« 2021年1月 | メイン | 2021年3月 »

2021年2月

2021年2月17日 (水)

■02/07(日)~02/13(土) のセキュリティ関連情報

目 次

【1】複数のマイクロソフト製品に脆弱性
【2】複数のアドビ製品に脆弱性
【3】AppleのmacOSに複数の脆弱性
【4】複数のIntel製品に脆弱性
【5】VMWareのvSphere Replicationにコマンドインジェクションの脆弱性
【6】GitLabに複数の脆弱性
【7】Wekanにクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】JPCERT/CC Eyes「マルウェアLODEINFOのさらなる進化」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr210701.html
https://www.jpcert.or.jp/wr/2021/wr210701.xml
============================================================================


【1】複数のマイクロソフト製品に脆弱性

情報源
CISA Current Activity
Microsoft Releases February 2021 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/02/09/microsoft-releases-february-2021-security-updates

CISA Current Activity
Microsoft Warns of Windows Win32k Privilege Escalation
https://us-cert.cisa.gov/ncas/current-activity/2021/02/09/microsoft-warns-windows-win32k-privilege-escalation

CISA Current Activity
Microsoft Launches Phase 2 Mitigation for Netlogon Remote Code Execution Vulnerability (CVE-2020-1472)
https://us-cert.cisa.gov/ncas/current-activity/2021/02/10/microsoft-launches-phase-2-mitigation-netlogon-remote-code

概要
複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- .NET Core
- .NET Framework
- Azure IoT
- 開発者ツール
- Microsoft Azure Kubernetes Service
- Microsoft Dynamics
- Microsoft Edge for Android
- Microsoft Exchange Server
- Microsoft Graphics コンポーネント
- Microsoft Office Excel
- Microsoft Office SharePoint
- Microsoft Windows Codecs Library
- ロール: DNS サーバー
- ロール: Hyper-V
- ロール: Windows Fax サービス
- Skype for Business
- SysInternals
- System Center
- Visual Studio
- Windows アドレス帳
- Windows バックアップ エンジン
- Windows コンソール ドライバー
- Windows Defender
- Windows DirectX
- Windows イベント トレーシング
- Windows インストーラー
- Windows カーネル
- Windows モバイル デバイス管理
- Windows ネットワーク ファイル システム
- Windows PFX 暗号化
- Windows PKU2U
- Windows PowerShell
- Windows 印刷スプーラー コンポーネント
- Windows リモート プロシージャ コール
- Windows TCP/IP
- Windows Trust Verification API

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフトが提供する情報を参照してください。

関連文書 (日本語)
マイクロソフト株式会社
2021 年 2 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/ja-jp/releaseNote/2021-Feb

JPCERT/CC 注意喚起
2021年2月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2021/at210008.html

【2】複数のアドビ製品に脆弱性

情報源
CISA Current Activity
Adobe Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/02/09/adobe-releases-security-updates

概要
複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe Acrobat
- Adobe Acrobat Reader
- Magento
- Adobe Photoshop
- Adobe Animate
- Adobe Illustrator
- Adobe Dreamweaver

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
Adobe AcrobatおよびReaderの脆弱性(APSB21-09)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210007.html

JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021021001.html

アドビ
Magento に関するセキュリティアップデート公開 | APSB21-08
https://helpx.adobe.com/jp/security/products/magento/apsb21-08.html

アドビ
Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB21-09
https://helpx.adobe.com/jp/security/products/acrobat/apsb21-09.html

アドビ
Adobe Photoshop に関するセキュリティアップデート公開 | APSB21-10
https://helpx.adobe.com/jp/security/products/photoshop/apsb21-10.html

アドビ
Adobe Animate に関するセキュリティアップデート公開 | APSB21-11
https://helpx.adobe.com/jp/security/products/animate/apsb21-11.html

アドビ
Adobe Illustrator に関するセキュリティアップデート公開 | APSB21-12
https://helpx.adobe.com/jp/security/products/illustrator/apsb21-12.html

アドビ
Adobe Dreamweaver に関するセキュリティアップデート公開 | APSB21-13
https://helpx.adobe.com/jp/security/products/dreamweaver/apsb21-13.html

