ミニ・いんふぉめーしょん

目 次

【1】ISC BIND 9に複数の脆弱性
【2】Google Chromeに複数の脆弱性
【3】複数のApple製品に脆弱性
【4】Apache HTTP Serverに複数の脆弱性
【5】WordPressに複数の脆弱性
【6】OpenSSLにサービス運用妨害（DoS）の脆弱性
【7】Drupalのサードパーティライブラリに複数の脆弱性
【8】CRI-Oに権限昇格の脆弱性
【9】キングソフト製「WPS Office」および「KINGSOFT Internet Security」に複数の脆弱性
【10】pfSenseに複数の脆弱性
【今週のひとくちメモ】JPCERT/CCが「サイバー政策動向を知ろう Watch! Cyber World vol.2｜ランキング」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr221201.html
https://www.jpcert.or.jp/wr/2022/wr221201.xml
============================================================================

【1】ISC BIND 9に複数の脆弱性

情報源
CISA Current Activity
ISC Releases Security Advisories for BIND
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/17/isc-releases-security-advisories-bind

概要
ISC BIND 9には、複数の脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害（DoS）攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- BIND 9.11.0から9.11.36までのバージョン
- BIND 9.12.0から9.16.26までのバージョン
- BIND 9.17.0から9.18.0までのバージョン
- BIND Supported Preview Edition 9.11.4-S1から9.11.36-S1までのバージョン
- BIND Supported Preview Edition 9.16.8-S1から9.16.26-S1までのバージョン

なお、すでにサポートが終了しているBIND 9も影響を受ける可能性があります。

この問題は、該当する製品をISCが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、ISCが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
ISC BIND 9における複数の脆弱性について（2022年3月）
https://www.jpcert.or.jp/newsflash/2022031701.html

日本レジストリサービス (JPRS)
BIND 9.xの脆弱性（キャッシュポイズニングの危険性）について（CVE-2021-25220）- DNSフォワーダーのみ対象、バージョンアップを推奨 -
https://jprs.jp/tech/security/2022-03-17-bind9-vuln-forwarder.html

日本レジストリサービス (JPRS)
BIND 9.xの脆弱性（システムリソースの過度な消費）について（CVE-2022-0396）- keep-response-orderを有効にしている場合のみ対象、バージョンアップを推奨 -
https://jprs.jp/tech/security/2022-03-17-bind9-vuln-keep-response-order.html

日本レジストリサービス (JPRS)
（緊急）BIND 9.18.0の脆弱性（DNSサービスの停止）について（CVE-2022-0635）- BIND 9.18.0のみが対象、バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2022-03-17-bind9-vuln-aggressiveuse.html

日本レジストリサービス (JPRS)
（緊急）BIND 9.18.0の脆弱性（DNSサービスの停止）について（CVE-2022-0667）- BIND 9.18.0のみが対象、バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2022-03-17-bind9-vuln-dslookup.html

Japan Vulnerability Notes JVNVU#98927070
ISC BINDにおける複数の脆弱性
https://jvn.jp/vu/JVNVU98927070/

関連文書 (英語)
Internet Systems Consortium(ISC)
CVE-2021-25220: DNS forwarders - cache poisoning vulnerability
https://kb.isc.org/docs/cve-2021-25220

Internet Systems Consortium(ISC)
CVE-2022-0396: DoS from specifically crafted TCP packets
https://kb.isc.org/docs/cve-2022-0396

Internet Systems Consortium(ISC)
CVE-2022-0635: DNAME insist with synth-from-dnssec enabled
https://kb.isc.org/docs/cve-2022-0635

Internet Systems Consortium(ISC)
CVE-2022-0667: Assertion failure on delayed DS lookup
https://kb.isc.org/docs/cve-2022-0667

【2】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/16/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 99.0.4844.74より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/03/stable-channel-update-for-desktop_15.html

【3】複数のApple製品に脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/16/apple-releases-security-updates-multiple-products

