ミニ・いんふぉめーしょん

目 次

【1】QNDに権限昇格の脆弱性
【2】Pulse Connect Secureにバッファーオーバーフローの脆弱性
【3】複数のCisco製品に脆弱性
【4】Apple Boot Campにメモリ破損の脆弱性
【5】QNAP QTSおよびQuTS heroにディレクトリトラバーサルの脆弱性
【6】複数のPHP工房製品に複数のクロスサイトスクリプティングの脆弱性
【7】OverwolfインストーラーにDLL読み込みに関する脆弱性
【8】ScanSnap ManagerのインストーラーにDLL読み込みに関する脆弱性
【9】JNSAが「セキュリティ知識分野（SecBoK）人材スキルマップ2021年版」を公開
【今週のひとくちメモ】Internet Explorer 11 デスクトップアプリが2022年6月15日にサポート終了

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr212001.html
https://www.jpcert.or.jp/wr/2021/wr212001.xml
============================================================================

【1】QNDに権限昇格の脆弱性

情報源
Japan Vulnerability Notes JVN#74686032
QND における権限昇格の脆弱性
https://jvn.jp/jp/JVN74686032/

概要
QNDには、権限昇格の脆弱性があります。結果として、ユーザーが、情報を窃
取したり、任意の操作を実行したりするなどの可能性があります。

対象となるバージョンは次のとおりです。

- QND Premium/Advance/Standard Ver.11.0.4iおよびそれ以前

この問題は、該当する製品をクオリティソフト株式会社が提供する修正済みの
バージョンに更新することで解決します。詳細は、クオリティソフト株式会社
が提供する情報を参照してださい。

関連文書 (日本語)
クオリティソフト株式会社
QND Windows クライアントの脆弱性について
https://www.qualitysoft.com/product/qnd_vulnerabilities_2021/

【2】Pulse Connect Secureにバッファーオーバーフローの脆弱性

情報源
CERT/CC Vulnerability Note VU#667933
Pulse Connect Secure Samba buffer overflow
https://kb.cert.org/vuls/id/667933

概要
Pulse Connect Secureには、バッファーオーバーフローの脆弱性があります。
結果として、遠隔の第三者が、当該製品上で管理者権限で任意のコードを実行
する可能性があります。

対象となるバージョンは次のとおりです。

- Pulse Connect Secure (PCS) 9.1系の9.1R11.5より前のバージョン
- Pulse Connect Secure (PCS) 9.0系

2021年5月26日現在、本脆弱性の修正パッチおよびアップデートは提供されて
いません。脆弱性を悪用した攻撃による影響を軽減するため、開発者から回避
策が提示されています。詳細は、Pulse Secureが提供する情報を参照してくだ
さい。

関連文書 (英語)
Pulse Secure
SA44800 - 2021-05: Out-of-Cycle Advisory: Pulse Connect Secure Buffer Overflow Vulnerability
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44800/

【3】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/05/20/cisco-releases-security-updates-multiple-products

概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が、任
意のコマンドを実行したりするなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ
情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【4】Apple Boot Campにメモリ破損の脆弱性

情報源
Apple
Boot Camp 6.1.14 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212517

概要
複数のApple製品のBoot Campには、メモリ破損の脆弱性があります。結果とし
て、遠隔の第三者が、権限昇格する可能性があります。

対象となる製品は次のとおりです。

- Mac Pro（Late 2013およびそれ以降のモデル）
- MacBook Pro（Late 2013およびそれ以降のモデル）
- MacBook Air（Mid 2013およびそれ以降のモデル）
- Mac mini（Mid 2014およびそれ以降のモデル）
- iMac（mid 2014およびそれ以降のモデル）
- MacBook（Early 2015およびそれ以降のモデル）
- iMac Pro（Late 2017モデル）

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Boot Campに関するアップデートについて
https://www.jpcert.or.jp/newsflash/2021051901.html

【5】QNAP QTSおよびQuTS heroにディレクトリトラバーサルの脆弱性

情報源
QNAP
Relative Path Traversal Vulnerability in QTS and QuTS hero
https://www.qnap.com/en/security-advisory/qsa-21-14

概要
QNAP QTSおよびQuTS heroには、ディレクトリトラバーサルの脆弱性がありま
す。結果として、遠隔の第三者が、任意のファイルを改ざんするなどの可能性
があります。

対象となるバージョンは次のとおりです。

- QTS 4.5.2.1630 Build 20210406およびそれ以前
- QTS 4.3.6.1663 Build 20210504およびそれ以前
- QTS 4.3.3.1624 Build 20210416およびそれ以前
- QuTS hero h4.5.2.1638 Build 20210414およびそれ以前