【3】AppleのmacOSに複数の脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/02/09/apple-releases-security-updates

概要
macOSには、複数の脆弱性があります。結果として、第三者が、任意のコード
を実行したり、権限を昇格したりする可能性があります。

対象となるバージョンは次のとおりです。

- macOS Big Sur 11.2
- macOS Catalina 10.15.7
- macOS Mojave 10.14.6

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
macOSに関するアップデートについて
https://www.jpcert.or.jp/newsflash/2021021003.html

Apple
macOS Big Sur 11.2.1、macOS Catalina 10.15.7 追加アップデート、macOS Mojave 10.14.6 セキュリティアップデート 2021-002 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212177

【4】複数のIntel製品に脆弱性

情報源
Japan Vulnerability Notes JVNVU#93808918
Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU93808918/

JPCERT/CC CyberNewsFlash
Intel製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2021021002.html

概要
Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security
Center Advisoriesが公開されました。

詳細は、Intelが提供する情報を参照してください。

関連文書 (英語)
Intel
Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html

【5】VMWareのvSphere Replicationにコマンドインジェクションの脆弱性

情報源
CISA Current Activity
VMware Releases Security Update
https://us-cert.cisa.gov/ncas/current-activity/2021/02/12/vmware-releases-security-update

概要
vSphere Replicationには、コマンドインジェクションの脆弱性があります。
結果として、遠隔の第三者が任意のコマンドを実行する可能性があります。

対象となるバージョンは次のとおりです。

- vSphere Replication 8.3.1.2より前の8.3系バージョン
- vSphere Replication 8.2.1.1より前の8.2系バージョン
- vSphere Replication 8.1.2.3より前の8.1系バージョン
- vSphere Replication 6.5.1.5より前の6.5系バージョン

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、VMwareが提供する情報を参照してください。

関連文書 (英語)
VMware Security Advisories
VMSA-2021-0001
https://www.vmware.com/security/advisories/VMSA-2021-0001.html

【6】GitLabに複数の脆弱性

情報源
GitLab
GitLab Security Release: 13.8.4, 13.7.7 and 13.6.7
https://about.gitlab.com/releases/2021/02/11/security-release-gitlab-13-8-4-released/

概要
GitLabには、複数の脆弱性があります。結果として、遠隔の第三者がサービス
運用妨害(DoS)攻撃を行うなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- GitLab Community Edition および Enterprise Edition 13.8.4より前の13.8系バージョン
- GitLab Community Edition および Enterprise Edition 13.7.7より前の13.7系バージョン
- GitLab Community Edition および Enterprise Edition 13.6.7より前の13.6系バージョン

なお、GitLabによると、上記に記載されていないバージョンも影響を受けると
のことです。詳細はGitLabが提供する情報を参照してください。

この問題は、該当する製品をGitLabが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、GitLabが提供する情報を参照してください。

【7】Wekanにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#80785288
Wekan におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN80785288/

概要
Wekanには、クロスサイトスクリプティングの脆弱性があります。結果として、
遠隔の第三者が、当該製品にアクセスしたユーザのブラウザ上で任意のスクリ
プトを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Wekan 3.12から4.11までのバージョン

本脆弱性は、開発者のサイトでは「Fieldbleed」と命名された複数のクロスサ
イトスクリプティングの脆弱性の一部として扱われています。

この問題は、該当する製品をWekanが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Wekanが提供する情報を参照してください。

関連文書 (英語)
Wekan
Hall of Fame / Fieldbleed
https://wekan.github.io/hall-of-fame/fieldbleed/


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CC Eyes「マルウェアLODEINFOのさらなる進化」を公開

2021年2月9日、JPCERT/CCは、公式ブログJPCERT/CC Eyesにて「マルウェア
LODEINFOのさらなる進化」を公開しました。日本の組織を狙うLODEINFOについ
ては、以前にもその機能や進化について紹介してきましたが、その後も引き続
き活発な攻撃を確認しています。本記事では、LODEINFOに追加されたアップデー
ト内容と、最近の攻撃動向について紹介しています。

