ミニ・いんふぉめーしょん

目 次

【1】複数の Mozilla 製品に脆弱性
【2】複数の Apple 製品に脆弱性
【3】GROWI に複数の脆弱性
【4】日本電気株式会社製ディスクアレイ管理ソフトウェアにサーバ証明書の検証不備の脆弱性
【5】複数のセイコーエプソン製品で作成された自己解凍形式ファイルに DLL 読み込みの脆弱性
【6】経済産業省が「サイバーセキュリティの取組の強化に関する注意喚起」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr205001.html
https://www.jpcert.or.jp/wr/2020/wr205001.xml
============================================================================

【1】複数の Mozilla 製品に脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird
https://us-cert.cisa.gov/ncas/current-activity/2020/12/16/mozilla-releases-security-updates-firefox-firefox-esr-and

概要
複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が
製品をクラッシュするなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 84 より前のバージョン
- Mozilla Firefox ESR 78.6 より前のバージョン
- Mozilla Thunderbird 78.6 より前のバージョン

この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更
新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ
い。

関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 84
https://www.mozilla.org/en-US/security/advisories/mfsa2020-54/

Mozilla
Security Vulnerabilities fixed in Firefox ESR 78.6
https://www.mozilla.org/en-US/security/advisories/mfsa2020-55/

Mozilla
Security Vulnerabilities fixed in Thunderbird 78.6
https://www.mozilla.org/en-US/security/advisories/mfsa2020-56/

【2】複数の Apple 製品に脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/12/15/apple-releases-security-updates-multiple-products

Japan Vulnerability Notes JVNVU#95288122
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU95288122/

概要
複数の Apple 製品には、脆弱性があります。結果として、第三者が任意の
コードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- iOS 14.3 より前のバージョン
- iPadOS 14.3 より前のバージョン
- tvOS 14.3 より前のバージョン
- watchOS 7.2 より前のバージョン
- Safari 14.0.2 より前のバージョン
- macOS Big Sur 11.1 より前のバージョン
- macOS Catalina (Security Update 2020-001 未適用)
- macOS Mojave (Security Update 2020-007 未適用)
- macOS Server 5.11 より前のバージョン

この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新
することで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (日本語)
Apple
iOS 14.3 および iPadOS 14.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212003

Apple
iOS 12.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212004

Apple
tvOS 14.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212005

Apple
watchOS 7.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212009

Apple
watchOS 6.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212006

Apple
Safari 14.0.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212007

Apple
macOS Big Sur 11.1、セキュリティアップデート 2020-001 Catalina、セキュリティアップデート 2020-007 Mojave のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212011

Apple
macOS Server 5.11 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211932

【3】GROWI に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#94169589
GROWI における複数の脆弱性
https://jvn.jp/jp/JVN94169589/

概要
株式会社WESEEK が提供する GROWI には、複数の脆弱性があります。結果と
して、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行うなどの可能性があ
ります。

対象となる製品バージョンは次のとおりです。

- GROWI v4.2.3 よりも前のバージョン (v4.2系)
- GROWI v4.1.12 よりも前のバージョン (v4.1系)
- GROWI v3系およびそれ以前のバージョン

この問題は、GROWI を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

【4】日本電気株式会社製ディスクアレイ管理ソフトウェアにサーバ証明書の検証不備の脆弱性

情報源
Japan Vulnerability Notes JVN#10100024
日本電気株式会社製ディスクアレイ管理ソフトウェアにサーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN10100024/

概要
日本電気株式会社が提供するディスクアレイ管理ソフトウェアには、サーバ証
明書の検証不備の脆弱性があります。結果として、第三者が通信内容を窃取し
たり、改ざんしたりする可能性があります。

対象となる製品およびバージョンは次のとおりです。

- WebSAM iStorageManager および iStorageManager Express で動作する次の製品
- iSM クライアント V5.1 から V12.1 より前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
日本電気株式会社
iStorageManagerにおけるメッセージ改ざんの脆弱性
https://jpn.nec.com/security-info/secinfo/nv20-015.html

【5】複数のセイコーエプソン製品で作成された自己解凍形式ファイルに DLL 読み込みの脆弱性

情報源
Japan Vulnerability Notes JVN#94244575
複数のセイコーエプソン製品で作成された自己解凍形式ファイルにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN94244575/

