ミニ・いんふぉめーしょん

 目 次

【1】複数のMozilla製品に脆弱性
【2】複数のApple製品に脆弱性
【3】sudoにバッファオーバーフローの脆弱性
【4】複数のエレコム製品に脆弱性
【5】複数のロジテック製品に脆弱性
【6】Android アプリ「ELECOM File Manager」にディレクトリトラバーサルの脆弱性
【7】インフォサイエンス製の複数のログ管理ツールにOSコマンドインジェクションの脆弱性
【今週のひとくちメモ】IPAがサイバー情報共有イニシアティブ（J-CSIP）運用状況[2020年10月～12月]を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr210501.html
https://www.jpcert.or.jp/wr/2021/wr210501.xml
============================================================================

【1】複数のMozilla製品に脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird
https://us-cert.cisa.gov/ncas/current-activity/2021/01/27/mozilla-releases-security-updates-firefox-firefox-esr-and

概要
複数のMozilla製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 85より前のバージョン
- Mozilla Firefox ESR 78.7より前のバージョン
- Mozilla Thunderbird 78.7より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 85
https://www.mozilla.org/en-US/security/advisories/mfsa2021-03/

Mozilla
Security Vulnerabilities fixed in Firefox ESR 78.7
https://www.mozilla.org/en-US/security/advisories/mfsa2021-04/

Mozilla
Security Vulnerabilities fixed in Thunderbird 78.7
https://www.mozilla.org/en-US/security/advisories/mfsa2021-05/

【2】複数のApple製品に脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/01/27/apple-releases-security-updates

JPCERT/CC CyberNewsFlash
複数のApple製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021012801.html

概要
複数のApple製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Windows 用 iCloud 12.0より前のバージョン
- iOS 14.4より前のバージョン
- iPadOS 14.4より前のバージョン
- watchOS 7.3より前のバージョン
- tvOS 14.4より前のバージョン
- Xcode 12.4より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
Apple
Windows 用 iCloud 12.0 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212145

Apple
iOS 14.4 および iPadOS 14.4 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212146

Apple
watchOS 7.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212148

Apple
tvOS 14.4 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212149

Apple
Xcode 12.4 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212153

【3】sudoにバッファオーバーフローの脆弱性

情報源
JPCERT/CC 注意喚起
sudoの脆弱性（CVE-2021-3156）に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210005.html

概要
sudoには、バッファオーバーフローの脆弱性があります。結果として、ローカ
ルユーザがrootに権限昇格する可能性があります。

対象となるバージョンは次のとおりです。

- sudo バージョン 1.8.2 から 1.8.31p2
- sudo バージョン 1.9.0 から 1.9.5p1

この問題は、sudoを各ディストリビュータが提供する修正済みのバージョンに
更新することで解決します。詳細は、各ディストリビュータが提供する情報を
参照してください。

関連文書 (英語)
sudo
Buffer overflow in command line unescaping
https://www.sudo.ws/alerts/unescape_overflow.html

【4】複数のエレコム製品に脆弱性

情報源
Japan Vulnerability Notes JVN#47580234
複数のエレコム製品における複数の脆弱性
https://jvn.jp/jp/JVN47580234/

概要
複数のエレコム製品には、脆弱性があります。結果として、当該製品にアクセ
ス可能な第三者が任意のOSコマンドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- LD-PS/U1
- WRC-1467GHBK-A
- WRC-300FEBK-A
- WRC-300FEBK-S
- NCC-EWF100RMWH2
- WRC-300FEBK
- WRC-F300NF

この問題の対象となっている製品は、すべて製品サポートが終了しています。
現行製品の使用を停止し、後継製品への移行を検討してください。

関連文書 (日本語)
エレコム株式会社
無線LANルーターなどネットワーク製品の一部における脆弱性に関して
https://www.elecom.co.jp/news/security/20210126-01/

【5】複数のロジテック製品に脆弱性

情報源
Japan Vulnerability Notes JVN#96783542
複数のロジテック製品における複数の脆弱性
https://jvn.jp/jp/JVN96783542/

概要
複数のロジテック製品には、脆弱性があります。結果として、当該製品のWeb
管理ページにアクセス可能な攻撃者が任意のOSコマンドを実行するなどの可能
性があります。

対象となる製品は次のとおりです。

- LAN-WH450N/GR
- LAN-W300N/PR5B
- LAN-W300N/PGRB
- LAN-W300N/RS

この問題の対象となっている製品は、すべて製品サポートが終了しています。
現行製品の使用を停止し、後継製品への移行を検討してください。

関連文書 (日本語)
ロジテック株式会社
無線LANルーターなどネットワーク製品の一部における脆弱性に関して
https://www.elecom.co.jp/news/security/20210126-01/

【6】Android アプリ「ELECOM File Manager」にディレクトリトラバーサルの脆弱性

情報源
Japan Vulnerability Notes JVN#98115035
Android アプリ「ELECOM File Manager」におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN98115035/

概要
エレコム株式会社が提供するAndroidアプリ「ELECOM File Manager」には、ディ
レクトリトラバーサルの脆弱性があります。結果として、遠隔の第三者が、ア
プリの権限でアクセス可能なディレクトリ上でファイル作成や上書きを行う可
能性があります。

対象となるバージョンは次のとおりです。

- Androidアプリ「ELECOM File Manager」すべてのバージョン

この問題の対象となっている製品は、すべて製品サポートが終了しています。
現行製品の使用を停止し、後継製品への移行を検討してください。

関連文書 (日本語)
エレコム株式会社
無線LANルーターなどネットワーク製品の一部における脆弱性に関して
https://www.elecom.co.jp/news/security/20210126-01/

【7】インフォサイエンス製の複数のログ管理ツールにOSコマンドインジェクションの脆弱性

情報源
Japan Vulnerability Notes JVN#41853173
インフォサイエンス製の複数のログ管理ツールにおける OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN41853173/

概要
インフォサイエンス株式会社が提供する複数のログ管理ツールには、OSコマン
ドインジェクションの脆弱性があります。結果として、遠隔の第三者が任意の
OSコマンドを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Logstorage バージョン 8.0.0およびそれ以前
- ELC Analytics バージョン 3.0.0およびそれ以前

この問題は、該当する製品をインフォサイエンス株式会社が提供する修正済みの
バージョンに更新することで解決します。詳細は、インフォサイエンス株式会
社が提供する情報を参照してください。

関連文書 (日本語)
インフォサイエンス株式会社
2021年01月27日 Logstorageにおける任意のファイル実行の脆弱性（JVN#41853173）について
https://www.logstorage.com/support/vulnerability_info.html#jvn-41853173