■09/04(日)~09/10(土) のセキュリティ関連情報
目 次
【1】複数のCisco製品に脆弱性
【2】Movable Type用プラグインA-Formにクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】フィッシング対策協議会が「各ブラウザーによるSSL/TLSサーバー証明書の表示の違い」を更新
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr223601.html
https://www.jpcert.or.jp/wr/2022/wr223601.xml
============================================================================
【1】複数のCisco製品に脆弱性
情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/09/08/cisco-releases-security-updates-multiple-products
概要
複数のCisco製品には、影響度Highを含む複数の脆弱性があります。結果とし
て、隣接するネットワーク上の第三者が構成を変更するなどの可能性がありま
す。
影響度Highの脆弱性情報に記載されている製品は次のとおりです。
- Cisco SD-WAN vManage Software
- Cisco Catalyst 8000V Edge Software
- Adaptive Security Virtual Appliance (ASAv)
- Secure Firewall Threat Defense Virtual (formerly FTDv)
上記製品以外にも、影響度Mediumの脆弱性情報が公開されています。詳細は
Ciscoが提供する情報を参照してください。
この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供するアドバイザリ情報を参照して
ください。
関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x
Cisco
Cisco SD-WAN vManage Software Unauthenticated Access to Messaging Services Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vmanage-msg-serv-AqTup7vs
Cisco
Vulnerability in NVIDIA Data Plane Development Kit Affecting Cisco Products: August 2022
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-mlx5-jbPCrqD8
【2】Movable Type用プラグインA-Formにクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#48120704
Movable Type 用プラグイン A-Form におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN48120704/
概要
Movable Type用プラグインA-Formには、クロスサイトスクリプティングの脆弱
性があります。結果として、当該プラグインを使用しているサイトにアクセス
したユーザーのWebブラウザー上で、任意のスクリプトを実行される可能性が
あります。
対象となるバージョンは次のとおりです。
- A-Form 4.1.1より前のバージョン(Movable Type 7系用)
- A-Form 3.9.1より前のバージョン(Movable Type 6系用)
なお、開発者によると、A-FormはA-Member、A-Reserve、A-Memberサブスクリ
プションパックにも同梱されているとのことです。
この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
株式会社アークウェブ
MTプラグインAシリーズ:新バージョン4.1.1/3.9.1(脆弱性対応版)リリースのお知らせ
https://www.ark-web.jp/blog/archives/2022/09/a-series-411-391.html
株式会社アークウェブ
リリースノート:A-Form PC 4.1.1/3.9.1, A-Member 4.1.1/3.9.1, A-Reserve 4.1.1/3.9.1, A-Memberサブスクリプションパック 1.005
https://www.ark-web.jp/movabletype/blog/2022/09/a-series-411-391.html
――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――
○フィッシング対策協議会が「各ブラウザーによるSSL/TLSサーバー証明書の表示の違い」を更新
2022年9月6日、フィッシング対策協議会は、各ブラウザーによるSSL/TLSサーバー
証明書の表示の違いに関するお知らせを更新しました。本お知らせでは、主要
ブラウザーのバージョンアップおよびMicrosoft Internet Explorer(IE)バー
ジョン11が2022年6月15日をもってサポートが終了したことを受け、各ブラウ
ザーによるサーバー証明書の表示の違いについて説明しています。また、ブラ
ウザーの表示に対して適切な認識を持ち、証明書確認サービスを利用すること
で証明書の種類やWebサイトに掲載されている情報に疑わしい点がないか確認
を行うことをお勧めしています。
参考文献 (日本語)
フィッシング対策協議会
【更新】 各ブラウザーによる SSL / TLS サーバー証明書の表示の違い (2022/09/06)
https://www.antiphishing.jp/news/info/_ssl_20220906.html
――――――――――――――――――――――――――――――――――――――