参考文献 (日本語)
JPCERT/CC Eyes
マルウェアLODEINFOのさらなる進化
https://blogs.jpcert.or.jp/ja/2021/02/LODEINFO-3.html

投稿時刻 10:25 セキュリティ | | コメント (0)

2021年2月10日 (水)

■01/31(日)~02/06(土) のセキュリティ関連情報

目 次

【1】SonicWall SMA 100シリーズにSQLインジェクションの脆弱性
【2】Google Chromeに複数の脆弱性
【3】複数のApple製品に脆弱性
【4】複数のCisco製品に脆弱性
【5】複数のトレンドマイクロ株式会社製品に脆弱性
【6】Mozilla Firefoxに脆弱性
【7】パナソニックVideo Insight VMSに任意のコードが実行可能な脆弱性
【8】Adobe ColdFusionにインストールディレクトリのACL設定不備による権限昇格の脆弱性
【9】Wiresharkに複数の脆弱性
【10】WordPress用プラグインName Directoryにクロスサイトリクエストフォージェリの脆弱性
【今週のひとくちメモ】サイバーセキュリティ月間

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr210601.html
https://www.jpcert.or.jp/wr/2021/wr210601.xml
============================================================================


【1】SonicWall SMA 100シリーズにSQLインジェクションの脆弱性

情報源
SonicWall
Confirmed Zero-day vulnerability in the SonicWall SMA100 build version 10.x
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0001

CISA Current Activity
Zero-Day Vulnerability in SonicWall SMA 100 Series Version 10.x Products
https://us-cert.cisa.gov/ncas/current-activity/2021/02/02/zero-day-vulnerability-sonicwall-sma-100-series-version-10x

概要
SonicWall SMA 100シリーズには、SQLインジェクションの脆弱性があります。
結果として、遠隔の第三者が認証情報を窃取する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- ファームウェア 10系のバージョンで稼働する次のSMA 100シリーズ製品
- SMA 200
- SMA 210
- SMA 400
- SMA 410
- SMA 500v

この問題は、該当する製品にSonicWallが提供するパッチを適用することで解
決します。詳細は、SonicWallが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC注意喚起
SonicWall製SMA100シリーズの脆弱性(CVE-2021-20016)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210006.html

関連文書 (英語)
SonicWall
Urgent Patch Available for SMA 100 Series 10.x Firmware Zero-Day Vulnerability [Updated Feb. 3, 2 P.M. CST]
https://www.sonicwall.com/support/product-notification/urgent-patch-available-for-sma-100-series-10-x-firmware-zero-day-vulnerability-updated-feb-3-2-p-m-cst/210122173415410/

【2】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/02/03/google-releases-security-updates-chrome

CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/02/05/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 88.0.4324.150より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/02/stable-channel-update-for-desktop.html

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/02/stable-channel-update-for-desktop_4.html

【3】複数のApple製品に脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/02/02/apple-releases-security-updates

Apple
About the security content of Safari 14.0.3
https://support.apple.com/en-us/HT212152

Apple
About the security content of macOS Big Sur 11.2, Security Update 2021-001 Catalina, Security Update 2021-001 Mojave
https://support.apple.com/en-us/HT212147

概要
複数のApple製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- macOS Big Sur 11.2より前のバージョン
- macOS Catalina (Security Update 2021-001未適用)
- macOS Mojave (Security Update 2021-001未適用)
- Safari 14.0.3より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数のApple製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021012801.html

【4】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/02/04/cisco-releases-security-updates

概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ
情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【5】複数のトレンドマイクロ株式会社製品に脆弱性

情報源
Japan Vulnerability Notes JVNVU#98209799
トレンドマイクロ株式会社製スマートホームスキャナー (Windows 版) に DLL 読み込みに関する脆弱性
https://jvn.jp/vu/JVNVU98209799/

Japan Vulnerability Notes JVNVU#99814910
トレンドマイクロ株式会社製ウイルスバスター クラウドのインストーラにおける複数の脆弱性
https://jvn.jp/vu/JVNVU99814910/