概要
セイコーエプソン株式会社が提供する複数の製品で作成された自己解凍形式ファ
イルには、DLL 読み込みに関する脆弱性があります。結果として、第三者が当該
ファイルを実行している権限で、任意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- 下記バージョンの製品で作成された自己解凍形式ファイル
- EpsonNet SetupManager バージョン 2.2.14 およびそれ以前
- Offirio SynergyWare PrintDirector バージョン 1.6x/1.6y およびそれ以前

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
セイコーエプソン株式会社
エプソン製ソフトウェアで作成した自己解凍形式ファイルのDLL読み込みに関する脆弱性について
https://www.epson.jp/support/misc_t/201217_oshirase.htm

【6】経済産業省が「サイバーセキュリティの取組の強化に関する注意喚起」を公開

情報源
経済産業省
最近のサイバー攻撃の状況を踏まえ、経営者の皆様へサイバーセキュリティの取組の強化に関する注意喚起を行います
https://www.meti.go.jp/press/2020/12/20201218008/20201218008.html

概要
2020年12月18日、経済産業省は、サイバーセキュリティの取組の強化に関する
注意喚起を公開しました。サイバー攻撃の起点の拡大や烈度の増大が続いてい
ることを受け、企業の経営者の方々に対し、サイバーセキュリティの取組の一
層の強化を促すため、最近の攻撃の特徴と目的を明らかにし、企業やその関係
機関等が対応する際に注意すべき点を整理しています。

 目 次

【1】複数の Microsoft 製品に脆弱性
【2】複数の Adobe 製品に脆弱性
【3】Apache Struts 2 に任意のコードが実行可能な脆弱性
【4】OpenSSL に NULL ポインタ参照の脆弱性
【5】複数の SAP 製品に脆弱性
【6】Cisco Jabber に複数の脆弱性
【7】三菱電機製 MELSEC iQ-F シリーズにサービス運用妨害 (DoS) の脆弱性
【8】NEC Aterm SA3500G に複数の脆弱性
【9】Apache Cordova Plugin camera に情報漏えいの脆弱性
【10】トレンドマイクロ株式会社製 ServerProtect for Linux にヒープベースのバッファオーバーフローの脆弱性
【今週のひとくちメモ】JPCERT/CC Eyes 「Quasar Familyによる攻撃活動」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr204901.html
https://www.jpcert.or.jp/wr/2020/wr204901.xml
============================================================================

【1】複数の Microsoft 製品に脆弱性

情報源
CISA Current Activity
Microsoft Releases December 2020 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/12/08/microsoft-releases-december-2020-security-updates

概要
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Microsoft Windows
- Microsoft Edge (EdgeHTML ベース)
- ChakraCore
- Microsoft Office、Microsoft Office Services および Web Apps
- Microsoft Windows Codecs Library
- Microsoft Exchange Server
- Azure DevOps
- Microsoft Dynamics
- Visual Studio
- Azure SDK
- Azure Sphere

この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
とで解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)
マイクロソフト株式会社
2020 年 12 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2020-Dec

JPCERT/CC 注意喚起
2020年12月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200047.html

【2】複数の Adobe 製品に脆弱性

情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/12/08/adobe-releases-security-updates-multiple-products

概要
複数の Adobe 製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Acrobat DC
- Acrobat 2017
- Acrobat 2020
- Acrobat Reader DC
- Acrobat Reader 2017
- Acrobat Reader 2020
- Adobe Experience Manager
- Adobe Experience Manager Forms アドオン
- Adobe Lightroom Classic
- Adobe Prelude

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
Adobe Acrobat および Reader の脆弱性 (APSB20-75) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200049.html

JPCERT/CC CyberNewsFlash
複数の Adobe 製品のアップデートや予告について
https://www.jpcert.or.jp/newsflash/2020120901.html

Adobe
Adobe Prelude に関するセキュリティアップデート公開 | APSB20-70
https://helpx.adobe.com/jp/security/products/prelude/apsb20-70.html

Adobe
Adobe Experience Manager に関するセキュリティアップデート公開 | APSB20-72
https://helpx.adobe.com/jp/security/products/experience-manager/apsb20-72.html

Adobe
Adobe Lightroom に関するセキュリティアップデート公開 | APSB20-74
https://helpx.adobe.com/jp/security/products/lightroom/apsb20-74.html

Adobe
Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB20-75
https://helpx.adobe.com/jp/security/products/acrobat/apsb20-75.html

