■05/09(日)~05/15(土) のセキュリティ関連情報
目 次
【1】複数のマイクロソフト製品に脆弱性
【2】複数のアドビ製品に脆弱性
【3】Google Chromeに複数の脆弱性
【4】Citrix Workspace App for Windowsに権限昇格の脆弱性
【5】WordPressに複数の脆弱性
【6】複数のIntel製品に脆弱性
【7】複数のトレンドマイクロ製品に脆弱性
【8】EC-CUBEにクロスサイトスクリプティングの脆弱性
【9】RFNTPSにOSコマンドインジェクションの脆弱性
【10】KonaWiki2に複数の脆弱性
【11】mod_auth_openidcにサービス運用妨害(DoS)の脆弱性
【12】IEEE802.11規格のフレームアグリゲーションやフラグメンテーションに複数の脆弱性
【今週のひとくちメモ】NISCが「次期サイバーセキュリティ戦略の骨子」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr211901.html
https://www.jpcert.or.jp/wr/2021/wr211901.xml
============================================================================
【1】複数のマイクロソフト製品に脆弱性
情報源
CISA Current Activity
Microsoft Releases May 2021 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/05/11/microsoft-releases-may-2021-security-updates
概要
複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。
対象となる製品は、多岐に渡ります。詳細はマイクロソフトが提供するアドバ
イザリ情報を参照してください。
この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフトが提供する情報を参照してください。
関連文書 (日本語)
マイクロソフト株式会社
May 2021 Security Updates
https://msrc.microsoft.com/update-guide/releaseNote/2021-May
JPCERT/CC 注意喚起
2021年5月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2021/at210024.html
【2】複数のアドビ製品に脆弱性
情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/05/11/adobe-releases-security-updates-multiple-products
概要
複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。
対象となる製品は次のとおりです。
- Adobe Experience Manager
- Adobe InDesign
- Adobe Illustrator
- Adobe InCopy
- Adobe Genuine Service
- Adobe Acrobat and Reader
- Magento
- Adobe Media Encoder
- Adobe After Effects
- Adobe Medium
- Adobe Animate
この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC 注意喚起
Adobe AcrobatおよびReaderの脆弱性(APSB21-29)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210023.html
JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021051201.html
アドビ
Adobe Experience Manager に関するセキュリティアップデート公開 | APSB21-15
https://helpx.adobe.com/jp/security/products/experience-manager/apsb21-15.html
アドビ
Adobe InDesign に関するセキュリティアップデート公開 | APSB21-22
https://helpx.adobe.com/jp/security/products/indesign/apsb21-22.html
アドビ
Adobe Illustrator に関するセキュリティアップデート公開 | APSB21-24
https://helpx.adobe.com/jp/security/products/illustrator/apsb21-24.html
アドビ
Adobe InCopy に関するセキュリティアップデート公開 | APSB21-25
https://helpx.adobe.com/jp/security/products/incopy/apsb21-25.html
アドビ
アドビ正規品サービスに関するセキュリティアップデート公開 | APSB21-27
https://helpx.adobe.com/jp/security/products/integrity_service/apsb21-27.html
アドビ
Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB21-29
https://helpx.adobe.com/jp/security/products/acrobat/apsb21-29.html
アドビ
Magento に関するセキュリティアップデート公開 | APSB21-30
https://helpx.adobe.com/jp/security/products/magento/apsb21-30.html
アドビ
Adobe Creative Cloud デスクトップアプリケーションに関するセキュリティアップデート公開 | APSB21-31
https://helpx.adobe.com/jp/security/products/creative-cloud/apsb21-31.html
アドビ
Adobe Media Encoder に関するセキュリティアップデート公開 | APSB21-32
https://helpx.adobe.com/jp/security/products/media-encoder/apsb21-32.html
アドビ
Adobe After Effects に関するセキュリティアップデート公開 | APSB21-33