この問題は、QTSおよびQuTS heroをQNAP Systemsが提供する修正済みのバージョン
に更新することで解決します。詳細は、QNAP Systemsが提供する情報を参照し
てください。

【6】複数のPHP工房製品に複数のクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#53910556
複数の PHP工房製品における複数のクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN53910556/

概要
複数のPHP工房製品には、複数のクロスサイトスクリプティングの脆弱性があ
ります。結果として、当該製品の管理者画面にアクセスしたユーザーのWebブ
ラウザー上で、任意のスクリプトを実行される可能性があります。

対象となるバージョンは次のとおりです。

- 【MailForm01】PHP多機能メールフォームフリー（無料）版 プログラムファイル上部記載の最終更新日が2014年12月12日から2018年7月27日までのバージョン
- 【Telop01】PHPテロップ・ニュースティッカー・ヘッドラインCMSフリー（無料）版 ver1.0.1およびそれ以前
- 【Calendar01】（3デバイス対応）PHP営業日・スケジュールカレンダーフリー（無料）版 ver1.0.1およびそれ以前

この問題は、該当する製品をPHP工房が提供する修正済みのバージョンに更新
することで解決します。詳細は、PHP工房が提供する情報を参照してください。

関連文書 (日本語)
PHP工房
【MailForm01】PHP多機能メールフォーム　フリー（無料）版
https://www.php-factory.net/mail/01.php

PHP工房
【Telop01】PHPテロップ・ニュースティッカー・ヘッドラインCMS　フリー（無料）版
https://www.php-factory.net/telop/01.php

PHP工房
【Calendar01】（3デバイス対応）PHP営業日・スケジュールカレンダーフリー（無料）版
https://www.php-factory.net/calendar/01.php

【7】OverwolfインストーラーにDLL読み込みに関する脆弱性

情報源
Japan Vulnerability Notes JVN#78254777
Overwolf インストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN78254777/

概要
Overwolfのインストーラーには、DLL読み込みに関する脆弱性があります。結
果として、第三者がインストーラーの実行権限で任意のコードを実行する可能
性があります。

対象となるバージョンは次のとおりです。

- Overwolfのインストーラー 2.168.0.nおよびそれ以前

この問題は、Overwolf Ltd.が提供する修正済みのインストーラーを利用する
ことで解決します。詳細は、Overwolf Ltd.が提供する情報を参照してくださ
い。

関連文書 (英語)
Overwolf Ltd.
Development of gaming apps made easy
https://www.overwolf.com/

【8】ScanSnap ManagerのインストーラーにDLL読み込みに関する脆弱性

情報源
Japan Vulnerability Notes JVN#65733194
ScanSnap Manager のインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN65733194/

概要
ScanSnap Managerのインストーラーには、DLL読み込みに関する脆弱性があり
ます。結果として、第三者がインストーラーの実行権限で任意のコードを実行
する可能性があります。

対象となるバージョンは次のとおりです。

- ScanSnap Manager V7.0L20よりも前のバージョンのインストーラー
- ソフトウェア ダウンロードインストーラー WinSSInst2JP.exeおよびWinSSInst2iX1500JP.exeよりも前のインストーラー

この問題は、富士通株式会社が提供する修正済みのインストーラーを利用する
ことで解決します。詳細は、富士通株式会社が提供する情報を参照してくださ
い。

関連文書 (日本語)
富士通株式会社
ScanSnap ドライバダウンロード
http://scansnap.fujitsu.com/jp/dl/

【9】JNSAが「セキュリティ知識分野（SecBoK）人材スキルマップ2021年版」を公開

情報源
日本ネットワークセキュリティ協会 (JNSA)
セキュリティ知識分野（SecBoK）人材スキルマップ2021年版
https://www.jnsa.org/result/skillmap/

概要
日本ネットワークセキュリティ協会 (JNSA) は、「セキュリティ知識分野（SecBoK）
人材スキルマップ2021年版」を公開しました。多くの企業でセキュリティ人材
育成の参考資料として活用されている本資料は、BoK（Body of Knowledge）で
あるとの原点に立ち返り、ディクショナリー的位置付けとして、より多くの方
が参照できることを目標に見直されているとのことです。

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○Internet Explorer 11 デスクトップアプリが2022年6月15日にサポート終了