【3】Apache Struts 2 に任意のコードが実行可能な脆弱性

情報源
CISA Current Activity
Apache Releases Security Update for Apache Struts 2
https://us-cert.cisa.gov/ncas/current-activity/2020/12/08/apache-releases-security-update-apache-struts-2

概要
Apache Software Foundation が提供する Apache Struts 2 には、不適切な入
力確認に起因する任意のコードが実行可能な脆弱性があります。結果として、
遠隔の第三者が、任意のコードを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Apache Struts 2.0.0 から 2.5.25 までのバージョン

この問題は、Apache Struts 2 を Apache Software Foundation が提供する修
正済みのバージョンに更新することで解決します。詳細は Apache Software
Foundation が提供する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVN#43969166
Apache Struts 2 において任意のコードが実行可能な脆弱性 (S2-061)
https://jvn.jp/jp/JVN43969166/

JPCERT/CC 注意喚起
Apache Struts 2 の脆弱性 (S2-061) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200046.html

関連文書 (英語)
The Apache Software Foundation
S2-061
https://cwiki.apache.org/confluence/display/WW/S2-061

【4】OpenSSL に NULL ポインタ参照の脆弱性

情報源
CISA Current Activity
OpenSSL Releases Security Update
https://us-cert.cisa.gov/ncas/current-activity/2020/12/08/openssl-releases-security-update

概要
OpenSSL Project が提供する OpenSSL には、NULL ポインタ参照の脆弱性があ
ります。結果として、遠隔の第三者が、OpenSSL を実行しているサーバーおよ
びクライアントアプリケーションにおいて、サービス運用妨害 (DoS) 攻撃を
行う可能性があります。

対象となるバージョンは次のとおりです。

- OpenSSL 1.1.1 から 1.1.1h までのバージョン
- OpenSSL 1.0.2 から 1.0.2w までのバージョン

この問題は、OpenSSL を OpenSSL Project が提供する修正済みのバージョン
に更新することで解決します。詳細は OpenSSL Project が提供する情報を参
照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#91053554
OpenSSL における NULL ポインタ参照の脆弱性
https://jvn.jp/vu/JVNVU91053554/

JPCERT/CC 注意喚起
OpenSSL の脆弱性 (CVE-2020-1971) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200048.html

関連文書 (英語)
OpenSSL Project
OpenSSL Security Advisory [08 December 2020]
https://www.openssl.org/news/secadv/20201208.txt

【5】複数の SAP 製品に脆弱性

情報源
CISA Current Activity
SAP Releases December 2020 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/12/08/sap-releases-december-2020-security-updates

概要
複数の SAP 製品には、脆弱性があります。結果として、遠隔の第三者が管理
者権限を取得し、システムを停止するなどの可能性があります。

対象となる製品は、多岐に渡ります。詳細は SAP が提供するアドバイザリ情
報を参照してください。

この問題は、該当する製品を SAP が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、SAP が提供する情報を参照してください。

関連文書 (英語)
SAP
SAP Security Patch Day December 2020
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=564757079

【6】Cisco Jabber に複数の脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Jabber Desktop and Mobile Client Software
https://us-cert.cisa.gov/ncas/current-activity/2020/12/11/cisco-releases-security-updates-jabber-desktop-and-mobile-client

概要
Cisco Jabber には、複数の脆弱性があります。結果として、遠隔の第三者が
システム上で任意のプログラムを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Cisco Jabber for Windows
- Cisco Jabber for MacOS
- Cisco Jabber for Android and iOS

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Jabber Desktop and Mobile Client Software Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-jabber-ZktzjpgO

【7】三菱電機製 MELSEC iQ-F シリーズにサービス運用妨害 (DoS) の脆弱性

情報源
Japan Vulnerability Notes JVNVU#95638588
三菱電機製 MELSEC iQ-F シリーズにおけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU95638588/

概要
三菱電機株式会社が提供する MELSEC iQ-F シリーズ FX5U(C) CPU ユニットに
は、サービス運用妨害 (DoS) の脆弱性があります。 結果として、遠隔の第三
者が、プログラム実行および通信をサービス運用妨害 (DoS) 状態にする可能
性があります。

対象となるバージョンは次のとおりです。

- FX5U(C) CPU ユニット ファームウェアバージョン 1.060 およびそれ以前

この問題は、FX5U(C) CPU ユニット を三菱電機株式会社が提供する修正済み
のバージョンに更新することで解決します。詳細は、三菱電機株式会社が提供
する情報を参照してください。

