ミニ・いんふぉめーしょん

目 次

【1】複数のCisco製品に脆弱性
【2】OpenSSLに複数の脆弱性
【3】複数のVMware製品に脆弱性
【4】複数のF5 Networks製品に脆弱性
【5】複数のソニー製品のインストーラーにDLL読み込みの脆弱性
【6】Movable Typeに複数のクロスサイトスクリプティングの脆弱性
【7】baserCMSにクロスサイトスクリプティングの脆弱性
【8】WordPress用プラグインBooster for WooCommerceに認証回避の脆弱性
【今週のひとくちメモ】日本シーサート協議会が「CSIRT 人材の定義と確保 Ver.2.1」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr213401.html
https://www.jpcert.or.jp/wr/2021/wr213401.xml
============================================================================

【1】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/08/26/cisco-releases-security-updates-multiple-products

概要
複数のCisco製品には、影響度CriticalおよびHighを含む複数の脆弱性があり
ます。結果として、遠隔の第三者が任意のファイルを読み書きするなどの可能
性があります。

対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ
情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供するアドバイザリ情報を参照して
ください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

Cisco Security Advisory
Cisco Application Policy Infrastructure Controller Arbitrary File Read and Write Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-capic-frw-Nt3RYxR2

【2】OpenSSLに複数の脆弱性

情報源
CISA Current Activity
OpenSSL Releases Security Update
https://us-cert.cisa.gov/ncas/current-activity/2021/08/25/openssl-releases-security-update

概要
OpenSSLは、複数の脆弱性があります。脆弱性が悪用されると、第三者がサー
ビス運用妨害（DoS）攻撃などを行う可能性があります。

対象となる製品は次のとおりです。

- OpenSSL 1.1.1kおよびそれ以前のバージョン
- OpenSSL 3.0 alpha/betaリリース

この問題は、OpenSSLをOpenSSL Projectが提供する修正済みのバージョンに更
新することで解決します。なお、OpenSSL 3.0 alpha/betaリリースは正式版リ
リース時までに修正予定とのことです。詳細はOpenSSL Projectが提供する情
報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#99612123
OpenSSLに複数の脆弱性
https://jvn.jp/vu/JVNVU99612123/

JPCERT/CC 注意喚起
OpenSSLの脆弱性（CVE-2021-3711、CVE-2021-3712）に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210036.html

関連文書 (英語)
OpenSSL
OpenSSL Security Advisory [24 August 2021]
https://www.openssl.org/news/secadv/20210824.txt

【3】複数のVMware製品に脆弱性

情報源
CISA Current Activity
VMware Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/08/25/vmware-releases-security-updates-multiple-products

概要
複数のVMware製品には、脆弱性があります。結果として、第三者が影響を受け
るシステムを制御するなどの可能性があります。

対象となる製品は次のとおりです。

- VMware vRealize Operations
- VMware Cloud Foundation
- vRealize Suite Lifecycle Manager

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、VMwareが提供する情報を参照してください。

関連文書 (英語)
VMware
VMSA-2021-0018
https://www.vmware.com/security/advisories/VMSA-2021-0018.html

【4】複数のF5 Networks製品に脆弱性

情報源
CISA Current Activity
F5 Releases August 2021 Security Advisory
https://us-cert.cisa.gov/ncas/current-activity/2021/08/25/f5-releases-august-2021-security-advisory

概要
複数のF5 Networks製品には、影響度Highを含む複数の脆弱性があります。結
果として、第三者がユーザーを詐称して重要な操作をさせることでシステム侵
害につながるなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はF5 Networksが提供するアドバ
イザリ情報を参照してください。

この問題は、該当する製品をF5 Networksが提供する修正済みのバージョンに
更新するか、回避策を適用することで解決します。詳細は、F5 Networksが提
供する情報を参照してください。

関連文書 (英語)
F5 Networks
K50974556: Overview of F5 vulnerabilities (August 2021)
https://support.f5.com/csp/article/K50974556

【5】複数のソニー製品のインストーラーにDLL読み込みの脆弱性

情報源
Japan Vulnerability Notes JVN#80288258
複数のソニー製品のインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN80288258/