概要
複数のトレンドマイクロ株式会社製品には、脆弱性があります。結果として、
第三者が管理者権限で任意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- ウイルスバスター クラウド バージョン16
- ウイルスバスター クラウド バージョン15
- スマートホームスキャナー(Windows版) 5.3.1063およびそれ以前のバージョン

この問題への対策は製品によって異なります。詳細は、トレンドマイクロ株式
会社が提供する情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスター クラウドの脆弱性について(CVE-2020-27695,CVE-2020-27696,CVE-2020-27697)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-09955

トレンドマイクロ株式会社
アラート/アドバイザリ:スマートホームスキャナー(Windows版)の脆弱性について (CVE-2021-25247)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10179

【6】Mozilla Firefoxに脆弱性

情報源
Mozilla
Security Vulnerabilities fixed in Firefox 85.0.1 and Firefox ESR 78.7.1
https://www.mozilla.org/en-US/security/advisories/mfsa2021-06/

概要
Mozilla Firefoxには、脆弱性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 85.0.1より前のバージョン(Windows版)
- Mozilla Firefox ESR 78.7.1より前のバージョン(Windows版)

この問題は、Mozilla FirefoxをMozillaが提供する修正済みのバージョンに更
新することで解決します。詳細は、Mozillaが提供する情報を参照してくださ
い。

【7】パナソニックVideo Insight VMSに任意のコードが実行可能な脆弱性

情報源
Japan Vulnerability Notes JVN#42252698
パナソニック Video Insight VMS において任意のコードが実行可能な脆弱性
https://jvn.jp/jp/JVN42252698/

概要
パナソニック株式会社が提供するVideo Insight VMSには、任意のコード実行
が可能な脆弱性があります。結果として、遠隔の第三者がSYSTEMユーザーの権
限で任意のコードを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Video Insight VMS 7.8より前のバージョン

この問題は、Video Insight VMSをパナソニック株式会社が提供する修正済み
のバージョンに更新することで解決します。詳細は、パナソニック株式会社が
提供する情報を参照してください。

関連文書 (英語)
パナソニック株式会社
Release Notes - Video Insight IP Server 7.8 Minor Release
http://downloadvi.com/downloads/IPServer/v7.8/780182/v780182RN.pdf

【8】Adobe ColdFusionにインストールディレクトリのACL設定不備による権限昇格の脆弱性

情報源
CERT/CC Vulnerability Note VU#125331
Adobe ColdFusion is vulnerable to privilege escalation due to weak ACLs
https://kb.cert.org/vuls/id/125331

概要
Adobe ColdFusionには、ACLを適切に設定できないことに起因する権限昇格の
脆弱性があります。結果として、第三者がSYSTEM権限で任意のコードを実行す
る可能性があります。

対象となるバージョンは次のとおりです。

- Adobe ColdFusion 2021
- Adobe ColdFusion 2018
- Adobe ColdFusion 2016

この問題は、該当する製品でロックダウン機能を設定することで本脆弱性から
保護することが可能です。詳細は、Adobeなどが提供する情報を参照してくだ
さい。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#91588948
Adobe ColdFusion にインストールディレクトリの ACL 設定不備による権限昇格の脆弱性
https://jvn.jp/vu/JVNVU91588948/

関連文書 (英語)
Adobe
ColdFusion (2021 release) Server Auto-Lockdown
https://www.adobe.com/support/coldfusion/downloads.html#cf2021ldg

Adobe
ColdFusion (2018 release) Server Auto-Lockdown
https://www.adobe.com/support/coldfusion/downloads.html#cf2018ldg

Adobe
ColdFusion (2016 release) Lockdown Guide
https://wwwimages.adobe.com/content/dam/acom/en/products/coldfusion/pdfs/coldfusion-2016-lockdown-guide.pdf

【9】Wiresharkに複数の脆弱性

情報源
Wireshark Foundation
Wireshark 3.4.3 Release Notes
https://www.wireshark.org/docs/relnotes/wireshark-3.4.3.html

概要
Wiresharkには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Wireshark 3.4.3より前の3.4系のバージョン