関連文書 (日本語)
三菱電機株式会社
MELSEC iQ-FシリーズCPUユニット のEthernetポートにおけるサービス拒否（DoS）の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2020-018.pdf

関連文書 (英語)
ICS Advisory (ICSA-20-345-01)
Mitsubishi Electric MELSEC iQ-F Series
https://us-cert.cisa.gov/ics/advisories/icsa-20-345-01

【8】NEC Aterm SA3500G に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#55917325
NEC Aterm SA3500G における複数の脆弱性
https://jvn.jp/jp/JVN55917325/

概要
日本電気株式会社が提供する Aterm SA3500G には、複数の脆弱性があります。
結果として、当該製品にアクセスが可能な第三者が、任意のコマンドを実行す
るなどの可能性があります。

対象となるバージョンは次のとおりです。

- Aterm SA3500G ファームウェア Ver3.5.9 およびそれ以前

この問題は、Aterm SA3500G を日本電気株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、日本電気株式会社が提供する情報を参
照してください。

関連文書 (日本語)
NECプラットフォームズ株式会社
Aterm SA3500Gにおける複数の脆弱性
https://www.necplatforms.co.jp/product/security_ap/info_20201211.html

【9】Apache Cordova Plugin camera に情報漏えいの脆弱性

情報源
Japan Vulnerability Notes JVN#59779918
Apache Cordova Plugin camera における情報漏えいの脆弱性
https://jvn.jp/jp/JVN59779918/

概要
Apache Cordova Project が提供する Apache Cordova Plugin camera には、
情報漏えいの脆弱性があります。外部ストレージを持っている Android デバ
イスで当該製品を利用している場合、外部ストレージに保存された画像データ
にアクセスされる可能性があります。

対象となるバージョンは次のとおりです。

- Apache Cordova Plugin camera 5.0.0 より前のバージョン

この問題は、Apache Cordova Plugin camera を Apache Cordova Project が
提供する修正済みのバージョンに更新することで解決します。詳細は、Apache
Cordova Project が提供する情報を参照してください。

関連文書 (英語)
Apache Cordova Project
Security Advisory CVE-2020-11990
https://cordova.apache.org/news/2020/11/30/cve-2020-11990.html

【10】トレンドマイクロ株式会社製 ServerProtect for Linux にヒープベースのバッファオーバーフローの脆弱性

情報源
Japan Vulnerability Notes JVNVU#97704455
トレンドマイクロ株式会社製 ServerProtect for Linux にヒープベースのバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU97704455/

概要
トレンドマイクロ株式会社が提供する ServerProtect for Linux には、ヒー
プベースのバッファオーバーフローの脆弱性があります。 結果として、高特
権コードを実行可能な第三者が、権限を昇格する可能性があります。

対象となるバージョンは次のとおりです。

- ServerProtect for Linux バージョン 3.0

この問題は、ServerProtect for Linux をトレンドマイクロ株式会社が提供す
る修正済みのバージョンに更新することで解決します。詳細は、トレンドマイ
クロ株式会社が提供する情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ：ServerProtect for Linuxのヒープベースバッファオーバーフロー特権昇格脆弱性(CVE-2020-28575)について
https://success.trendmicro.com/jp/solution/000281952

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CC Eyes 「Quasar Familyによる攻撃活動」を公開

2020年12月10日、JPCERT/CC は、公式ブログ JPCERT/CC Eyes にて「Quasar
Familyによる攻撃活動」を公開しました。Quasar はオープンソースの RAT（Remote
Administration Tool）で、多くの攻撃者に悪用されていることが報告されて
います。また、Quasar は、多くの派生があり、それらは Quasar Family と呼
ばれています。今回は Quasar および Quasar Family の詳細について紹介し
ています。

参考文献 (日本語)
JPCERT/CC
Quasar Familyによる攻撃活動
https://blogs.jpcert.or.jp/ja/2020/12/quasar-family.html

目 次

【1】Google Chrome に複数の脆弱性
【2】Mozilla Thunderbird にスタックオーバフローの脆弱性
【3】Apache Tomcat に HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性
【4】CentOS Linux 6サポート終了について
【5】desknet's NEO にクロスサイトスクリプティングの脆弱性
【6】Apple iCloud for Windows に複数の脆弱性
【7】ファイル・データ転送アプライアンス FileZen のアップデートについて
【8】EC-CUBE に複数の脆弱性
【9】三菱電機製 GOT およびテンションコントローラにサービス運用妨害 (DoS) の脆弱性
【今週のひとくちメモ】JPCERT/CC 「QuasarRAT analysis tools and research report」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr204801.html
https://www.jpcert.or.jp/wr/2020/wr204801.xml
============================================================================