Microsoftが提供するWindows 10のInternet Explorer 11 デスクトップアプリ
は2022年6月15日にサポートが終了します。Microsoftによると、Windows 10に
おけるInternet Explorerの後継はMicrosoft Edgeであるとのことです。Microsoft
Edgeへの移行を検討してください。

参考文献 (日本語)
Microsoft
Internet Explorer は Microsoft Edge へ - Windows 10 の Internet Explorer 11 デスクトップアプリは 2022 年 6 月 15 日にサポート終了
https://blogs.windows.com/japan/2021/05/19/the-future-of-internet-explorer-on-windows-10-is-in-microsoft-edge/

目 次

【1】複数のマイクロソフト製品に脆弱性
【2】複数のアドビ製品に脆弱性
【3】Google Chromeに複数の脆弱性
【4】Citrix Workspace App for Windowsに権限昇格の脆弱性
【5】WordPressに複数の脆弱性
【6】複数のIntel製品に脆弱性
【7】複数のトレンドマイクロ製品に脆弱性
【8】EC-CUBEにクロスサイトスクリプティングの脆弱性
【9】RFNTPSにOSコマンドインジェクションの脆弱性
【10】KonaWiki2に複数の脆弱性
【11】mod_auth_openidcにサービス運用妨害（DoS）の脆弱性
【12】IEEE802.11規格のフレームアグリゲーションやフラグメンテーションに複数の脆弱性
【今週のひとくちメモ】NISCが「次期サイバーセキュリティ戦略の骨子」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr211901.html
https://www.jpcert.or.jp/wr/2021/wr211901.xml
============================================================================

【1】複数のマイクロソフト製品に脆弱性

情報源
CISA Current Activity
Microsoft Releases May 2021 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/05/11/microsoft-releases-may-2021-security-updates

概要
複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。

対象となる製品は、多岐に渡ります。詳細はマイクロソフトが提供するアドバ
イザリ情報を参照してください。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフトが提供する情報を参照してください。

関連文書 (日本語)
マイクロソフト株式会社
May 2021 Security Updates
https://msrc.microsoft.com/update-guide/releaseNote/2021-May

JPCERT/CC 注意喚起
2021年5月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2021/at210024.html

【2】複数のアドビ製品に脆弱性

情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/05/11/adobe-releases-security-updates-multiple-products

概要
複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe Experience Manager
- Adobe InDesign
- Adobe Illustrator
- Adobe InCopy
- Adobe Genuine Service
- Adobe Acrobat and Reader
- Magento
- Adobe Media Encoder
- Adobe After Effects
- Adobe Medium
- Adobe Animate

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
Adobe AcrobatおよびReaderの脆弱性（APSB21-29）に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210023.html

JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021051201.html

アドビ
Adobe Experience Manager に関するセキュリティアップデート公開 | APSB21-15
https://helpx.adobe.com/jp/security/products/experience-manager/apsb21-15.html

アドビ
Adobe InDesign に関するセキュリティアップデート公開 | APSB21-22
https://helpx.adobe.com/jp/security/products/indesign/apsb21-22.html

アドビ
Adobe Illustrator に関するセキュリティアップデート公開 | APSB21-24
https://helpx.adobe.com/jp/security/products/illustrator/apsb21-24.html

アドビ
Adobe InCopy に関するセキュリティアップデート公開 | APSB21-25
https://helpx.adobe.com/jp/security/products/incopy/apsb21-25.html

アドビ
アドビ正規品サービスに関するセキュリティアップデート公開 | APSB21-27
https://helpx.adobe.com/jp/security/products/integrity_service/apsb21-27.html

アドビ
Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB21-29
https://helpx.adobe.com/jp/security/products/acrobat/apsb21-29.html

アドビ
Magento に関するセキュリティアップデート公開 | APSB21-30
https://helpx.adobe.com/jp/security/products/magento/apsb21-30.html

アドビ
Adobe Creative Cloud デスクトップアプリケーションに関するセキュリティアップデート公開 | APSB21-31
https://helpx.adobe.com/jp/security/products/creative-cloud/apsb21-31.html

アドビ
Adobe Media Encoder に関するセキュリティアップデート公開 | APSB21-32
https://helpx.adobe.com/jp/security/products/media-encoder/apsb21-32.html

アドビ
Adobe After Effects に関するセキュリティアップデート公開 | APSB21-33
https://helpx.adobe.com/jp/security/products/after_effects/apsb21-33.html

アドビ
Medium by Adobe に関するセキュリティアップデート公開 | APSB21-34
https://helpx.adobe.com/jp/security/products/medium/apsb21-34.html