この問題は、WiresharkをWireshark Foundationが提供する修正済みのバージョン
に更新することで解決します。詳細は、Wireshark Foundationが提供する情報
を参照してください。

【10】WordPress用プラグインName Directoryにクロスサイトリクエストフォージェリの脆弱性

情報源
Japan Vulnerability Notes JVN#50470170
WordPress 用プラグイン Name Directory におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN50470170/

概要
WordPress用プラグインName Directoryには、クロスサイトリクエストフォー
ジェリの脆弱性があります。結果として、当該製品にログインした状態の管理
者権限を持つユーザーが、細工されたページにアクセスした場合、意図しない
操作をさせられる可能性があります。

対象となるバージョンは次のとおりです。

- Name Directory 1.17.4およびそれ以前

この問題は、Name Directoryを開発者が提供する修正済みのバージョンに更新
することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
Jeroen Peters
Name Directory
https://wordpress.org/plugins/name-directory/


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○サイバーセキュリティ月間

2月1日から3月18日は「サイバーセキュリティ月間」です。サイバーセキュリ
ティに対する取組の推進を目的とした普及啓発活動やイベント、情報発信など
が行われます。

参考文献 (日本語)
内閣サイバーセキュリティセンター(NISC)
サイバーセキュリティ月間
https://www.nisc.go.jp/security-site/month/

投稿時刻 10:17 セキュリティ | | コメント (0)

2021年2月 3日 (水)

■01/24(日)~01/30(土) のセキュリティ関連情報

 目 次

【1】複数のMozilla製品に脆弱性
【2】複数のApple製品に脆弱性
【3】sudoにバッファオーバーフローの脆弱性
【4】複数のエレコム製品に脆弱性
【5】複数のロジテック製品に脆弱性
【6】Android アプリ「ELECOM File Manager」にディレクトリトラバーサルの脆弱性
【7】インフォサイエンス製の複数のログ管理ツールにOSコマンドインジェクションの脆弱性
【今週のひとくちメモ】IPAがサイバー情報共有イニシアティブ(J-CSIP)運用状況[2020年10月~12月]を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr210501.html
https://www.jpcert.or.jp/wr/2021/wr210501.xml
============================================================================


【1】複数のMozilla製品に脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird
https://us-cert.cisa.gov/ncas/current-activity/2021/01/27/mozilla-releases-security-updates-firefox-firefox-esr-and

概要
複数のMozilla製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 85より前のバージョン
- Mozilla Firefox ESR 78.7より前のバージョン
- Mozilla Thunderbird 78.7より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 85
https://www.mozilla.org/en-US/security/advisories/mfsa2021-03/

Mozilla
Security Vulnerabilities fixed in Firefox ESR 78.7
https://www.mozilla.org/en-US/security/advisories/mfsa2021-04/

Mozilla
Security Vulnerabilities fixed in Thunderbird 78.7
https://www.mozilla.org/en-US/security/advisories/mfsa2021-05/

【2】複数のApple製品に脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/01/27/apple-releases-security-updates

JPCERT/CC CyberNewsFlash
複数のApple製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021012801.html

概要
複数のApple製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Windows 用 iCloud 12.0より前のバージョン
- iOS 14.4より前のバージョン
- iPadOS 14.4より前のバージョン
- watchOS 7.3より前のバージョン
- tvOS 14.4より前のバージョン
- Xcode 12.4より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
Apple
Windows 用 iCloud 12.0 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212145

Apple
iOS 14.4 および iPadOS 14.4 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212146

Apple
watchOS 7.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212148

Apple
tvOS 14.4 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212149

Apple
Xcode 12.4 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212153

【3】sudoにバッファオーバーフローの脆弱性

情報源
JPCERT/CC 注意喚起
sudoの脆弱性(CVE-2021-3156)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210005.html

概要
sudoには、バッファオーバーフローの脆弱性があります。結果として、ローカ
ルユーザがrootに権限昇格する可能性があります。

対象となるバージョンは次のとおりです。

- sudo バージョン 1.8.2 から 1.8.31p2
- sudo バージョン 1.9.0 から 1.9.5p1

この問題は、sudoを各ディストリビュータが提供する修正済みのバージョンに
更新することで解決します。詳細は、各ディストリビュータが提供する情報を
参照してください。

