セキュリティ情報 – ページ 9 – 情報教育センター

Apache HTTP Serverのパストラバーサルの脆弱性（CVE-2021-41773）に関する注意喚起

　JPCERT/CCからの「Apache HTTP Serverのパストラバーサルの脆弱性（CVE-2021-41773）に関する注意喚起」をお知らせします。

各位

JPCERT-AT-2021-0043
JPCERT/CC
2021-10-06（新規）
2021-10-08（更新）

<<< JPCERT/CC Alert 2021-10-06 >>>
Apache HTTP Serverのパストラバーサルの脆弱性（CVE-2021-41773）に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210043.html

I.概要

Apache HTTP Serverのバージョン2.4.49には、パストラバーサルの脆弱性（CVE-2021-41773）があります。結果として、遠隔の第三者が、細工したリクエストを送信し、Apache HTTP Serverが稼働するサーバーでアクセスが適切に制限されていないドキュメントルート外のファイルを読み取るなどの可能性があります。

The Apache Software Foundation

important: Path traversal and file disclosure vulnerability in Apache HTTP Server 2.4.49 (CVE-2021-41773)
https://httpd.apache.org/security/vulnerabilities_24.html#2.4.50

The Apache Software Foundationは、本脆弱性を悪用する攻撃を確認していると明らかにしており、JPCERT/CCは、本脆弱性を実証するとみられるコードがすでに複数公開されている状況を確認しています。

影響を受けるApache HTTP Serverのバージョン2.4.49を使用している場合、The Apache Software Foundationが公開している情報を確認し、速やかに対策を適用することを推奨します。

** 更新: 2021年10月8日追記 *******************************************

2021年10月7日（米国時間）、The Apache Software Foundationは、本脆弱性の修正として提供したバージョン2.4.50に、別のパストラバーサルの脆弱性（CVE-2021-42013）があることが判明したことを発表し、本脆弱性を修正するバージョン2.4.51をリリースしました。

脆弱性が悪用されると、遠隔の第三者が、アクセスが適切に制限されていないドキュメントルート外のファイルを読み取る可能性があります。また、CGIスクリプトにアクセス可能な場合、任意のコードを実行する可能性があります。

The Apache Software Foundation
critical: Path Traversal and Remote Code Execution in Apache HTTP Server 2.4.49 and 2.4.50 (incomplete fix of CVE-2021-41773) (CVE-2021-42013)
https://httpd.apache.org/security/vulnerabilities_24.html#2.4.51

JPCERT/CCは、本脆弱性を実証するとみられるコードがすでに公開されている状況を確認しています。

影響を受けるApache HTTP Serverのバージョン2.4.49あるいは2.4.50を使用している場合、速やかに対策を適用することを推奨します。

**********************************************************************

II.対象

次のバージョンのApache HTTP Serverが本脆弱性の影響を受けます。

– Apache HTTP Server 2.4.49

** 更新: 2021年10月8日追記 *******************************************

別のパストラバーサルの脆弱性（CVE-2021-42013）の影響を受けるのは、次のバージョンのApache HTTP Serverです。

– Apache HTTP Server 2.4.49

– Apache HTTP Server 2.4.50
**********************************************************************

III.対策

The Apache Software Foundationから本脆弱性を修正する次のバージョンが公開されています。速やかに対策の実施をご検討ください。

– Apache HTTP Server 2.4.50

** 更新: 2021年10月8日追記 *******************************************

別のパストラバーサルの脆弱性（CVE-2021-42013）を修正する次のバージョンが公開されています。

– Apache HTTP Server 2.4.51

**********************************************************************

IV. 参考情報

The Apache Software Foundation
Apache HTTP Server 2.4.50 Released
https://downloads.apache.org/httpd/Announcement2.4.html

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

________
改訂履歴
2021-10-06 初版
2021-10-08 「I. 概要」「II. 対象」「III. 対策」の追記

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email:
https://www.jpcert.or.jp/

iOSアプリ「スニーカーダンクスニーカーフリマアプリ」にサーバー証明書の検証不備の脆弱性

最終更新日: 2021/10/06

情報源

Japan Vulnerability Notes JVN#10168753
iOS アプリ「スニーカーダンクスニーカーフリマアプリ」におけるサーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN10168753/