アドビ
Adobe Animate に関するセキュリティアップデート公開 | APSB35-21
https://helpx.adobe.com/jp/security/products/animate/apsb21-35.html

【3】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/05/11/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 90.0.4430.212より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/05/stable-channel-update-for-desktop.html

【4】Citrix Workspace App for Windowsに権限昇格の脆弱性

情報源
CISA Current Activity
Citrix Releases Security Updates for Workspace App for Windows
https://us-cert.cisa.gov/ncas/current-activity/2021/05/11/citrix-releases-security-updates-workspace-app-windows

概要
Citrix Workspace App for Windowsには、権限昇格の脆弱性があります。結果
として、ユーザーがユーザー権限でSYSTEM権限の操作をする可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Citrix Workspace App 2105以降
- Citrix Workspace App 1912 LTSR CU4以降

この問題は、Citrixが提供する修正済みのバージョンに更新することで解決し
ます。詳細は、Citrixが提供する情報を参照してください。

関連文書 (英語)
Citrix
Citrix Workspace App Security Update
https://support.citrix.com/article/CTX307794

【5】WordPressに複数の脆弱性

情報源
CISA Current Activity
WordPress Releases Security Update
https://us-cert.cisa.gov/ncas/current-activity/2021/05/13/wordpress-releases-security-update

概要
WordPressには、複数の脆弱性があります。結果として、第三者がシステムを
制御するなどの可能性があります。

対象となるバージョンは次のとおりです。

- WordPress 3.7から5.7

この問題は、WordPressをWordPressが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、WordPressが提供する情報を参照してください。

関連文書 (英語)
WordPress
WordPress 5.7.2 セキュリティリリース
https://ja.wordpress.org/2021/05/13/wordpress-5-7-2-security-release/

【6】複数のIntel製品に脆弱性

情報源
JPCERT/CC CyberNewsFlash
Intel製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2021051202.html

概要
Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security
Center Advisoriesが公開されました。

詳細は、Intelが提供する情報を参照してください。

関連文書 (英語)
Intel
Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html

【7】複数のトレンドマイクロ製品に脆弱性

情報源
Japan Vulnerability Notes JVNVU#97581596
トレンドマイクロ製 Apex One およびウイルスバスターシリーズにおける複数の脆弱性
https://jvn.jp/vu/JVNVU97581596/

概要
複数のトレンドマイクロ製品には、脆弱性があります。結果として、遠隔の第
三者が情報を窃取するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Apex One 2019、SaaS
- ウイルスバスターコーポレートエディション XG SP1
- ウイルスバスタービジネスセキュリティ 9.5および10 SP1
- ウイルスバスタービジネスセキュリティサービス 6.7

この問題は、該当する製品にトレンドマイクロ株式会社が提供するパッチを適
用するか、修正済みのバージョンに更新することで解決します。詳細は、トレ
ンドマイクロ株式会社が提供する情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ：Trend Micro Apex Oneとウイルスバスターコーポレートエディションで 確認された複数の脆弱性について（2021年1月）
https://success.trendmicro.com/jp/solution/000284208

トレンドマイクロ株式会社
アラート/アドバイザリ：ウイルスバスタービジネスセキュリティとウイルスバスタービジネスセキュリティサービスで確認された複数の脆弱性について（2021年1月）
https://success.trendmicro.com/jp/solution/000284234

【8】EC-CUBEにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#97554111
EC-CUBE におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN97554111/

概要
EC-CUBEには、クロスサイトスクリプティングの脆弱性があります。結果とし
て、遠隔の第三者がユーザーのブラウザー上で任意のスクリプトを実行する可
能性があります。

対象となるバージョンは次のとおりです。

- EC-CUBE 4.0.0から4.0.5までのバージョン

この問題は、EC-CUBEに株式会社イーシーキューブが提供するパッチを適用す
るか、修正済みのバージョンに更新することで解決します。詳細は、株式会社
イーシーキューブが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
EC-CUBEのクロスサイトスクリプティングの脆弱性（CVE-2021-20717）に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210022.html

株式会社イーシーキューブ
【重要】EC-CUBE 4.0系における緊急度「高」の脆弱性(JVN#97554111)発覚と対応のお願い(2021/5/13 19:00 更新)（2021/05/13）
https://www.ec-cube.net/news/detail.php?news_id=383

株式会社イーシーキューブ
脆弱性対応版「EC-CUBE 4.0.5-p1」をリリース（2021/05/10）
https://www.ec-cube.net/news/detail.php?news_id=384

【9】RFNTPSにOSコマンドインジェクションの脆弱性

情報源
Japan Vulnerability Notes JVN#13076220
RFNTPS における OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN13076220/

