■04/25(日)~05/08(土) のセキュリティ関連情報
目 次
【1】ISC BIND 9に複数の脆弱性
【2】複数のCisco製品に脆弱性
【3】Google Chromeに複数の脆弱性
【4】複数のApple製品に脆弱性
【5】複数のMozilla製品に脆弱性
【6】VMware vRealize Business for Cloudにリモートコード実行の脆弱性
【7】Sambaに境界外読み取りの脆弱性
【8】Eximに複数の脆弱性
【9】GitLabに複数の脆弱性
【10】スマートフォンアプリ「ホットペッパーグルメ」にアクセス制限不備の脆弱性
【11】バッファロー製の複数のネットワーク機器にデバッグ機能を有効化される問題
【12】バッファロー製ルーターに複数の脆弱性
【13】WordPress用プラグインWP Fastest Cacheにディレクトリトラバーサルの脆弱性
【今週のひとくちメモ】経済産業省が「サイバーセキュリティ体制構築・人材確保の手引き」(第1.1版)を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr211801.html
https://www.jpcert.or.jp/wr/2021/wr211801.xml
============================================================================
【1】ISC BIND 9に複数の脆弱性
情報源
CISA Current Activity
ISC Releases Security Advisory for BIND
https://us-cert.cisa.gov/ncas/current-activity/2021/04/29/isc-releases-security-advisory-bind
概要
ISC BIND 9には、複数の脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害(DoS)攻撃を行うなどの可能性があります。
対象となるバージョンは次のとおりです。
- BIND 9.16系9.16.0から9.16.13まで
- BIND 9.11系9.11.0から9.11.29まで
- BIND 9 Supported Preview Edition 9.16.8-S1から9.16.11-S3まで
- BIND 9 Supported Preview Edition 9.11.3-S1から9.11.29-S1まで
なお、すでにサポートが終了しているBIND 9.10系以前や9.12系、9.13系、
9.15系および開発版の9.17系についても本脆弱性の影響を受けます。
この問題は、ISC BINDをISCが提供する修正済みのバージョンに更新すること
で解決します。詳細は、ISCが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC 注意喚起
ISC BIND 9の複数の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210021.html
株式会社日本レジストリサービス(JPRS)
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2021-25214)- セカンダリサーバーのみ対象、バージョンアップを推奨 -
https://jprs.jp/tech/security/2021-04-30-bind9-vuln-ixfr.html
株式会社日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2021-25215)- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2021-04-30-bind9-vuln-dname.html
株式会社日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(DNSサービスの停止・リモートコード実行)について(CVE-2021-25216)- GSS-TSIGが有効に設定されている場合のみ対象、バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2021-04-30-bind9-vuln-gsstsig.html
Japan Vulnerability Notes JVNVU#94179101
ISC BIND における複数の脆弱性
https://jvn.jp/vu/JVNVU94179101/
関連文書 (英語)
Internet Systems Consortium, Inc.(ISC)
CVE-2021-25214: A broken inbound incremental zone update (IXFR) can cause named to terminate unexpectedly
https://kb.isc.org/docs/cve-2021-25214
Internet Systems Consortium, Inc.(ISC)
CVE-2021-25215: An assertion check can fail while answering queries for DNAME records that require the DNAME to be processed to resolve itself
https://kb.isc.org/docs/cve-2021-25215
Internet Systems Consortium, Inc.(ISC)
CVE-2021-25216: A second vulnerability in BIND's GSSAPI security policy negotiation can be targeted by a buffer overflow attack
https://kb.isc.org/docs/cve-2021-25216
【2】複数のCisco製品に脆弱性
情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/04/29/cisco-releases-security-updates-multiple-products
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/05/06/cisco-releases-security-updates-multiple-products
概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が、任
意のコードを実行したり、サービス運用妨害(DoS)攻撃を行ったりするなど
の可能性があります。
対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ
情報を参照してください。
この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。
関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x
【3】Google Chromeに複数の脆弱性
情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/04/27/google-releases-security-updates-chrome
概要
Google Chromeには、複数の脆弱性があります。
対象となるバージョンは次のとおりです。
- Google Chrome 90.0.4430.93より前のバージョン
この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。
関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/04/stable-channel-update-for-desktop_26.html
【4】複数のApple製品に脆弱性
情報源
CISA Current Activity
Apple Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/04/27/apple-releases-security-updates
CISA Current Activity
Apple Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/05/04/apple-releases-security-updates