概要
複数のApple製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- iOS 15.4より前のバージョン
- iPadOS 15.4より前のバージョン
- macOS Monterey 12.3より前のバージョン
- macOS Big Sur 11.6.5より前のバージョン
- macOS Catalina（Security Update 2022-003 未適用）
- tvOS 15.4より前のバージョン
- iTunes for Windows 12.12.3より前のバージョン
- Xcode 13.3より前のバージョン
- Logic Pro X 10.7.3より前のバージョン
- GarageBand 10.4.6より前のバージョン
- watchOS 8.5より前のバージョン
- Safari 15.4より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Apple製品のアップデートについて（2022年3月）
https://www.jpcert.or.jp/newsflash/2022031501.html

Apple
iOS 15.4 および iPadOS 15.4 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213182

Apple
macOS Monterey 12.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213183

Apple
macOS Big Sur 11.6.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213184

Apple
セキュリティアップデート 2022-003 Catalina のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213185

Apple
tvOS 15.4 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213186

Apple
iTunes for Windows 12.12.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213188

Apple
Xcode 13.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213189

Apple
Logic Pro X 10.7.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213190

Apple
GarageBand 10.4.6 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213191

Apple
watchOS 8.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213193

Apple
Safari 15.4 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213187

【4】Apache HTTP Serverに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#99602154
Apache HTTP Server 2.4における複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU99602154/

概要
The Apache Software Foundationが提供するApache HTTP Serverには、複数の
脆弱性があります。結果として、遠隔の第三者がサービス運用妨害（DoS）攻
撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- Apache HTTP Server 2.4.52およびそれ以前

この問題は、Apache HTTP Serverを開発者が提供する修正済みのバージョンに
更新することで解決します。詳細は、開発者が提供する情報を参照してくださ
い。

関連文書 (英語)
The Apache Software Foundation
Fixed in Apache HTTP Server 2.4.53
https://httpd.apache.org/security/vulnerabilities_24.html

The Apache Software Foundation
Apache HTTP Server 2.4.53 Released
https://downloads.apache.org/httpd/Announcement2.4.html

【5】WordPressに複数の脆弱性

情報源
CISA Current Activity
WordPress Releases Security Update
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/17/wordpress-releases-security-update

概要
WordPressには、複数の脆弱性があります。結果として、遠隔の第三者が任意
のスクリプトを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- WordPress 3.7から5.9.2より前のバージョン

この問題は、該当する製品をWordPressが提供する修正済みのバージョンに更
新することで解決します。詳細は、WordPressが提供する情報を参照してくだ
さい。

関連文書 (英語)
WordPress
WordPress 5.9.2 Security and Maintenance Release
https://wordpress.org/news/2022/03/wordpress-5-9-2-security-maintenance-release/

【6】OpenSSLにサービス運用妨害（DoS）の脆弱性

情報源
CISA Current Activity
OpenSSL Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/17/openssl-releases-security-updates

概要
OpenSSLのBN_mod_sqrt()には、法が非素数の場合、無限ループを引き起こす問
題があります。結果として、サービス運用妨害（DoS）状態になる可能性があ
ります。

対象となるバージョンは次のとおりです。

- OpenSSL 1.0.2zdより前の1.0.2系のバージョン
- OpenSSL 1.1.0系のすべてのバージョン
- OpenSSL 1.1.1nより前の1.1.1系のバージョン
- OpenSSL 3.0.2より前の3.0系のバージョン

この問題は、OpenSSLをOpenSSL Projectが提供する修正済みのバージョンに更
新することで解決します。詳細は、OpenSSL Projectが提供する情報を参照し
てください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#90813125
OpenSSLのBN_mod_sqrt()における法が非素数のときに無限ループを引き起こす問題
https://jvn.jp/vu/JVNVU90813125/

関連文書 (英語)
OpenSSL
OpenSSL Security Advisory [15 March 2022]
https://www.openssl.org/news/secadv/20220315.txt

【7】Drupalのサードパーティライブラリに複数の脆弱性

情報源
CISA Current Activity
Drupal Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/17/drupal-releases-security-updates

概要
Drupalが使用するCKEditorライブラリには、複数の脆弱性があります。結果と
して、第三者が任意のスクリプトを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Drupal 9.3.8より前の9.3系バージョン
- Drupal 9.2.15より前の9.2系バージョン