概要
RFNTPSには、OSコマンドインジェクションの脆弱性があります。結果として、
同一LANにアクセス可能な第三者が任意のOSコマンドを実行する可能性があり
ます。

対象となるバージョンは次のとおりです。

- System_01000005、Web_01000005より前のバージョン

この問題は、日本アンテナ株式会社が提供する最新版にファームウェアをアッ
プデートすることで解決します。詳細は、日本アンテナ株式会社が提供する情
報を参照してください。

関連文書 (日本語)
日本アンテナ株式会社
【重要なお知らせ】地上波受信型NTPサーバーのご使用時におけるセキュリティに関する注意
https://www.nippon-antenna.co.jp/ja/news/news/news8217702780390204428.html

【10】KonaWiki2に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#34232719
KonaWiki2 における複数の脆弱性
https://jvn.jp/jp/JVN34232719/

概要
KonaWiki2には、複数の脆弱性があります。結果として、遠隔の第三者が、情
報を窃取したり、任意のコードを実行したりするなどの可能性があります。

対象となるバージョンは次のとおりです。

- KonaWiki2.2.4より前のバージョン

この問題は、KonaWiki2をくじらはんどが提供する修正済みのバージョンに更
新することで解決します。詳細は、くじらはんどが提供する情報を参照してだ
さい。

関連文書 (日本語)
くじらはんど
KonaWiki
https://kujirahand.com/konawiki/

【11】mod_auth_openidcにサービス運用妨害（DoS）の脆弱性

情報源
Japan Vulnerability Notes JVN#49704918
mod_auth_openidc におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN49704918/

概要
mod_auth_openidcには、脆弱性があります。結果として、遠隔の第三者が、サー
ビス運用妨害（DoS）攻撃を行う可能性があります。

対象となるバージョンは次のとおりです。

- mod_auth_openidc 2.4.0から2.4.7

この問題は、mod_auth_openidcをZmartZoneが提供する修正済みのバージョン
に更新することで解決します。詳細は、ZmartZoneが提供する情報を参照して
ください。

関連文書 (英語)
ZmartZone
mod_auth_openidc
https://github.com/zmartzone/mod_auth_openidc

【12】IEEE802.11規格のフレームアグリゲーションやフラグメンテーションに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#93485736
IEEE802.11 規格のフレームアグリゲーションやフラグメンテーションに関する複数の問題（FragAttack）
https://jvn.jp/vu/JVNVU93485736/

概要
IEEE802.11規格のフレームアグリゲーションやフラグメンテーションには、複
数の脆弱性があります。結果として、遠隔の第三者が、通信内容を窃取したり、
不正なパケットを挿入したりする可能性があります。

対象となる製品は次のとおりです。

- IEEE802.11規格のフレームアグリゲーションやフラグメンテーションを実装している製品

製品の開発者が提供する情報を注視し、可能な限り最新版にアップデートし
てください。

関連文書 (英語)
FragAttack
FragAttack
https://www.fragattacks.com/

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○NISCが「次期サイバーセキュリティ戦略の骨子」を公開

2021年5月13日、内閣サイバーセキュリティセンター（NISC）は、「次期サイ
バーセキュリティ戦略の骨子」を公開しました。この骨子は、今後3年間にお
ける日本政府の目標や実施方針を示すものとなっており、次期サイバーセキュ
リティ戦略の課題と方向性を示しています。経済社会の活力の向上および持続
的発展、国民が安全で安心して暮らせるデジタル社会、国際社会の平和・安定
および日本の安全保障への寄与などについて記述しています。

参考文献 (日本語)
内閣サイバーセキュリティセンター（NISC）
次期サイバーセキュリティ戦略の骨子
https://www.nisc.go.jp/conference/cs/dai28/pdf/28shiryou01.pdf

目 次

【1】ISC BIND 9に複数の脆弱性
【2】複数のCisco製品に脆弱性
【3】Google Chromeに複数の脆弱性
【4】複数のApple製品に脆弱性
【5】複数のMozilla製品に脆弱性
【6】VMware vRealize Business for Cloudにリモートコード実行の脆弱性
【7】Sambaに境界外読み取りの脆弱性
【8】Eximに複数の脆弱性
【9】GitLabに複数の脆弱性
【10】スマートフォンアプリ「ホットペッパーグルメ」にアクセス制限不備の脆弱性
【11】バッファロー製の複数のネットワーク機器にデバッグ機能を有効化される問題
【12】バッファロー製ルーターに複数の脆弱性
【13】WordPress用プラグインWP Fastest Cacheにディレクトリトラバーサルの脆弱性
【今週のひとくちメモ】経済産業省が「サイバーセキュリティ体制構築・人材確保の手引き」（第1.1版）を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr211801.html
https://www.jpcert.or.jp/wr/2021/wr211801.xml
============================================================================

