■05/15(日)~05/21(土) のセキュリティ関連情報
目 次
【1】 Apache TomcatにWebSocket接続の実装に関する問題
【2】複数のApple製品に脆弱性
【3】ISC BIND 9にサービス運用妨害 (DoS) の脆弱性
【4】サイボウズGaroonに複数の脆弱性
【5】Rakuten Casaに複数の脆弱性
【6】Spring Security OAuth(spring-security-oauth2)にサービス運用妨害 (DoS) の脆弱性
【今週のひとくちメモ】個人情報保護委員会が「個人情報を考える週間」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr222001.html
https://www.jpcert.or.jp/wr/2022/wr222001.xml
============================================================================
【1】 Apache TomcatにWebSocket接続の実装に関する問題
情報源
CISA Current Activity
Apache Releases Security Advisory for Tomcat
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/16/apache-releases-security-advisory-tomcat
Japan Vulnerability Notes JVNVU#94243578
Apache TomcatにおけるWebSocket接続の実装に関する問題
https://jvn.jp/vu/JVNVU94243578/
概要
Apache Tomcatには、WebSocket接続の実装に関する問題があります。結果とし
て、遠隔の第三者が予期せぬエラーを発生させる可能性があります。
対象となるバージョンは次のとおりです。
- Apache Tomcat 9.0.0.M1から9.0.20までのバージョン
- Apache Tomcat 8.5.0から8.5.75までのバージョン
この問題は、Apache TomcatをThe Apache Software Foundationが提供する修
正済みのバージョンに更新することで解決します。詳細は、
The Apache Software Foundationが提供する情報を参照してください。
関連文書 (英語)
The Apache Software Foundation
CVE-2022-25762 Apache Tomcat - Request Mix-up
https://lists.apache.org/thread/qzkqh2819x6zsmj7vwdf14ng2fdgckw7
The Apache Software Foundation
Fixed in Apache Tomcat 9.0.21
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.21
The Apache Software Foundation
Fixed in Apache Tomcat 8.5.76
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.76
【2】複数のApple製品に脆弱性
情報源
CISA Current Activity
Apple Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/17/apple-releases-security-updates-multiple-products
概要
複数のApple製品には、複数の脆弱性があります。結果として、第三者が任意
のコードを実行するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Safari 15.5より前のバージョン
- tvOS 15.5より前のバージョン
- Xcode 13.4より前のバージョン
- macOS Catalina(Security Update 2022-004 未適用)
- macOS Monterey 12.4より前のバージョン
- macOS Big Sur 11.6.6より前のバージョン
- iOS 15.5より前のバージョン
- iPadOS 15.5より前のバージョン
- watchOS 8.6より前のバージョン
この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。
関連文書 (日本語)
Apple
Safari 15.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213260
Apple
tvOS 15.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213254
Apple
Xcode 13.4 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213261
Apple
セキュリティアップデート 2022-004 Catalina のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213255
Apple
macOS Big Sur 11.6.6 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213256
Apple
macOS Monterey 12.4 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213257
Apple
iOS 15.5 および iPadOS 15.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213258
Apple
watchOS 8.6 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213253
JPCERT/CC CyberNewsFlash
Apple製品のアップデートについて(2022年5月)
https://www.jpcert.or.jp/newsflash/2022051801.html
【3】ISC BIND 9にサービス運用妨害 (DoS) の脆弱性
情報源
CISA Current Activity
ISC Releases Security Advisory for BIND
