube.net/release/detail.php?release_id=5089

株式会社イーシーキューブ
帳票出力プラグイン バージョン1.0.1をリリースしました。(2021/06/14)
https://www.ec-cube.net/release/detail.php?release_id=5091

株式会社イーシーキューブ
メルマガ管理プラグイン バージョン1.0.4をリリースしました。(2021/06/14)
https://www.ec-cube.net/release/detail.php?release_id=5090

株式会社イーシーキューブ
カテゴリコンテンツプラグイン バージョン1.0.1をリリースしました。(2021/06/14)
https://www.ec-cube.net/release/detail.php?release_id=5092

【2】GROWIに複数の脆弱性

情報源
Japan Vulnerability Notes JVN#95457785
GROWI における複数の脆弱性
https://jvn.jp/jp/JVN95457785/

概要
GROWIには、複数の脆弱性があります。結果として、当該製品にアクセス可能
なユーザーが、データベース内の情報を窃取したり、改ざんしたりするなどの
可能性があります。

対象となるバージョンは次のとおりです。

- GROWI v4.2.20より前のバージョン

この問題は、該当する製品を株式会社WESEEKが提供する修正済みのバージョン
に更新することで解決します。詳細は、株式会社WESEEKが提供する情報を参照
してください。

関連文書 (日本語)
株式会社WESEEK
GROWI 脆弱性対応のお知らせ (JVN#95457785)
https://weseek.co.jp/security/2021/06/14/vulnerability/growi-nosql-ingection/

【3】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/06/17/cisco-releases-security-updates-multiple-products

概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコマンドを実行するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ
情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【4】Mozilla Firefoxに境界外読み取りの脆弱性

情報源
Mozilla
Security Vulnerabilities fixed in Firefox 89.0.1
https://www.mozilla.org/en-US/security/advisories/mfsa2021-27/

概要
Mozilla Firefoxには、境界外読み取りの脆弱性があります。

対象となるバージョンは次のとおりです。

- Firefox 89.0.1より前のバージョン(Windows版)

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

【5】Apache HTTP Web Serverに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#96037838
Apache HTTP Web Server 2.4 における複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU96037838/

概要
Apache HTTP Web Serverには、複数の脆弱性があります。結果として、第三者
がサービス運用妨害(DoS)攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- Apache HTTP Web Server 2.4.48より前のバージョン

この問題は、該当する製品をThe Apache Software Foundationが提供する修正
済みのバージョンに更新することで解決します。詳細は、The Apache Software
Foundationが提供する情報を参照してください。

関連文書 (英語)
The Apache Software Foundation
Apache HTTP Server 2.4.48 Released
https://downloads.apache.org/httpd/Announcement2.4.html

The Apache Software Foundation
Fixed in Apache HTTP Server 2.4.48
https://httpd.apache.org/security/vulnerabilities_24.html#2.4.48

【6】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/06/18/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 91.0.4472.114より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/06/stable-channel-update-for-desktop_17.html

【7】myQNAPcloud Linkに重要な情報が安全に格納されていない脆弱性

情報源
QNAP
Insecure Storage of Sensitive Information in myQNAPcloud Link
https://www.qnap.com/en/security-advisory/qsa-21-26

概要
myQNAPcloud Linkには、重要な情報が安全に格納されていない脆弱性がありま
す。結果として、遠隔の第三者が機密情報を窃取する可能性があります。

対象となるバージョンは次のとおりです。

- QTS 4.5.3: myQNAPcloud Link 2.2.21およびそれ以前
- QuTS hero h4.5.2: myQNAPcloud Link 2.2.21およびそれ以前
- QuTScloud c4.5.4: myQNAPcloud Link 2.2.21およびそれ以前

この問題は、myQNAPcloud LinkをQNAP Systemsが提供する修正済みのバージョン
に更新することで解決します。詳細は、QNAP Systemsが提供する情報を参照し
てください。

【8】Apple iOSに複数の脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates for iOS 12.5.4
https://us-cert.cisa.gov/ncas/current-activity/2021/06/15/apple-releases-security-updates-ios-1254

概要
iOSには、複数の脆弱性があります。結果として、第三者が任意のコードを実
行する可能性があります。

対象となるバージョンは次のとおりです。

- iOS 12.5.4より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
iOSに関するアップデートについて
https://www.jpcert.or.jp/newsflash/2021061601.html