【1】ISC BIND 9に複数の脆弱性

情報源
CISA Current Activity
ISC Releases Security Advisory for BIND
https://us-cert.cisa.gov/ncas/current-activity/2021/04/29/isc-releases-security-advisory-bind

概要
ISC BIND 9には、複数の脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害（DoS）攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- BIND 9.16系9.16.0から9.16.13まで
- BIND 9.11系9.11.0から9.11.29まで
- BIND 9 Supported Preview Edition 9.16.8-S1から9.16.11-S3まで
- BIND 9 Supported Preview Edition 9.11.3-S1から9.11.29-S1まで

なお、すでにサポートが終了しているBIND 9.10系以前や9.12系、9.13系、
9.15系および開発版の9.17系についても本脆弱性の影響を受けます。

この問題は、ISC BINDをISCが提供する修正済みのバージョンに更新すること
で解決します。詳細は、ISCが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
ISC BIND 9の複数の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210021.html

株式会社日本レジストリサービス（JPRS）
BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2021-25214）- セカンダリサーバーのみ対象、バージョンアップを推奨 -
https://jprs.jp/tech/security/2021-04-30-bind9-vuln-ixfr.html

株式会社日本レジストリサービス（JPRS）
（緊急）BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2021-25215）- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2021-04-30-bind9-vuln-dname.html

株式会社日本レジストリサービス（JPRS）
（緊急）BIND 9.xの脆弱性（DNSサービスの停止・リモートコード実行）について（CVE-2021-25216）- GSS-TSIGが有効に設定されている場合のみ対象、バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2021-04-30-bind9-vuln-gsstsig.html

Japan Vulnerability Notes JVNVU#94179101
ISC BIND における複数の脆弱性
https://jvn.jp/vu/JVNVU94179101/

関連文書 (英語)
Internet Systems Consortium, Inc.（ISC）
CVE-2021-25214: A broken inbound incremental zone update (IXFR) can cause named to terminate unexpectedly
https://kb.isc.org/docs/cve-2021-25214

Internet Systems Consortium, Inc.（ISC）
CVE-2021-25215: An assertion check can fail while answering queries for DNAME records that require the DNAME to be processed to resolve itself
https://kb.isc.org/docs/cve-2021-25215

Internet Systems Consortium, Inc.（ISC）
CVE-2021-25216: A second vulnerability in BIND's GSSAPI security policy negotiation can be targeted by a buffer overflow attack
https://kb.isc.org/docs/cve-2021-25216

【2】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/04/29/cisco-releases-security-updates-multiple-products

CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/05/06/cisco-releases-security-updates-multiple-products

概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が、任
意のコードを実行したり、サービス運用妨害（DoS）攻撃を行ったりするなど
の可能性があります。

対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ
情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【3】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/04/27/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 90.0.4430.93より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/04/stable-channel-update-for-desktop_26.html

【4】複数のApple製品に脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/04/27/apple-releases-security-updates

CISA Current Activity
Apple Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/05/04/apple-releases-security-updates

概要
複数のApple製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- iTunes for Windows 12.11.3より前のバージョン
- Xcode 12.5より前のバージョン
- iCloud for Windows 12.3より前のバージョン
- tvOS 14.5より前のバージョン
- macOS Catalina（Security Update 2021-002 未適用）
- macOS Mojave（Security Update 2021-003 未適用）
- macOS Big Sur 11.3.1より前のバージョン
- iOS 14.5.1より前のバージョン
- iPadOS 14.5.1より前のバージョン
- watchOS 7.4.1より前のバージョン
- Safari 14.1より前のバージョン
- iOS 12.5.3より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数のApple製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021042701.html

JPCERT/CC CyberNewsFlash
複数のApple製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021050601.html

Apple
iTunes for Windows 12.11.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212319

Apple
Xcode 12.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212320

Apple
tvOS 14.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212323

Apple
セキュリティアップデート 2021-002 Catalina のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212326

Apple
セキュリティアップデート 2021-003 Mojave のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212327

Apple
macOS Big Sur 11.3.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212335

Apple
iOS 14.5.1 および iPadOS 14.5.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212336