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/19/isc-releases-security-advisory-bind
Japan Vulnerability Notes JVNVU#94035450
ISC BINDにおけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU94035450/
概要
ISC BIND 9には、脆弱性があります。結果として、遠隔の第三者がサービス運
用妨害(DoS)攻撃を行うなどの可能性があります。
対象となるバージョンは次のとおりです。
- BIND 9.18.0から9.18.2まで
- BIND 9.19.0(BIND 9.19開発用ブランチ)
この問題は、該当する製品をISCが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、ISCが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
ISC BIND 9における脆弱性について(2022年5月)
https://www.jpcert.or.jp/newsflash/2022051901.html
日本レジストリサービス (JPRS)
(緊急)BIND 9.18.xの脆弱性(DNSサービスの停止)について(CVE-2022-1183) - BIND 9.18系列のみが対象、バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2022-05-19-bind9-vuln-dnsoverhttps.html
関連文書 (英語)
Internet Systems Consortium, Inc. (ISC)
CVE-2022-1183: Destroying a TLS session early causes assertion failure
https://kb.isc.org/docs/cve-2022-1183
【4】サイボウズGaroonに複数の脆弱性
情報源
Japan Vulnerability Notes JVN#73897863
サイボウズ Garoon に複数の脆弱性
https://jvn.jp/jp/JVN73897863/
概要
サイボウズGaroonには、複数の脆弱性があります。結果として、ログインして
いるユーザーのブラウザー上で任意のスクリプトが実行されるなどの可能性が
あります。
対象となるバージョンは脆弱性によって異なります。詳細はサイボウズ株式会
社が提供する情報を参照してください。
この問題は、該当する製品をサイボウズ株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、サイボウズ株式会社が提供する情報を
参照してください。
関連文書 (日本語)
サイボウズ株式会社
パッケージ版 Garoon 脆弱性に関するお知らせ
https://cs.cybozu.co.jp/2022/007429.html
【5】Rakuten Casaに複数の脆弱性
情報源
Japan Vulnerability Notes JVN#46892984
Rakuten Casa における複数の脆弱性
https://jvn.jp/jp/JVN46892984/
概要
楽天モバイル株式会社が提供するRakuten Casaには、複数の脆弱性があります。
結果として、root権限でログインされ任意の操作を実行されたり、製品内部の
情報を取得されるなどの可能性があります。
対象となるバージョンは次のとおりです。
- Rakuten Casa バージョンAP_F_V1_4_1またはAP_F_V2_0_0
この問題は、設置規約に則って適切に設置した場合、自動的にアップデートが
適用され、修正されるとのことです。
関連文書 (日本語)
楽天モバイル株式会社
【重要】Rakuten Casaのソフトウェアアップデート情報
https://network.mobile.rakuten.co.jp/information/news/product/1033/
【6】Spring Security OAuth(spring-security-oauth2)にサービス運用妨害 (DoS) の脆弱性
情報源
Japan Vulnerability Notes JVN#15317878
Spring Security OAuth (spring-security-oauth2) におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN15317878/
概要
VMwareが提供する Spring Security OAuth(spring-security-oauth2)には、リ
ソースの枯渇の脆弱性があります。結果として、本製品を利用してOAuthクラ
イアント機能を提供しているウェブサイトがサービス運用妨害 (DoS)の被害を
受ける可能性があります。
対象となるバージョンは次のとおりです。
- Spring Security OAuth(spring-security-oauth2) 2.5.1およびそれ以前
この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、VMwareが提供する情報を参照してください。
関連文書 (英語)
VMware
CVE-2022-22969: Denial-of-Service (DoS) in spring-security-oauth2
https://tanzu.vmware.com/security/cve-2022-22969
――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――
○個人情報保護委員会が「個人情報を考える週間」を公開
個人情報保護委員会は、個人情報の重要性に関する情報発信を強化する目的で、
2022年5月30日から6月5日を「個人情報を考える週間」として取り組みを発表
しました。これは2018年度から広報啓発活動を継続して実施しているもので、
本年のテーマを「信頼の礎、プライバシー」(Privacy the foundation of trust)
として、特設のページでは、「個人のみなさま」「事業者のみなさま」「学校
関係者、保護者のみなさま(お子さま向け資料)」で項目をわけ、それぞれに
個人情報の取り扱いについて、ポイントをまとめています。
参考文献 (日本語)
個人情報保護委員会
個人情報を考える週間
https://www.ppc.go.jp/news/privacy_awareness_week/