https://helpx.adobe.com/jp/security/products/after_effects/apsb21-33.html
アドビ
Medium by Adobe に関するセキュリティアップデート公開 | APSB21-34
https://helpx.adobe.com/jp/security/products/medium/apsb21-34.html
アドビ
Adobe Animate に関するセキュリティアップデート公開 | APSB35-21
https://helpx.adobe.com/jp/security/products/animate/apsb21-35.html
【3】Google Chromeに複数の脆弱性
情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/05/11/google-releases-security-updates-chrome
概要
Google Chromeには、複数の脆弱性があります。
対象となるバージョンは次のとおりです。
- Google Chrome 90.0.4430.212より前のバージョン
この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。
関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/05/stable-channel-update-for-desktop.html
【4】Citrix Workspace App for Windowsに権限昇格の脆弱性
情報源
CISA Current Activity
Citrix Releases Security Updates for Workspace App for Windows
https://us-cert.cisa.gov/ncas/current-activity/2021/05/11/citrix-releases-security-updates-workspace-app-windows
概要
Citrix Workspace App for Windowsには、権限昇格の脆弱性があります。結果
として、ユーザーがユーザー権限でSYSTEM権限の操作をする可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Citrix Workspace App 2105以降
- Citrix Workspace App 1912 LTSR CU4以降
この問題は、Citrixが提供する修正済みのバージョンに更新することで解決し
ます。詳細は、Citrixが提供する情報を参照してください。
関連文書 (英語)
Citrix
Citrix Workspace App Security Update
https://support.citrix.com/article/CTX307794
【5】WordPressに複数の脆弱性
情報源
CISA Current Activity
WordPress Releases Security Update
https://us-cert.cisa.gov/ncas/current-activity/2021/05/13/wordpress-releases-security-update
概要
WordPressには、複数の脆弱性があります。結果として、第三者がシステムを
制御するなどの可能性があります。
対象となるバージョンは次のとおりです。
- WordPress 3.7から5.7
この問題は、WordPressをWordPressが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、WordPressが提供する情報を参照してください。
関連文書 (英語)
WordPress
WordPress 5.7.2 セキュリティリリース
https://ja.wordpress.org/2021/05/13/wordpress-5-7-2-security-release/
【6】複数のIntel製品に脆弱性
情報源
JPCERT/CC CyberNewsFlash
Intel製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2021051202.html
概要
Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security
Center Advisoriesが公開されました。
詳細は、Intelが提供する情報を参照してください。
関連文書 (英語)
Intel
Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html
【7】複数のトレンドマイクロ製品に脆弱性
情報源
Japan Vulnerability Notes JVNVU#97581596
トレンドマイクロ製 Apex One およびウイルスバスターシリーズにおける複数の脆弱性
https://jvn.jp/vu/JVNVU97581596/
概要
複数のトレンドマイクロ製品には、脆弱性があります。結果として、遠隔の第
三者が情報を窃取するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Apex One 2019、SaaS
- ウイルスバスターコーポレートエディション XG SP1
- ウイルスバスタービジネスセキュリティ 9.5および10 SP1
- ウイルスバスタービジネスセキュリティサービス 6.7
この問題は、該当する製品にトレンドマイクロ株式会社が提供するパッチを適
用するか、修正済みのバージョンに更新することで解決します。詳細は、トレ
ンドマイクロ株式会社が提供する情報を参照してください。
関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ:Trend Micro Apex Oneとウイルスバスターコーポレートエディションで 確認された複数の脆弱性について(2021年1月)
https://success.trendmicro.com/jp/solution/000284208
トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスタービジネスセキュリティとウイルスバスタービジネスセキュリティサービスで確認された複数の脆弱性について(2021年1月)
https://success.trendmicro.com/jp/solution/000284234
【8】EC-CUBEにクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#97554111