関連文書 (英語)
sudo
Buffer overflow in command line unescaping
https://www.sudo.ws/alerts/unescape_overflow.html

【4】複数のエレコム製品に脆弱性

情報源
Japan Vulnerability Notes JVN#47580234
複数のエレコム製品における複数の脆弱性
https://jvn.jp/jp/JVN47580234/

概要
複数のエレコム製品には、脆弱性があります。結果として、当該製品にアクセ
ス可能な第三者が任意のOSコマンドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- LD-PS/U1
- WRC-1467GHBK-A
- WRC-300FEBK-A
- WRC-300FEBK-S
- NCC-EWF100RMWH2
- WRC-300FEBK
- WRC-F300NF

この問題の対象となっている製品は、すべて製品サポートが終了しています。
現行製品の使用を停止し、後継製品への移行を検討してください。

関連文書 (日本語)
エレコム株式会社
無線LANルーターなどネットワーク製品の一部における脆弱性に関して
https://www.elecom.co.jp/news/security/20210126-01/

【5】複数のロジテック製品に脆弱性

情報源
Japan Vulnerability Notes JVN#96783542
複数のロジテック製品における複数の脆弱性
https://jvn.jp/jp/JVN96783542/

概要
複数のロジテック製品には、脆弱性があります。結果として、当該製品のWeb
管理ページにアクセス可能な攻撃者が任意のOSコマンドを実行するなどの可能
性があります。

対象となる製品は次のとおりです。

- LAN-WH450N/GR
- LAN-W300N/PR5B
- LAN-W300N/PGRB
- LAN-W300N/RS

この問題の対象となっている製品は、すべて製品サポートが終了しています。
現行製品の使用を停止し、後継製品への移行を検討してください。

関連文書 (日本語)
ロジテック株式会社
無線LANルーターなどネットワーク製品の一部における脆弱性に関して
https://www.elecom.co.jp/news/security/20210126-01/

【6】Android アプリ「ELECOM File Manager」にディレクトリトラバーサルの脆弱性

情報源
Japan Vulnerability Notes JVN#98115035
Android アプリ「ELECOM File Manager」におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN98115035/

概要
エレコム株式会社が提供するAndroidアプリ「ELECOM File Manager」には、ディ
レクトリトラバーサルの脆弱性があります。結果として、遠隔の第三者が、ア
プリの権限でアクセス可能なディレクトリ上でファイル作成や上書きを行う可
能性があります。

対象となるバージョンは次のとおりです。

- Androidアプリ「ELECOM File Manager」すべてのバージョン

この問題の対象となっている製品は、すべて製品サポートが終了しています。
現行製品の使用を停止し、後継製品への移行を検討してください。

関連文書 (日本語)
エレコム株式会社
無線LANルーターなどネットワーク製品の一部における脆弱性に関して
https://www.elecom.co.jp/news/security/20210126-01/

【7】インフォサイエンス製の複数のログ管理ツールにOSコマンドインジェクションの脆弱性

情報源
Japan Vulnerability Notes JVN#41853173
インフォサイエンス製の複数のログ管理ツールにおける OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN41853173/

概要
インフォサイエンス株式会社が提供する複数のログ管理ツールには、OSコマン
ドインジェクションの脆弱性があります。結果として、遠隔の第三者が任意の
OSコマンドを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Logstorage バージョン 8.0.0およびそれ以前
- ELC Analytics バージョン 3.0.0およびそれ以前

この問題は、該当する製品をインフォサイエンス株式会社が提供する修正済みの
バージョンに更新することで解決します。詳細は、インフォサイエンス株式会
社が提供する情報を参照してください。

関連文書 (日本語)
インフォサイエンス株式会社
2021年01月27日 Logstorageにおける任意のファイル実行の脆弱性(JVN#41853173)について
https://www.logstorage.com/support/vulnerability_info.html#jvn-41853173

投稿時刻 10:28 セキュリティ | | コメント (0)