概要
複数のApple製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- iTunes for Windows 12.11.3より前のバージョン
- Xcode 12.5より前のバージョン
- iCloud for Windows 12.3より前のバージョン
- tvOS 14.5より前のバージョン
- macOS Catalina(Security Update 2021-002 未適用)
- macOS Mojave(Security Update 2021-003 未適用)
- macOS Big Sur 11.3.1より前のバージョン
- iOS 14.5.1より前のバージョン
- iPadOS 14.5.1より前のバージョン
- watchOS 7.4.1より前のバージョン
- Safari 14.1より前のバージョン
- iOS 12.5.3より前のバージョン
この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数のApple製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021042701.html
JPCERT/CC CyberNewsFlash
複数のApple製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021050601.html
Apple
iTunes for Windows 12.11.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212319
Apple
Xcode 12.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212320
Apple
tvOS 14.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212323
Apple
セキュリティアップデート 2021-002 Catalina のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212326
Apple
セキュリティアップデート 2021-003 Mojave のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212327
Apple
macOS Big Sur 11.3.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212335
Apple
iOS 14.5.1 および iPadOS 14.5.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212336
Apple
watchOS 7.4.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212339
Apple
Safari 14.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212340
Apple
iOS 12.5.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212341
関連文書 (英語)
Apple
About the security content of iCloud for Windows 12.3
https://support.apple.com/en-us/HT212321
【5】複数のMozilla製品に脆弱性
情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox
https://us-cert.cisa.gov/ncas/current-activity/2021/05/06/mozilla-releases-security-updates-firefox
概要
複数のMozilla製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Mozilla Firefox 88.0.1より前のバージョン
- Mozilla Firefox for Android 88.1.3より前のバージョン
- Mozilla Firefox ESR 78.10.1より前のバージョン
- Mozilla Thunderbird 78.10.1より前のバージョン
この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。
関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox ESR 78.10.1
https://www.mozilla.org/en-US/security/advisories/mfsa2021-18/
Mozilla
Security Vulnerabilities fixed in Thunderbird 78.10.1
https://www.mozilla.org/en-US/security/advisories/mfsa2021-19/
Mozilla
Security Vulnerabilities fixed in Firefox 88.0.1, Firefox for Android 88.1.3
https://www.mozilla.org/en-US/security/advisories/mfsa2021-20/
【6】VMware vRealize Business for Cloudにリモートコード実行の脆弱性
情報源
CISA Current Activity
VMware Releases Security Update
https://us-cert.cisa.gov/ncas/current-activity/2021/05/06/vmware-releases-security-update
概要
VMware vRealize Business for Cloudには、リモートコード実行の脆弱性があ
ります。結果として、遠隔の第三者が任意のコードを実行する可能性がありま
す。
対象となるバージョンは次のとおりです。
- VMware vRealize Business for Cloud 7.6より前のバージョン
この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、VMwareが提供する情報を参照してください。
関連文書 (英語)
VMware Security Advisories
VMSA-2021-0007
https://www.vmware.com/security/advisories/VMSA-2021-0007.html
【7】Sambaに境界外読み取りの脆弱性
情報源
CISA Current Activity
Samba Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/04/30/samba-releases-security-updates
概要
Sambaには、境界外読み取りの脆弱性があります。結果として、第三者が許可
されていないファイルへアクセスするなどの可能性があります。
対象となるバージョンは次のとおりです。
- Samba 4.14.4より前の4.14系バージョン
- Samba 4.13.8より前の4.13系バージョン
- Samba 4.12.15より前の4.12系バージョン
この問題は、SambaをThe Samba Teamが提供する修正済みのバージョンに更新
することで解決します。詳細は、The Samba Teamが提供する情報を参照してく
ださい。
関連文書 (英語)
The Samba Team
Negative idmap cache entries can cause incorrect group entries in the Samba file server process token
https://www.samba.org/samba/security/CVE-2021-20254.html
【8】Eximに複数の脆弱性
情報源
CISA Current Activity
Exim Releases Security Update
https://us-cert.cisa.gov/ncas/current-activity/2021/05/07/exim-releases-security-update
概要