Apple
watchOS 7.4.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212339

Apple
Safari 14.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212340

Apple
iOS 12.5.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212341

関連文書 (英語)
Apple
About the security content of iCloud for Windows 12.3
https://support.apple.com/en-us/HT212321

【5】複数のMozilla製品に脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox
https://us-cert.cisa.gov/ncas/current-activity/2021/05/06/mozilla-releases-security-updates-firefox

概要
複数のMozilla製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 88.0.1より前のバージョン
- Mozilla Firefox for Android 88.1.3より前のバージョン
- Mozilla Firefox ESR 78.10.1より前のバージョン
- Mozilla Thunderbird 78.10.1より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox ESR 78.10.1
https://www.mozilla.org/en-US/security/advisories/mfsa2021-18/

Mozilla
Security Vulnerabilities fixed in Thunderbird 78.10.1
https://www.mozilla.org/en-US/security/advisories/mfsa2021-19/

Mozilla
Security Vulnerabilities fixed in Firefox 88.0.1, Firefox for Android 88.1.3
https://www.mozilla.org/en-US/security/advisories/mfsa2021-20/

【6】VMware vRealize Business for Cloudにリモートコード実行の脆弱性

情報源
CISA Current Activity
VMware Releases Security Update
https://us-cert.cisa.gov/ncas/current-activity/2021/05/06/vmware-releases-security-update

概要
VMware vRealize Business for Cloudには、リモートコード実行の脆弱性があ
ります。結果として、遠隔の第三者が任意のコードを実行する可能性がありま
す。

対象となるバージョンは次のとおりです。

- VMware vRealize Business for Cloud 7.6より前のバージョン

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、VMwareが提供する情報を参照してください。

関連文書 (英語)
VMware Security Advisories
VMSA-2021-0007
https://www.vmware.com/security/advisories/VMSA-2021-0007.html

【7】Sambaに境界外読み取りの脆弱性

情報源
CISA Current Activity
Samba Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/04/30/samba-releases-security-updates

概要
Sambaには、境界外読み取りの脆弱性があります。結果として、第三者が許可
されていないファイルへアクセスするなどの可能性があります。

対象となるバージョンは次のとおりです。

- Samba 4.14.4より前の4.14系バージョン
- Samba 4.13.8より前の4.13系バージョン
- Samba 4.12.15より前の4.12系バージョン

この問題は、SambaをThe Samba Teamが提供する修正済みのバージョンに更新
することで解決します。詳細は、The Samba Teamが提供する情報を参照してく
ださい。

関連文書 (英語)
The Samba Team
Negative idmap cache entries can cause incorrect group entries in the Samba file server process token
https://www.samba.org/samba/security/CVE-2021-20254.html

【8】Eximに複数の脆弱性

情報源
CISA Current Activity
Exim Releases Security Update
https://us-cert.cisa.gov/ncas/current-activity/2021/05/07/exim-releases-security-update

概要
Eximには、複数の脆弱性があります。結果として、遠隔の第三者がroot権限で
任意のコマンドを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Exim 4.94.2より前のバージョン

この問題は、Eximを開発者や配布元が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ
さい。

関連文書 (英語)
Center for Internet Security
Multiple Vulnerabilities in Exim Could Allow for Remote Code Execution
https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-exim-could-allow-for-remote-code-execution_2021-064/

Exim
[exim] Exim 4.94.2 - security update released
https://lists.exim.org/lurker/message/20210504.134007.ce022df3.en.html

【9】GitLabに複数の脆弱性

情報源
GitLab
GitLab Security Release: 13.11.2, 13.10.4, and 13.9.7
https://about.gitlab.com/releases/2021/04/28/security-release-gitlab-13-11-2-released/

概要
GitLabには、複数の脆弱性があります。結果として、遠隔の第三者が、認証情
報を窃取したり、サービス運用妨害（DoS）攻撃を行ったりするなどの可能性
があります。

対象となるバージョンは次のとおりです。

- GitLab Community EditionおよびEnterprise Edition 13.11.2より前の13.11系バージョン
- GitLab Community EditionおよびEnterprise Edition 13.10.4より前の13.10系バージョン
- GitLab Community EditionおよびEnterprise Edition 13.9.7より前の13.9系バージョン

なお、GitLabによると、上記に記載されていないバージョンも影響を受けると
のことです。

この問題は、該当する製品をGitLabが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、GitLabが提供する情報を参照してください。

【10】スマートフォンアプリ「ホットペッパーグルメ」にアクセス制限不備の脆弱性

情報源
Japan Vulnerability Notes JVN#97434260
スマートフォンアプリ「ホットペッパーグルメ」におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN97434260/