Apple
iOS 12.5.4 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212548

【9】Androidアプリ「あすけん」にアクセス制限不備の脆弱性

情報源
Japan Vulnerability Notes JVN#38034268
Android アプリ「あすけん」におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN38034268/

概要
Androidアプリ「あすけん」には、アクセス制限不備の脆弱性があります。結
果として、遠隔の第三者が当該製品を経由し任意のWebサイトにアクセスさせ
る可能性があります。

対象となるバージョンは次のとおりです。

- Androidアプリ「あすけん」 v.3.0.0からv.4.2.xまでのバージョン

この問題は、該当する製品を株式会社 askenが提供する修正済みのバージョン
に更新することで解決します。詳細は、株式会社 askenが提供する情報を参照
してください。

関連文書 (日本語)
株式会社 asken
お知らせ (要ログイン)
https://www.asken.jp/s/information

【10】Hitachi Application Serverヘルプにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#03776901
Hitachi Application Server ヘルプにおけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN03776901

概要
Hitachi Application Serverヘルプには、クロスサイトスクリプティングの脆
弱性があります。結果として、遠隔の第三者が当該製品にアクセスしているユー
ザーのWebブラウザー上で、任意のスクリプトを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Hitachi Application Server V10 マニュアル (Windows用) バージョン10-11-01およびそれ以前
- Hitachi Application Server V10 マニュアル (UNIX用) バージョン10-11-01およびそれ以前

この問題は、該当する製品を日立が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、日立が提供する情報を参照してください。

関連文書 (日本語)
日立
Hitachi Application Server ヘルプにおけるクロスサイトスクリプティングの脆弱性
https://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/hitachi-sec-2021-104/

【11】日立仮想ファイルプラットフォーム製品にOSコマンドインジェクションの脆弱性

情報源
Japan Vulnerability Notes JVN#21298724
日立仮想ファイルプラットフォーム製品における OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN21298724

概要
日立仮想ファイルプラットフォーム製品には、OSコマンドインジェクションの
脆弱性があります。結果として、当該製品にログイン可能な第三者がroot権限
で任意のOSコマンドを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Hitachi Virtual File Platform 5.5.3-09より前のバージョン
- Hitachi Virtual File Platform 6.4.3-09より前のバージョン

また、当該製品を使用している以下の製品も本脆弱性の影響を受けます。
- 日本電気株式会社製 iStorage Mシリーズ NASオプション Nh4a/Nh8a FOS 5.5.3-08(NEC2.5.4a)より前のバージョン
- 日本電気株式会社製 iStorage Mシリーズ NASオプション Nh4b/Nh8b、Nh4c/Nh8c FOS 6.4.3-08(NEC3.4.2)より前のバージョン

この問題は、該当する製品を各開発者が提供する修正済みのバージョンに更新
することで解決します。詳細は、各開発者が提供する情報を参照してください。

関連文書 (日本語)
日立
日立仮想ファイルプラットフォーム製品における脆弱性について
https://www.hitachi.co.jp/products/it/storage-solutions/techsupport/sec_info/sec_2021_306.html

日本電気株式会社
iStorage Mシリーズ NASオプションにおける OS コマンドインジェクションの脆弱性
https://jpn.nec.com/security-info/secinfo/nv21-011.html


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○「TRANSITS Workshop Online 2021 Summer」開催のお知らせ

2021年8月19日(木)、8月20日(金)の2日間にわたり、「TRANSITS Workshop
Online 2021 Summer」がオンライン上で開催されます。日本シーサート協議会
が主催する本イベントは、CSIRTの設立の促進、既存のCSIRTの対応能力向上を
目的としたプロジェクト「TRANSITS」によるトレーニングを行い、CSIRT業務
に必要な知識を身につけることを目的としています。JPCERT/CCは本イベント
での講演、および運営に協力しています。

参加には事前申し込みが必要です。参加登録は申込先着順で、定員になり次第
締め切りとなります。詳しくはWebを参照してください。


参考文献 (日本語)
日本シーサート協議会(日本コンピュータセキュリティインシデント対応チーム協議会)
TRANSITS Workshop Online 2021 Summer開催
https://www.nca.gr.jp/2021/transits-summer/

コメント

この記事へのコメントは終了しました。