Eximには、複数の脆弱性があります。結果として、遠隔の第三者がroot権限で
任意のコマンドを実行するなどの可能性があります。
対象となるバージョンは次のとおりです。
- Exim 4.94.2より前のバージョン
この問題は、Eximを開発者や配布元が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ
さい。
関連文書 (英語)
Center for Internet Security
Multiple Vulnerabilities in Exim Could Allow for Remote Code Execution
https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-exim-could-allow-for-remote-code-execution_2021-064/
Exim
[exim] Exim 4.94.2 - security update released
https://lists.exim.org/lurker/message/20210504.134007.ce022df3.en.html
【9】GitLabに複数の脆弱性
情報源
GitLab
GitLab Security Release: 13.11.2, 13.10.4, and 13.9.7
https://about.gitlab.com/releases/2021/04/28/security-release-gitlab-13-11-2-released/
概要
GitLabには、複数の脆弱性があります。結果として、遠隔の第三者が、認証情
報を窃取したり、サービス運用妨害(DoS)攻撃を行ったりするなどの可能性
があります。
対象となるバージョンは次のとおりです。
- GitLab Community EditionおよびEnterprise Edition 13.11.2より前の13.11系バージョン
- GitLab Community EditionおよびEnterprise Edition 13.10.4より前の13.10系バージョン
- GitLab Community EditionおよびEnterprise Edition 13.9.7より前の13.9系バージョン
なお、GitLabによると、上記に記載されていないバージョンも影響を受けると
のことです。
この問題は、該当する製品をGitLabが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、GitLabが提供する情報を参照してください。
【10】スマートフォンアプリ「ホットペッパーグルメ」にアクセス制限不備の脆弱性
情報源
Japan Vulnerability Notes JVN#97434260
スマートフォンアプリ「ホットペッパーグルメ」におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN97434260/
概要
スマートフォンアプリ「ホットペッパーグルメ」には、アクセス制限不備の脆
弱性があります。結果として、遠隔の第三者が、当該製品を経由してユーザー
を任意のWebサイトにアクセスさせる可能性があります。
対象となるバージョンは次のとおりです。
- Androidアプリ「ホットペッパーグルメ」 ver.4.111.0およびそれ以前
- iOSアプリ「ホットペッパーグルメ」 ver.4.111.0およびそれ以前
この問題は、該当する製品を株式会社リクルートが提供する修正済みのバー
ジョンに更新することで解決します。詳細は、株式会社リクルートが提供する
情報を参照してください。
関連文書 (日本語)
株式会社リクルート
株式会社リクルートからの情報
https://jvn.jp/jp/JVN97434260/995838/
【11】バッファロー製の複数のネットワーク機器にデバッグ機能を有効化される問題
情報源
Japan Vulnerability Notes JVNVU#90274525
バッファロー製の複数のネットワーク機器においてデバッグ機能を有効化される問題
https://jvn.jp/vu/JVNVU90274525/
概要
株式会社バッファローが提供する複数のネットワーク機器には、第三者により
デバッグ機能を有効化される問題があります。結果として、隣接するネットワー
ク上の第三者が、任意のOSコマンドを実行したり、サービス運用妨害(DoS)
攻撃を行ったりするなどの可能性があります。
対象となる製品は多岐にわたります。詳細は株式会社バッファローが提供する
情報を参照してください。
当該製品のサポートは終了しており、修正アップデートは提供されません。株
式会社バッファローは製品の使用を停止し、代替製品へ移行することを推奨し
ています。詳細は、株式会社バッファローが提供する情報を参照してください。
関連文書 (日本語)
株式会社バッファロー
【更新】ルーター等の一部商品におけるデバッグオプションの脆弱性とその対処方法
https://www.buffalo.jp/news/detail/20210427-02.html
【12】バッファロー製ルーターに複数の脆弱性
情報源
Japan Vulnerability Notes JVNVU#99235714
バッファロー製ルータにおける複数の脆弱性
https://jvn.jp/vu/JVNVU99235714/
概要
株式会社バッファローが提供するルーター製品には、複数の脆弱性があります。
結果として、隣接するネットワーク上の第三者が、当該機器の設定情報などを
窃取したり、root権限で任意のOSコマンドを実行したりするなどの可能性があ
ります。
対象となる製品は多岐にわたります。詳細は株式会社バッファローが提供する
情報を参照してください。
この問題は、該当する製品を株式会社バッファローが提供する修正済みのバー
ジョンに更新することで解決します。詳細は、株式会社バッファローが提供す
る情報を参照してください。
関連文書 (日本語)
株式会社バッファロー
一部ルーター商品における複数の脆弱性とその対処方法
https://www.buffalo.jp/news/detail/20210427-01.html
【13】WordPress用プラグインWP Fastest Cacheにディレクトリトラバーサルの脆弱性
情報源
Japan Vulnerability Notes JVN#35240327
WordPress 用プラグイン WP Fastest Cache におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN35240327/
概要
WordPress用プラグインWP Fastest Cacheには、ディレクトリトラバーサルの
脆弱性があります。結果として、当該製品に管理者権限でログイン可能な第三
者が、任意のファイルを削除する可能性があります。
対象となるバージョンは次のとおりです。
- WP Fastest Cache 0.9.1.7より前のバージョン
この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (英語)
Emre Vona
WP Fastest Cache
https://wordpress.org/plugins/wp-fastest-cache/
Emre Vona
WP Fastest Cache Premium | The Fastest WordPress Cache Plugin
https://www.wpfastestcache.com/
――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――
○経済産業省が「サイバーセキュリティ体制構築・人材確保の手引き」(第1.1版)を公開
2021年4月26日、経済産業省は「サイバーセキュリティ体制構築・人材確保の
手引き」(第1.1版)を公開しました。本手引きは企業がサイバーセキュリティ
経営ガイドラインに基づいてサイバーセキュリティの体制を構築し、人材を確
保するための要点がまとめられています。第1.1版では、サイバーセキュリティ
対策に従事する人材の確保方法、ユーザー企業で必要となるスキルの習得に活
用可能な資格制度、ユーザー企業でサイバーセキュリティ対策に従事する人材
育成のイメージなどが追加されています。
参考文献 (日本語)
経済産業省
「サイバーセキュリティ体制構築・人材確保の手引き」(第1.1版)を取りまとめました
https://www.meti.go.jp/press/2021/04/20210426002/20210426002.html
コメント