概要
スマートフォンアプリ「ホットペッパーグルメ」には、アクセス制限不備の脆
弱性があります。結果として、遠隔の第三者が、当該製品を経由してユーザー
を任意のWebサイトにアクセスさせる可能性があります。

対象となるバージョンは次のとおりです。

- Androidアプリ「ホットペッパーグルメ」 ver.4.111.0およびそれ以前
- iOSアプリ「ホットペッパーグルメ」 ver.4.111.0およびそれ以前

この問題は、該当する製品を株式会社リクルートが提供する修正済みのバー
ジョンに更新することで解決します。詳細は、株式会社リクルートが提供する
情報を参照してください。

関連文書 (日本語)
株式会社リクルート
株式会社リクルートからの情報
https://jvn.jp/jp/JVN97434260/995838/

【11】バッファロー製の複数のネットワーク機器にデバッグ機能を有効化される問題

情報源
Japan Vulnerability Notes JVNVU#90274525
バッファロー製の複数のネットワーク機器においてデバッグ機能を有効化される問題
https://jvn.jp/vu/JVNVU90274525/

概要
株式会社バッファローが提供する複数のネットワーク機器には、第三者により
デバッグ機能を有効化される問題があります。結果として、隣接するネットワー
ク上の第三者が、任意のOSコマンドを実行したり、サービス運用妨害（DoS）
攻撃を行ったりするなどの可能性があります。

対象となる製品は多岐にわたります。詳細は株式会社バッファローが提供する
情報を参照してください。

当該製品のサポートは終了しており、修正アップデートは提供されません。株
式会社バッファローは製品の使用を停止し、代替製品へ移行することを推奨し
ています。詳細は、株式会社バッファローが提供する情報を参照してください。

関連文書 (日本語)
株式会社バッファロー
【更新】ルーター等の一部商品におけるデバッグオプションの脆弱性とその対処方法
https://www.buffalo.jp/news/detail/20210427-02.html

【12】バッファロー製ルーターに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#99235714
バッファロー製ルータにおける複数の脆弱性
https://jvn.jp/vu/JVNVU99235714/

概要
株式会社バッファローが提供するルーター製品には、複数の脆弱性があります。
結果として、隣接するネットワーク上の第三者が、当該機器の設定情報などを
窃取したり、root権限で任意のOSコマンドを実行したりするなどの可能性があ
ります。

対象となる製品は多岐にわたります。詳細は株式会社バッファローが提供する
情報を参照してください。

この問題は、該当する製品を株式会社バッファローが提供する修正済みのバー
ジョンに更新することで解決します。詳細は、株式会社バッファローが提供す
る情報を参照してください。

関連文書 (日本語)
株式会社バッファロー
一部ルーター商品における複数の脆弱性とその対処方法
https://www.buffalo.jp/news/detail/20210427-01.html

【13】WordPress用プラグインWP Fastest Cacheにディレクトリトラバーサルの脆弱性

情報源
Japan Vulnerability Notes JVN#35240327
WordPress 用プラグイン WP Fastest Cache におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN35240327/

概要
WordPress用プラグインWP Fastest Cacheには、ディレクトリトラバーサルの
脆弱性があります。結果として、当該製品に管理者権限でログイン可能な第三
者が、任意のファイルを削除する可能性があります。

対象となるバージョンは次のとおりです。

- WP Fastest Cache 0.9.1.7より前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
Emre Vona
WP Fastest Cache
https://wordpress.org/plugins/wp-fastest-cache/

Emre Vona
WP Fastest Cache Premium | The Fastest WordPress Cache Plugin
https://www.wpfastestcache.com/

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○経済産業省が「サイバーセキュリティ体制構築・人材確保の手引き」（第1.1版）を公開

2021年4月26日、経済産業省は「サイバーセキュリティ体制構築・人材確保の
手引き」（第1.1版）を公開しました。本手引きは企業がサイバーセキュリティ
経営ガイドラインに基づいてサイバーセキュリティの体制を構築し、人材を確
保するための要点がまとめられています。第1.1版では、サイバーセキュリティ
対策に従事する人材の確保方法、ユーザー企業で必要となるスキルの習得に活
用可能な資格制度、ユーザー企業でサイバーセキュリティ対策に従事する人材
育成のイメージなどが追加されています。

参考文献 (日本語)
経済産業省
「サイバーセキュリティ体制構築・人材確保の手引き」（第1.1版）を取りまとめました
https://www.meti.go.jp/press/2021/04/20210426002/20210426002.html