【1】Google Chrome に複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2020/12/04/google-releases-security-updates-chrome

概要
Google Chrome には、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 87.0.4280.88 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/12/stable-channel-update-for-desktop.html

【2】Mozilla Thunderbird にスタックオーバフローの脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Update for Thunderbird
https://us-cert.cisa.gov/ncas/current-activity/2020/12/02/mozilla-releases-security-update-thunderbird

概要
Mozilla Thunderbird には、スタックオーバフローの脆弱性があります。結果
として、第三者が影響を受けるシステムを制御する可能性があります。

対象となるバージョンは次のとおりです。

- Mozilla Thunderbird 78.5.1 より前のバージョン

この問題は、Mozilla Thunderbird を Mozilla が提供する修正済みのバージョン
に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく
ださい。

関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Thunderbird 78.5.1
https://www.mozilla.org/en-US/security/advisories/mfsa2020-53/

【3】Apache Tomcat に HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性

情報源
CISA Current Activity
Apache Releases Security Advisory for Apache Tomcat
https://us-cert.cisa.gov/ncas/current-activity/2020/12/04/apache-releases-security-advisory-apache-tomcat

概要
The Apache Software Foundation が提供する Apache Tomcat には、HTTP/2
リクエスト処理の不備に起因する情報漏えいの脆弱性があります。結果として、
他のリクエストにヘッダ値が引き継がれることにより情報漏えいが発生する可
能性があります。

対象となるバージョンは次のとおりです。

- Apache Tomcat 10.0.0-M1 から 10.0.0-M9 まで
- Apache Tomcat 9.0.0-M1 から 9.0.39 まで
- Apache Tomcat 8.5.0 から 8.5.59 まで

この問題は、Apache Tomcat を The Apache Software Foundation が提供する
修正済みのバージョンに更新することで解決します。詳細は Apache Software
Foundation が提供する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#94251682
Apache Tomcat における HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性
https://jvn.jp/vu/JVNVU94251682/

JPCERT/CC 注意喚起
Apache Tomcat の脆弱性 (CVE-2020-17527) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200045.html

関連文書 (英語)
The Apache Software Foundation
Fixed in Apache Tomcat 10.0.0-M10
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M10

The Apache Software Foundation
Fixed in Apache Tomcat 9.0.40
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.40

The Apache Software Foundation
Fixed in Apache Tomcat 8.5.60
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.60

【4】CentOS Linux 6サポート終了について

情報源
CentOS
CentOS Community Newsletter, December 2020 (#2012)
https://blog.centos.org/2020/12/centos-community-newsletter-december-2020-2012/

概要
2020年12月1日 (米国時間)、The CentOS Project から CentOS 6 Linux のサ
ポート終了について告知がありました。2020年11月30日をもって、当該製品の
サポートが終了します。サポート終了後はマルウエアへの感染や情報漏えいな
どの被害を受けやすくなります。当該製品を利用している場合、サポートが行
われているバージョンへの移行をお勧めします。

【5】desknet's NEO にクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#42199826
desknet's NEO におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN42199826/

概要
株式会社ネオジャパンが提供する desknet's NEO には、格納型のクロスサイ
トスクリプティングの脆弱性があります。遠隔の第三者が、当該製品にログイン
した状態のユーザのウェブブラウザ上で、任意のスクリプトを実行する可能性
があります。

対象となるバージョンは次のとおりです。

- desknet's NEO スモールライセンス V5.5 R1.5 およびそれ以前
- desknet's NEO エンタープライズライセンス V5.5 R1.5 およびそれ以前

この問題は、desknet's NEO を株式会社ネオジャパンが提供する修正済みのバージョン
に更新することで解決します。詳細は、株式会社ネオジャパンが提供する情報
を参照してください。

関連文書 (日本語)
desknet's NEO
desknet'sNEO 製品におけるセキュリティ上の問題(クロスサイト・スクリプティング)について
https://www.desknets.com/neo/support/mainte/9700/

【6】Apple iCloud for Windows に複数の脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates for iCloud for Windows
https://us-cert.cisa.gov/ncas/current-activity/2020/12/03/apple-releases-security-updates-icloud-windows