概要
ソニー株式会社が提供する複数の製品のインストーラーには、DLL読み込みに
関する脆弱性があります。結果として、第三者が、インストーラーを実行して
いる権限で、任意のコードを実行する可能性があります。

対象となる製品は次のとおりです。

- Sony Audio USB Driver V1.10およびそれ以前のインストーラー
- HAP Music Transfer Ver.1.3.0およびそれ以前のインストーラー

この問題は、開発者が提供する情報をもとに、最新の手順に従ってインストー
ルを行うことで解決します。
なお、本脆弱性の影響を受けるのはインストーラーの起動時のみです。すでに
製品をインストールしている場合、再インストールする必要はありません。

関連文書 (日本語)
Sony
Sony Audio USB Driver : ポータブルオーディオプレーヤー ウォークマン
https://www.sony.jp/support/walkman/download/

Sony
Sony Audio USB Driver : アクティブスピーカー
https://www.sony.jp/support/active-speaker/download/

Sony
Sony Audio USB Driver : システムステレオ
https://www.sony.jp/support/netjuke/download/

Sony
Sony Audio USB Driver : コンポーネントオーディオ
https://www.sony.jp/support/audio/download/index.html

Sony
HAP Music Transfer
https://www.sony.jp/support/audio/download/hap-music-transfer-win/

【6】Movable Typeに複数のクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#97545738
Movable Type における複数のクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN97545738/

概要
Movable Typeには、複数のクロスサイトスクリプティングの脆弱性があります。
結果として、当該製品にログインしているユーザーのWebブラウザー上で、任
意のスクリプトを実行される可能性があります。

対象となるバージョンは以下のとおりです。

- Movable Type 7 r.4903およびそれ以前 (Movable Type 7系)
- Movable Type 6.8.0およびそれ以前 (Movable Type 6系)
- Movable Type Advanced 7 r.4903およびそれ以前 (Movable Type Advanced 7系)
- Movable Type Premium 1.44およびそれ以前
- Movable Type Premium Advanced 1.44およびそれ以前

この問題は、Movable Typeをシックス・アパート株式会社が提供する修正済み
のバージョンに更新することで解決します。詳細は、シックス・アパート株式
会社が提供する情報を参照してください。

関連文書 (日本語)
シックス・アパート株式会社
[重要] Movable Type 7 r.5001 / Movable Type 6.8.1 / Movable Type Premium 1.45 の提供を開始、クラウド版に新プラン S150i を追加（セキュリティアップデート）
https://www.sixapart.jp/movabletype/news/2021/08/25-1100.html

【7】baserCMSにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#14134801
baserCMS におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN14134801/

概要
baserCMSユーザー会が提供するbaserCMSには、クロスサイトスクリプティング
の脆弱性があります。結果として、当該製品を使用しているサイトにアクセス
したユーザーのWebブラウザー上で、任意のスクリプトを実行される可能性が
あります。

対象となるバージョンは次のとおりです。

- baserCMS 4.5.1より前のバージョン

この問題は、該当する製品をbaserCMSユーザー会が提供する修正済みのバージョン
に更新することで解決します。詳細は、baserCMSユーザー会が提供する情報を
参照してください。

関連文書 (日本語)
baserCMSユーザー会
2021/08/26 ファイルアップロードにおけるクロスサイトスクリプティングの脆弱性
https://basercms.net/security/JVN_14134801

【8】WordPress用プラグインBooster for WooCommerceに認証回避の脆弱性

情報源
Wordfence
Critical Authentication Bypass Vulnerability Patched in Booster for WooCommerce
https://www.wordfence.com/blog/2021/08/critical-authentication-bypass-vulnerability-patched-in-booster-for-woocommerce/

概要
WordPress用プラグインBooster for WooCommerceには、認証回避の脆弱性があ
ります。結果として、遠隔の第三者が、当該製品にアカウントを持つユーザー
を詐称し、不正にログインする可能性があります。

対象となるバージョンは次のとおりです。

- Booster for WooCommerce 5.4.3およびそれ以前

この問題は、Booster for WooCommerceを開発者が提供する修正済みのバージョン
に更新することで解決します。詳細は、開発者が提供する情報を参照してくだ
さい。