この問題は、該当する製品をDrupalが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Drupalが提供する情報を参照してください。

関連文書 (英語)
Drupal
Drupal core - Moderately critical - Third-party libraries - SA-CORE-2022-005
https://www.drupal.org/sa-core-2022-005

【8】CRI-Oに権限昇格の脆弱性

情報源
CISA Current Activity
CRI-O Security Update for Kubernetes
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/18/cri-o-security-update-kubernetes

概要
CRI-Oには、権限昇格の脆弱性があります。結果として、CRI-Oランタイムを使
用するKubernetesクラスターにポッドをデプロイする権限を持つユーザーがルー
ト権限で任意のコードを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- CRI-O 1.19.6より前のバージョン
- CRI-O 1.20.7より前のバージョン
- CRI-O 1.21.6より前のバージョン
- CRI-O 1.22.3より前のバージョン
- CRI-O 1.23.2より前のバージョン
- CRI-O 1.24.0より前のバージョン

この問題は、CRI-Oに開発者が提供するパッチを適用することで解決します。
詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
CRI-O
cri-o: Arbitrary code execution in cri-o via abusing “kernel.core_pattern” kernel parameter
https://github.com/cri-o/cri-o/security/advisories/GHSA-6x2m-w449-qwx7

【9】キングソフト製「WPS Office」および「KINGSOFT Internet Security」に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#21234459
キングソフト製「WPS Office」および「KINGSOFT Internet Security」における複数の脆弱性
https://jvn.jp/jp/JVN21234459/

概要
キングソフト株式会社が提供する「WPS Office」および「KINGSOFT Internet
Security」には、複数の脆弱性があります。結果として、第三者が任意のコマンド
を実行する可能性があります。

対象となる製品は次のとおりです。

- WPS Office
- WPS Presentation
- KINGSOFT Internet Security 9 Plus

該当する製品は、サポートが終了しており、修正アップデートは提供されない
ことから、キングソフト株式会社が提供する後継製品への移行が推奨されてい
ます。詳細は、キングソフト株式会社が提供する情報を参照してください。

関連文書 (日本語)
キングソフト株式会社
WPS Office,KINGSOFT Internet Security の脆弱性に関するお知らせ
https://support.kingsoft.jp/support-info/weakness.html

【10】pfSenseに複数の脆弱性

情報源
Japan Vulnerability Notes JVN#87751554
pfSense における複数の脆弱性
https://jvn.jp/jp/JVN87751554/

概要
pfSenseには、複数の脆弱性があります。結果として、遠隔の第三者が、悪意
のあるURLを通じてcaptiveポータルログインページへアクセスしたユーザーの
Webブラウザー上で、任意のスクリプトを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- pfSense CE Software 2.6.0より前のバージョン
- pfSense Plus Software 22.01より前のバージョン

この問題は、開発者が提供する修正済みのバージョンに更新することで解決し
ます。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
pfSense
XSS vulnerability in the WebGUI
https://docs.netgate.com/downloads/pfSense-SA-21_02.captiveportal.asc

pfSense
File overwrite vulnerability in the WebGUI
https://docs.netgate.com/downloads/pfSense-SA-22_01.webgui.asc

pfSense
Multiple vulnerabilities in the WebGUI
https://docs.netgate.com/downloads/pfSense-SA-22_03.webgui.asc

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CCが「サイバー政策動向を知ろう Watch! Cyber World vol.2｜ランキング」を公開

2022年3月17日、JPCERT/CCは「サイバー政策動向を知ろう Watch! Cyber
World vol.2｜ランキング」を公開しました。JPCERT/CCは、サイバーセキュリ
ティ政策に関する諸外国の動向調査として政府機関、国際機関、企業などのニュー
スの収集および分析を行っています。
vol.2となる今回は、世界各国を対象にした複数のサイバーセキュリティのラン
キングから見た日本の強みについて解説しています。

参考文献 (日本語)
JPCERT/CC Eyes
サイバー政策動向を知ろう Watch! Cyber World vol.2｜ランキング
https://blogs.jpcert.or.jp/ja/2022/03/cyberworld2.html