概要
Apple の iCloud for Windows には、複数の脆弱性があります。結果として、
第三者が任意のコードを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- iCloud for Windows 11.5 より前のバージョン

この問題は、iCloud for Windows を Apple が提供する修正済みのバージョン
に更新することで解決します。詳細は、Apple が提供する情報を参照してくだ
さい。

関連文書 (日本語)
Apple
Windows 用 iCloud 11.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211935

Japan Vulnerability Notes JVNVU#92370378
Apple iCloud for Windows における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU92370378/

【7】ファイル・データ転送アプライアンス FileZen のアップデートについて

情報源
株式会社ソリトンシステムズ
【重要】FileZen最新バージョンへのアップデートのお願い（V4.2.2以前）
https://www.soliton.co.jp/support/2020/004274.html

概要
2020年12月2日、株式会社ソリトンシステムズからファイル・データ転送アプ
ライアンス FileZen に対してアップデートを促す注意喚起が公開されました。
開発者は、FileZen を使用しているユーザーに対し、最新バージョンへの早急
なアップデートを呼びかけています。

対象となるバージョンは次のとおりです。

- FileZen V4.2.3 より前のバージョン

詳細は、株式会社ソリトンシステムズが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
ファイル・データ転送アプライアンス FileZen に関する注意喚起 (公開)
https://www.jpcert.or.jp/at/2020/at200044.html

【8】EC-CUBE に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#24457594
EC-CUBE における複数の脆弱性
https://jvn.jp/jp/JVN24457594/

概要
EC-CUBE には、複数の脆弱性があります。結果として、遠隔の第三者が、サー
ビス運用妨害 (DoS) 攻撃を行ったり、ユーザの意図しない操作を行ったりす
る可能性があります。

対象となるバージョンは次のとおりです。

- EC-CUBE 3.0.0 から 3.0.18 までのバージョン

この問題は、EC-CUBE を株式会社イーシーキューブが提供するパッチを適用す
ることで解決します。詳細は、株式会社イーシーキューブが提供する情報を参
照してください。

関連文書 (日本語)
株式会社イーシーキューブ
DoSの危険性(3.0系)
https://www.ec-cube.net/info/weakness/weakness.php?id=76

株式会社イーシーキューブ
クリックジャッキングの脆弱性(3.0系)
https://www.ec-cube.net/info/weakness/weakness.php?id=75

【9】三菱電機製 GOT およびテンションコントローラにサービス運用妨害 (DoS) の脆弱性

情報源
Japan Vulnerability Notes JVNVU#99277775
三菱電機製 GOT およびテンションコントローラにおけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU99277775/

概要
GOT2000 シリーズ GT21 モデルおよび GOT SIMPLE シリーズ GS21 モデル、テン
ションコントローラには、サービス運用妨害 (DoS) の脆弱性があります。結
果として、遠隔の第三者が、細工したパケットを送信することで、サービス運
用妨害 (DoS) 攻撃を行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

- GOT2000 シリーズ GT21 モデル GT2107-WTBD 全てのバージョン
- GOT2000 シリーズ GT21 モデル GT2107-WTSD 全てのバージョン
- GOT2000 シリーズ GT21 モデル GT2104-RTBD 全てのバージョン
- GOT2000 シリーズ GT21 モデル GT2104-PMBD 全てのバージョン
- GOT2000 シリーズ GT21 モデル GT2103-PMBD 全てのバージョン
- GOT SIMPLE シリーズ GS21 モデル GS2110-WTBD 全てのバージョン
- GOT SIMPLE シリーズ GS21 モデル GS2107-WTBD 全てのバージョン
- LE7-40GU-L 全てのバージョン

この問題は、該当する製品に次の回避策を適用することで脆弱性の影響を軽減
することが可能です。なお、開発者によると、本脆弱性に対応したバージョン
を近日中にリリースする予定とのことです。

- 当該製品への接続は、信頼できるネットワークやホストからのアクセスに制限する

詳細は、三菱電機株式会社が提供する情報を参照してください。

関連文書 (日本語)
三菱電機株式会社
GOT及びテンションコントローラのTCP/IPスタックにおけるサービス拒否(DoS)の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2020-017.pdf

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CC 「QuasarRAT analysis tools and research report」を公開