概要

iOSアプリ「スニーカーダンクスニーカーフリマアプリ」には、サーバー証明書の検証不備の脆弱性があります。結果として、遠隔の第三者によって、通信内容の取得や改ざんなどが行われる可能性があります。

対象となるバージョンは次のとおりです。

– iOSアプリ「スニーカーダンクスニーカーフリマアプリ」バージョン2.2.0より前のバージョン

この問題は、株式会社SODAが提供する修正済みのバージョンに更新することで解決します。詳細は、株式会社SODAが提供する情報を参照してください。

スマートフォンアプリ「InBody」に情報漏えいの脆弱性

最終更新日: 2021/10/06

情報源

Japan Vulnerability Notes JVN#63023305
スマートフォンアプリ「InBody」における情報漏えいの脆弱性
https://jvn.jp/jp/JVN63023305/

概要

スマートフォンアプリ「InBody」には、情報漏えいの脆弱性が存在します。この問題は、当該アプリが体組成計InBody Dialと連動し、測定結果をアプリに転送する際に、特定の条件下において情報漏えいが発生する可能性があります。

対象となるバージョンは次のとおりです。

– iOSアプリ「InBody」バージョン 2.3.30より前のバージョン
– Androidアプリ「InBody」バージョン 2.2.90(510)より前のバージョン

この問題は、該当する製品を株式会社インボディ・ジャパンが提供する修正済みのバージョンに更新することで解決します。詳細は、株式会社インボディ・ジャパンが提供する情報を参照してください。

WordPress用プラグインOG Tagsにクロスサイトリクエストフォージェリの脆弱性

最終更新日: 2021/10/06

情報源

Japan Vulnerability Notes JVN#29428319
WordPress 用プラグイン OG Tags におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN29428319/

概要

WordPress用プラグインOG Tagsには、クロスサイトリクエストフォージェリの脆弱性が存在します。結果として、当該製品に管理者権限でログインした状態のユーザーが、細工されたページにアクセスした場合、意図しない操作をさせられる可能性があります。

対象となるバージョンは次のとおりです。

– OG Tags 2.0.2より前のバージョン

この問題は、該当する製品をMario Valneyが提供する修正済みのバージョンに更新することで解決します。詳細は、Mario Valneyが提供する情報を参照してください。

サイボウズリモートサービスに複数の脆弱性

最終更新日: 2021/10/06

情報源

Japan Vulnerability Notes JVN#52694228
サイボウズリモートサービスにおける複数の脆弱性
https://jvn.jp/jp/JVN52694228/

概要

サイボウズリモートサービスには、複数の脆弱性があります。結果として、遠隔の第三者が情報を改ざんするなどの可能性があります。

対象となるバージョンは次のとおりです。

– サイボウズリモートサービス 3.0.0から3.1.9まで

この問題は、サイボウズ株式会社が提供する修正済みのバージョンに更新することで解決します。詳細は、サイボウズ株式会社が提供する情報を参照してください。

複数のトレンドマイクロ製品に脆弱性

最終更新日: 2021/10/06

情報源

Japan Vulnerability Notes JVNVU#99718667
トレンドマイクロ製スマートホームスキャナー (Windows版) における権限昇格の脆弱性
https://jvn.jp/vu/JVNVU99718667/

Japan Vulnerability Notes JVNVU#99520559

トレンドマイクロ製ServerProtectにおける認証回避の脆弱性
https://jvn.jp/vu/JVNVU99520559/

概要

複数のトレンドマイクロ製品には、脆弱性があります。結果として、遠隔の第三者が認証を回避するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

– スマートホームスキャナー（Windows版）バージョン番号 5.3.1225およびそれ以前
– ServerProtect for Windows 5.8（Build 1575）より前のバージョン
– ServerProtect for NetApp 5.8（Build 1299）より前のバージョン
– ServerProtect for EMC Celerra 5.8（Build 1577）より前のバージョン
– ServerProtect for Storage 6.0（Build 1284）より前のバージョン

この問題は、トレンドマイクロ株式会社が提供する修正済みのバージョンに更新することで解決します。詳細は、トレンドマイクロ株式会社が提供する情報を参照してください。

Google Chromeに複数の脆弱性

最終更新日: 2021/10/06

情報源

CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/10/01/google-releases-security-updates-chrome

