■11/14(日)~11/20(土) のセキュリティ関連情報
目 次
【1】Drupalにクロスサイトスクリプティングの脆弱性
【2】Google Chromeに複数の脆弱性
【3】rwtxtにクロスサイトスクリプティングの脆弱性
【4】WordPress用プラグインPush Notifications for WordPress (Lite)にクロスサイトリクエストフォージェリの脆弱性
【5】Data Distribution Serviceの実装における複数の脆弱性
【今週のひとくちメモ】フィッシング対策協議会が「フィッシング対策セミナー2021 講演資料」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr214601.html
https://www.jpcert.or.jp/wr/2021/wr214601.xml
============================================================================
【1】Drupalにクロスサイトスクリプティングの脆弱性
情報源
CISA Current Activity
Drupal Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/11/18/drupal-releases-security-updates
概要
Drupalが使用するサードパーティライブラリCKEditorには、複数のクロスサイ
トスクリプティングの脆弱性があります。結果として、当該製品を使用してい
るサイトにアクセスしたユーザーのウェブブラウザー上で、任意のスクリプト
を実行される可能性があります。
対象となるバージョンは次のとおりです。
- Drupal 9.2.9より前の9.2系バージョン
- Drupal 9.1.14より前の9.1系バージョン
- Drupal 8.9.20より前の8.9系バージョン
この問題は、Drupalを開発者が提供する修正済みのバージョンに更新すること
で解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (英語)
Drupal
Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2021-011
https://www.drupal.org/sa-core-2021-011
【2】Google Chromeに複数の脆弱性
情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/11/16/google-releases-security-updates-chrome
概要
Google Chromeには、複数の脆弱性があります。
対象となるバージョンは次のとおりです。
- Google Chrome 96.0.4664.45より前のバージョン
この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。
関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/11/stable-channel-update-for-desktop.html
【3】rwtxtにクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#22515597
rwtxt におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN22515597/
概要
Zack Schollが提供するコンテンツ管理システムであるrwtxtには、クロスサイ
トスクリプティングの脆弱性があります。結果として、当該製品を使用してい
るサイトにアクセスしたユーザーのウェブブラウザー上で、任意のスクリプト
を実行される可能性があります。
対象となるバージョンは次のとおりです。
- rwtxt v1.8.6より前のバージョン
この問題は、開発者が提供するアップデートを適用することで解決します。詳
細は、開発者が提供する情報を参照してください。
関連文書 (英語)
Zack Scholl
rwtxt
https://github.com/schollz/rwtxt
【4】WordPress用プラグインPush Notifications for WordPress (Lite)にクロスサイトリクエストフォージェリの脆弱性
情報源
Japan Vulnerability Notes JVN#85492429
WordPress 用プラグイン Push Notifications for WordPress (Lite) におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN85492429/
概要
Delite Studioが提供するWordPress用プラグインPush Notifications for
WordPress (Lite)には、クロスサイトリクエストフォージェリの脆弱性があり
ます。結果として、当該製品にログインした状態の管理者権限を持つユーザー
が細工されたページにアクセスした場合、意図しない操作を行う可能性があり
ます。
対象となるバージョンは次のとおりです。
- Push Notifications for WordPress (Lite) 6.0.1より前のバージョン
この問題は、開発者が提供するアップデートを適用することで解決します。詳
細は、開発者が提供する情報を参照してください。
関連文書 (英語)
Delite Studio
Push Notifications for WordPress (Lite)
https://ja.wordpress.org/plugins/push-notifications-for-wp/
Delite Studio
We make software
https://delitestudio.com/en/
【5】Data Distribution Serviceの実装における複数の脆弱性
情報源
CISA Current Activity
CISA Releases Advisory on Vulnerabilities in Multiple Data Distribution Service Implementations
https://us-cert.cisa.gov/ncas/current-activity/2021/11/12/cisa-releases-advisory-vulnerabilities-multiple-data-distribution
概要
Object Management Groupが提供するData Distribution Service(DDS)を実
装しているソフトウェアには、複数の脆弱性があります。結果として、遠隔の
第三者が任意のコードを実行するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Eclipse:CycloneDDS 0.8.0より前のバージョン
- eProsima:Fast DDS 2.4.0より前のバージョン
- GurumNetworks:GurumDDSすべてのバージョン
- Object Computing, Inc. (OCI):OpenDDS 3.18.1より前のバージョン
- Real-Time Innovations (RTI):Connext DDS Professional、Connext DDS Secure バージョン4.2系から6.1.0
- Real-Time Innovations (RTI):Connext DDS Micro 3.0.0以降のバージョン
- TwinOaks:Computing CoreDX DDS 5.9.1より前のバージョン
この問題は、各開発者が提供するアップデートを適用することで解決します。
ただしGurumDDSは、2021年11月25日現在アップデートは提供されていません。
詳細は、各開発者が提供する情報を参照してください。
関連文書 (英語)
ICS Advisory (ICSA-21-315-02)
Multiple Data Distribution Service (DDS) Implementations
https://us-cert.cisa.gov/ics/advisories/icsa-21-315-02
――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――
○フィッシング対策協議会が「フィッシング対策セミナー2021 講演資料」を公開
2021年11月19日、フィッシング対策協議会は、先日オンラインで実施された
フィッシング対策セミナー2021の講演資料を公開しました。
「暗号資産を狙うフィッシングの事例紹介と対策」や「フィッシング対策技術
とPKI」などの講演資料が公開されています。フィッシングの報告件数は、年
々増加傾向にあります。現状の把握や対策の実施にご参考ください。
参考文献 (日本語)
フィッシング対策協議会
フィッシング対策セミナー2021(オンライン)講演資料公開のお知らせ
https://www.antiphishing.jp/news/info/antiphishing_seminar2021.html
コメント