2020年12月2日 (米国時間)、JPCERT/CC は、GitHub にて 「QuasarRAT
analysis tools and research report」を公開しました。QuasarRAT はオープ
ンソースの RAT（Remote Administration Tool）で、多くの攻撃者に悪用され
ていることが報告されています。本サイトでは、QuasarRAT および派生ソフト
ウェアに関する解析レポートと解析に活用できるツールについて掲載していま
す。

参考文献 (日本語)
JPCERT/CC
QuasarRAT analysis tools and research report
https://github.com/JPCERTCC/QuasarRAT-Analysis

目 次

【1】複数の VMware 製品にコマンドインジェクションの脆弱性
【2】Drupal にPHPコード実行の脆弱性
【3】NETGEAR 製スイッチングハブにクロスサイトリクエストフォージェリの脆弱性
【4】トレンドマイクロ株式会社製ウイルスバスター for Mac に複数の脆弱性
【5】InterScan Messaging Security シリーズに複数の脆弱性
【6】GROWI に複数の脆弱性
【今週のひとくちメモ】NISC が「ランサムウエアによるサイバー攻撃について【注意喚起】」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr204701.html
https://www.jpcert.or.jp/wr/2020/wr204701.xml
============================================================================

【1】複数の VMware 製品にコマンドインジェクションの脆弱性

情報源
CISA Current Activity
VMware Releases Workarounds for CVE-2020-4006
https://us-cert.cisa.gov/ncas/current-activity/2020/11/23/vmware-releases-workarounds-cve-2020-4006

概要
複数の VMware 製品には、コマンドインジェクションの脆弱性があります。結
果として、遠隔の第三者が任意のコマンドを実行する可能性があります。

対象となる製品は次のとおりです。

- VMware Workspace One Access (Access)
- VMware Workspace One Access Connector (Access Connector)
- VMware Identity Manager (vIDM)
- VMware Identity Manager Connector (vIDM Connector)
- VMware Cloud Foundation
- vRealize Suite Lifecycle Manager

2020年12月2日時点で、修正済みのバージョンは提供されていません。VMware
がこの問題に対する回避策に関する情報を提供しています。詳細は、VMware
の提供する情報を確認してください。

関連文書 (日本語)
JVN
複数の VMware 製品に OS コマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU97472624/

関連文書 (英語)
VMware Security Advisories
VMSA-2020-0027.1
https://www.vmware.com/security/advisories/VMSA-2020-0027.html

CERT/CC
VMware Workspace ONE Access and related components are vulnerable to command injection
https://kb.cert.org/vuls/id/724367

【2】Drupal にPHPコード実行の脆弱性

情報源
CISA Current Activity
Drupal Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/11/27/drupal-releases-security-updates

概要
Drupal には、内部で使用しているパッケージの問題に起因する、ファイルアッ
プロード時の不適切な処理によるリモートコード実行の脆弱性があります。結
果として、遠隔の第三者が任意のPHPコードを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Drupal 9.0.9 より前の 9.0 系のバージョン
- Drupal 8.9.10 より前の 8.9 系のバージョン
- Drupal 8.8.12 より前の 8.8 系のバージョン
- Drupal 7.75 より前の 7 系のバージョン

なお、Drupal 8.8 系より前の 8 系のバージョンも影響を受けますが、サポー
トが終了しており、今回のセキュリティに関する情報は提供されていません。

この問題は、Drupal を Drupal が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Drupal が提供する情報を参照してください。

関連文書 (英語)
Drupal
Drupal core - Critical - Arbitrary PHP code execution - SA-CORE-2020-013
https://www.drupal.org/sa-core-2020-013

【3】NETGEAR 製スイッチングハブにクロスサイトリクエストフォージェリの脆弱性

情報源
Japan Vulnerability Notes JVN#27806339
NETGEAR GS108Ev3 におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN27806339/

概要
NETGEAR が提供する GS108Ev3 には、クロスサイトリクエストフォージェリの
脆弱性があります。結果として、遠隔の第三者が当該製品の設定を変更する可
能性があります。

対象となるバージョンは次のとおりです。

- GS108Ev3 Firmware version 2.06.10 およびそれ以前

この問題は、開発者が提供する最新版にファームウェアをアップデートするこ
とで回避できます。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
NETGEAR
GS108Ev3 Firmware Version 2.06.14
https://kb.netgear.com/000062496/

【4】トレンドマイクロ株式会社製ウイルスバスター for Mac に複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#94694991
トレンドマイクロ株式会社製ウイルスバスター for Mac に複数の脆弱性
https://jvn.jp/vu/JVNVU94694991/