概要

Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

– Google Chrome 94.0.4606.71より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新することで解決します。詳細は、Googleが提供する情報を参照してください。

Hikvision製ネットワークカメラ製品にコマンドインジェクションの脆弱性

最終更新日: 2021/10/06

情報源

CISA Current Activity
RCE Vulnerability in Hikvision Cameras (CVE-2021-36260)
https://us-cert.cisa.gov/ncas/current-activity/2021/09/28/rce-vulnerability-hikvision-cameras-cve-2021-36260

JPCERT/CC CyberNewsFlash

Hikvision製ネットワークカメラの脆弱性（CVE-2021-36260）について
https://www.jpcert.or.jp/newsflash/2021093001.html

概要

Hikvision製のネットワークカメラ製品には、コマンドインジェクションの脆弱性があります。結果として、遠隔の第三者が、任意のコマンドを実行する可能性があります。

対象となる製品は、多岐にわたります。詳細はHikvisionが提供するアドバイザリ情報を参照してください。

この問題は、該当する製品をHikvisionが提供する修正済みのファームウェアに更新することで解決します。詳細はHikvisionのアドバイザリの情報を参照してください。

SonicWall SMA 100シリーズ製品にアクセス制限不備の脆弱性

最終更新日: 2021/10/06

情報源

SonicWall
Unauthenticated SMA100 arbitrary file delete vulnerability
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0021

概要

SonicWall SMA 100シリーズには、アクセス制限不備の脆弱性があります。結果として、遠隔の第三者が任意のファイルを削除するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

製品
– SMA 200
– SMA 210
– SMA 400
– SMA 410
– SMA 500v（ESX, KVM, AWS, Azure）

バージョン

– 10.2.1.0-17svおよびそれ以前
– 10.2.0.7-34svおよびそれ以前
– 9.0.0.10-28svおよびそれ以前

この問題は、該当する製品をSonicWallが提供する修正済みのバージョンに更新することで解決します。詳細は、SonicWallが提供する情報を参照してください。

SonicWall製のSMA100シリーズの脆弱性（CVE-2021-20034）に関する注意喚起

　JPCERT/CCからの「SonicWall製のSMA100シリーズの脆弱性（CVE-2021-20034）に関する注意喚起」をお知らせします。

各位

JPCERT-AT-2021-0042
JPCERT/CC
2021-10-01

<<< JPCERT/CC Alert 2021-10-01 >>>
SonicWall製のSMA100シリーズの脆弱性（CVE-2021-20034）に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210042.html

I.概要

2021年9月24日（現地時間）、SonicWall社は、SMA100シリーズの脆弱性（CVE-2021-20034）に関する情報を公開しました。脆弱性を悪用された場合、遠隔の第三者が任意のファイルを削除することが可能であり、結果として当該製品の管理者権限を取得する可能性があります。詳細については、SonicWall社が提供する情報を確認してください。

SonicWall

本脆弱性の影響を受ける製品をご利用の場合、速やかに利用状況の確認や対策の実施をすることを推奨します。

II.対象

対象となる製品とバージョンは次のとおりです。

製品

– SMA 200
– SMA 210
– SMA 400
– SMA 410
– SMA 500v

バージョン

– 10.2.1.0-17svおよびそれ以前
– 10.2.0.7-34svおよびそれ以前
– 9.0.0.10-28svおよびそれ以前

III.対策

本脆弱性を修正した次のバージョンが公開されています。修正済みバージョンの適用をご検討ください。

– 10.2.1.1-19sv

– 10.2.0.8-37sv
– 9.0.0.11-31sv

IV. 参考情報

SonicWall
Unauthenticated SMA100 arbitrary file delete vulnerability
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0021

SonicWall

How To Upgrade Firmware On SMA 100 Series Appliances
https://www.sonicwall.com/support/knowledge-base/how-to-upgrade-firmware-on-sma-100-series-appliances/170502339501169/

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email:
https://www.jpcert.or.jp/

I.概要

II.対象

III.対策

IV. 参考情報

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

関連文書（英語）

I.概要

II.対象

III.対策

IV. 参考情報