EC-CUBE におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN97554111/
概要
EC-CUBEには、クロスサイトスクリプティングの脆弱性があります。結果とし
て、遠隔の第三者がユーザーのブラウザー上で任意のスクリプトを実行する可
能性があります。
対象となるバージョンは次のとおりです。
- EC-CUBE 4.0.0から4.0.5までのバージョン
この問題は、EC-CUBEに株式会社イーシーキューブが提供するパッチを適用す
るか、修正済みのバージョンに更新することで解決します。詳細は、株式会社
イーシーキューブが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC 注意喚起
EC-CUBEのクロスサイトスクリプティングの脆弱性(CVE-2021-20717)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210022.html
株式会社イーシーキューブ
【重要】EC-CUBE 4.0系における緊急度「高」の脆弱性(JVN#97554111)発覚と対応のお願い(2021/5/13 19:00 更新)(2021/05/13)
https://www.ec-cube.net/news/detail.php?news_id=383
株式会社イーシーキューブ
脆弱性対応版「EC-CUBE 4.0.5-p1」をリリース(2021/05/10)
https://www.ec-cube.net/news/detail.php?news_id=384
【9】RFNTPSにOSコマンドインジェクションの脆弱性
情報源
Japan Vulnerability Notes JVN#13076220
RFNTPS における OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN13076220/
概要
RFNTPSには、OSコマンドインジェクションの脆弱性があります。結果として、
同一LANにアクセス可能な第三者が任意のOSコマンドを実行する可能性があり
ます。
対象となるバージョンは次のとおりです。
- System_01000005、Web_01000005より前のバージョン
この問題は、日本アンテナ株式会社が提供する最新版にファームウェアをアッ
プデートすることで解決します。詳細は、日本アンテナ株式会社が提供する情
報を参照してください。
関連文書 (日本語)
日本アンテナ株式会社
【重要なお知らせ】地上波受信型NTPサーバーのご使用時におけるセキュリティに関する注意
https://www.nippon-antenna.co.jp/ja/news/news/news8217702780390204428.html
【10】KonaWiki2に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#34232719
KonaWiki2 における複数の脆弱性
https://jvn.jp/jp/JVN34232719/
概要
KonaWiki2には、複数の脆弱性があります。結果として、遠隔の第三者が、情
報を窃取したり、任意のコードを実行したりするなどの可能性があります。
対象となるバージョンは次のとおりです。
- KonaWiki2.2.4より前のバージョン
この問題は、KonaWiki2をくじらはんどが提供する修正済みのバージョンに更
新することで解決します。詳細は、くじらはんどが提供する情報を参照してだ
さい。
関連文書 (日本語)
くじらはんど
KonaWiki
https://kujirahand.com/konawiki/
【11】mod_auth_openidcにサービス運用妨害(DoS)の脆弱性
情報源
Japan Vulnerability Notes JVN#49704918
mod_auth_openidc におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN49704918/
概要
mod_auth_openidcには、脆弱性があります。結果として、遠隔の第三者が、サー
ビス運用妨害(DoS)攻撃を行う可能性があります。
対象となるバージョンは次のとおりです。
- mod_auth_openidc 2.4.0から2.4.7
この問題は、mod_auth_openidcをZmartZoneが提供する修正済みのバージョン
に更新することで解決します。詳細は、ZmartZoneが提供する情報を参照して
ください。
関連文書 (英語)
ZmartZone
mod_auth_openidc
https://github.com/zmartzone/mod_auth_openidc
【12】IEEE802.11規格のフレームアグリゲーションやフラグメンテーションに複数の脆弱性
情報源
Japan Vulnerability Notes JVNVU#93485736
IEEE802.11 規格のフレームアグリゲーションやフラグメンテーションに関する複数の問題(FragAttack)
https://jvn.jp/vu/JVNVU93485736/
概要
IEEE802.11規格のフレームアグリゲーションやフラグメンテーションには、複
数の脆弱性があります。結果として、遠隔の第三者が、通信内容を窃取したり、
不正なパケットを挿入したりする可能性があります。
対象となる製品は次のとおりです。
- IEEE802.11規格のフレームアグリゲーションやフラグメンテーションを実装している製品
製品の開発者が提供する情報を注視し、可能な限り最新版にアップデートし
てください。
関連文書 (英語)
FragAttack
FragAttack
https://www.fragattacks.com/
――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――
○NISCが「次期サイバーセキュリティ戦略の骨子」を公開
2021年5月13日、内閣サイバーセキュリティセンター(NISC)は、「次期サイ
バーセキュリティ戦略の骨子」を公開しました。この骨子は、今後3年間にお
ける日本政府の目標や実施方針を示すものとなっており、次期サイバーセキュ
リティ戦略の課題と方向性を示しています。経済社会の活力の向上および持続
的発展、国民が安全で安心して暮らせるデジタル社会、国際社会の平和・安定
および日本の安全保障への寄与などについて記述しています。
参考文献 (日本語)
内閣サイバーセキュリティセンター(NISC)
次期サイバーセキュリティ戦略の骨子
https://www.nisc.go.jp/conference/cs/dai28/pdf/28shiryou01.pdf
コメント