概要
トレンドマイクロ株式会社製のウイルスバスター for Mac には、複数の脆弱
性があります。結果として、当該製品にアクセス可能な第三者が、情報を窃取
するなどの可能性があります。

対象となるバージョンは次のとおりです。

- ウイルスバスター for Mac バージョン 10.0
- ウイルスバスター for Mac バージョン 9.0

この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正済みの
バージョンに更新することで解決します。なお、9.0 系バージョンへのアップ
デートは提供されていないため、トレンドマイクロ株式会社は最新の 11.0 系
のバージョンへのアップグレードを推奨しています。詳細は、トレンドマイク
ロ株式会社が提供する情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ：ウイルスバスター for Mac の脆弱性について(CVE-2020-25778)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-09958

トレンドマイクロ株式会社
アラート/アドバイザリ：ウイルスバスター for Mac の脆弱性について(CVE-2020-25779)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-09959

トレンドマイクロ株式会社
アラート/アドバイザリ：ウイルスバスター for Mac の脆弱性について(CVE-2020-27013)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-09952

トレンドマイクロ株式会社
アラート/アドバイザリ：ウイルスバスター for Mac の脆弱性について(CVE-2020-27014)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-09963

トレンドマイクロ株式会社
アラート/アドバイザリ：ウイルスバスター for Mac の脆弱性について(CVE-2020-27015)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-09962

【5】InterScan Messaging Security シリーズに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#98890246
トレンドマイクロ株式会社製 InterScan Messaging Security シリーズにおける複数の脆弱性
https://jvn.jp/vu/JVNVU98890246/

概要
トレンドマイクロ株式会社が提供する InterScan Messaging Security シリー
ズには、複数の脆弱性があります。 結果として、遠隔の第三者が、設定を変
更したり、情報を窃取したりするなどの可能性があります。

対象となるバージョンは次のとおりです。

- InterScan Messaging Security Virtual Appliance バージョン 9.1
- InterScan Messaging Security Suite Linux 版 バージョン 9.1
- InterScan Messaging Security Suite Windows 版 バージョン 7.5

この問題は、該当する製品をトレンドマイクロ株式会社が提供するパッチを適
用することで解決します。パッチが適用できない場合には、回避策を適用する
ことで脆弱性の影響を軽減することが可能です。詳細は、トレンドマイクロ株
式会社が提供する情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ：InterScan Messaging Securityシリーズにおける管理コンソールの複数の脆弱性について
https://success.trendmicro.com/jp/solution/000280981

【6】GROWI に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#56450373
GROWI における複数の脆弱性
https://jvn.jp/jp/JVN56450373/

概要
株式会社WESEEK が提供する GROWI には、複数の脆弱性があります。 結果と
して、遠隔の第三者が、情報を窃取したり、任意のコードを実行したりするな
どの可能性があります。

対象となるバージョンは次のとおりです。

- GROWI v4.1.3 およびそれ以前
- GROWI v4.0.0 およびそれ以前
- GROWI v3.8.1 およびそれ以前

この問題は、GROWI を開発者が提供する修正済みのバージョンに更新すること
で解決します。詳細は、開発者が提供する情報を参照してください。

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○NISC が「ランサムウエアによるサイバー攻撃について【注意喚起】」を公開

内閣サイバーセキュリティセンター (NISC) は 11月26日、「ランサムウエア
によるサイバー攻撃について【注意喚起】」を公開しました。様々な組織でラ
ンサムウェアによるサイバー攻撃が確認されているなか、近年のランサムウェ
アの特徴として、「2段階の脅迫」と「人手によるランサムウエア攻撃」を挙
げ、その対応策について解説しています。過去に情報処理推進機構（IPA) や
JPCERT/CC も注意喚起等を行っており、改めてこれらの攻撃への注意が必要で
す。

参考文献 (日本語)
内閣サイバーセキュリティセンター (NISC)
ランサムウエアによるサイバー攻撃について【注意喚起】
https://www.nisc.go.jp/active/infra/pdf/ransomware20201126.pdf

情報処理推進機構 (IPA)
【注意喚起】事業継続を脅かす新たなランサムウェア攻撃について
https://www.ipa.go.jp/security/announce/2020-ransom.html

JPCERT/CC
IPA が「事業継続を脅かす新たなランサムウェア攻撃」に関する注意喚起を公開
https://www.jpcert.or.jp/newsflash/2020082001.html