« 2021年5月 | メイン | 2021年7月 »

2021年6月

2021年6月30日 (水)

■06/20(日)~06/26(土) のセキュリティ関連情報

目 次

【1】複数のVMware製品に脆弱性
【2】Citrix Hypervisorに複数の脆弱性
【3】EC-CUBEにクロスサイトスクリプティングの脆弱性
【4】WordPress用プラグインWordPress Popular Postsにクロスサイトスクリプティングの脆弱性
【5】WordPress用プラグイン「不動産プラグイン」シリーズにクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】日本発のIoT製品・システムを安全に実装するための国際規格について

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr212501.html
https://www.jpcert.or.jp/wr/2021/wr212501.xml
============================================================================


【1】複数のVMware製品に脆弱性

情報源
CISA Current Activity
VMware Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/06/23/vmware-releases-security-updates

概要
複数のVMware製品には、脆弱性があります。結果として、第三者が認証を経ず
に管理者権限を取得したり、管理者権限でコードを実行したりする可能性があ
ります。

対象となる製品およびバージョンは次のとおりです。
- VMware Carbon Black App Control 8.6.2より前のバージョン
- VMware Carbon Black App Control 8.5.8より前のバージョン
- VMware Carbon Black App Control 8.1系のバージョン
- VMware Carbon Black App Control 8.0系のバージョン
- VMware Tools for Windows 11.2.6より前のバージョン
- VMware Remote Console for Windows (VMRC for Windows) 12.0.1より前のバージョン
- VMware App Volumes for Windows 4系 2103より前のバージョン
- VMware App Volumes for Windows 2.18.10より前のバージョン

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、VMwareが提供する情報を参照してください。

関連文書 (英語)
VMware
VMSA-2021-0012
https://www.vmware.com/security/advisories/VMSA-2021-0012.html

VMware
VMSA-2021-0013
https://www.vmware.com/security/advisories/VMSA-2021-0013.html

【2】Citrix Hypervisorに複数の脆弱性

情報源
CISA Current Activity
Citrix Releases Security Updates for Hypervisor
https://us-cert.cisa.gov/ncas/current-activity/2021/06/25/citrix-releases-security-updates-hypervisor

概要
Citrix Hypervisorには、複数の脆弱性があります。結果として、第三者がサー
ビス運用妨害(DoS)攻撃を行う可能性があります。

対象となるバージョンは次のとおりです。

- Citrix Hypervisor 8.2 LTSR

この問題は、Citrixが提供する修正済みのバージョンに更新することで解決し
ます。詳細は、Citrixが提供する情報を参照してください。

関連文書 (英語)
Citrix
Citrix Hypervisor Security Update
https://support.citrix.com/article/CTX316325

【3】EC-CUBEにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#95292458
EC-CUBE における複数のクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN95292458/

概要
EC-CUBEには、クロスサイトスクリプティングの脆弱性があります。結果とし
て、遠隔の第三者が、管理者またはユーザーを細工したページに誘導し、特定
の操作を実行させることにより、管理者またはユーザーのWebブラウザー上で
任意のスクリプトを実行する可能性があります。

対象となるバージョンは次のとおりです。

- EC-CUBE 3.0.0から3.0.18-p2まで(EC-CUBE 3系)
- EC-CUBE 4.0.0から4.0.5-p1まで(EC-CUBE 4系)

この問題は、EC-CUBEを株式会社イーシーキューブが提供するアップデートや
パッチを適用することで解決します。詳細は、株式会社イーシーキューブが提
供する情報を参照してください。


関連文書 (日本語)
株式会社イーシーキューブ
EC-CUBE3.0におけるクロスサイトスクリプティングの脆弱性(JVN#95292458)
https://www.ec-cube.net/info/weakness/weakness.php?id=79

株式会社イーシーキューブ
EC-CUBE4.0におけるクロスサイトスクリプティングの脆弱性(JVN#95292458)
https://www.ec-cube.net/info/weakness/weakness.php?id=78

【4】WordPress用プラグインWordPress Popular Postsにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#63066062
WordPress 用プラグイン WordPress Popular Posts におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN63066062/

概要
WordPress用プラグインWordPress Popular Postsには、クロスサイトスクリプ
ティングの脆弱性があります。結果として、遠隔の第三者が、管理者権限を持
つユーザーのWebブラウザー上でスクリプトを実行する可能性があります。

対象となるバージョンは次のとおりです。

- WordPress Popular Posts 5.3.2およびそれ以前のバージョン

この問題は、本プラグインを開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
Word Press
WordPress Popular Posts
https://wordpress.org/plugins/wordpress-popular-posts/

【5】WordPress用プラグイン「不動産プラグイン」シリーズにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#93799513
WordPress 用プラグイン「不動産プラグイン」シリーズにおけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN93799513/

概要
WordPress用プラグイン「不動産プラグイン」シリーズの一部製品には、クロ
スサイトスクリプティングの脆弱性があります。結果として、遠隔の第三者が、
当該製品を使用しているサイトにアクセスしたユーザーのWebブラウザー上で、
任意のスクリプトを実行する可能性があります。

対象となるバージョンは次のとおりです。

- 不動産プラグイン(本体) ver5.7.0およびそれ以前のバージョン
- 不動産プラグインPro シングルユーザ ver5.7.0およびそれ以前のバージョン
- 不動産プラグインPro マルチユーザ ver5.7.0およびそれ以前のバージョン

この問題は、本プラグインを開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
nendeb biz Market
不動産プラグインシリーズ 6月のバージョンアップと脆弱性の対応を行いました
https://www.nendeb-biz.jp/2021-0617-1200/


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○日本発のIoT製品・システムを安全に実装するための国際規格について

日本からISO/IEC JTC 1/SC 41に提案していた、「ISO/IEC 30147:2021
Internet of Things (IoT) - Integration of IoT trustworthiness
activities in ISO/IEC/IEEE 15288 system engineering processes」が国際
標準規格として成立し、2021年5月に出版されました。

ISO/IEC 30147は、IoT製品やサービスにおけるトラストワージネスの実装・保
守のためのシステムライフサイクルプロセスを提供するものであり、一般的な
システムライフサイクルプロセスの国際規格ISO/IEC/IEEE 15288:2015を適用
・補完する内容となっています。

規格提案の背景や規格の内容について、経済産業省や独立行政法人情報処理推
進機構(IPA)が紹介しています。

参考文献 (日本語)
経済産業省
IoT製品・システムを安全に実装するための国際規格が発行されました
https://www.meti.go.jp/press/2021/06/20210621004/20210621004.html

独立行政法人 情報処理推進機構
IoT製品・サービスにセーフティ・セキュリティ等を実装するプロセスが国際標準として出版 ~日本提案の規格が国際標準化団体ISO/IECにて出版~
https://www.ipa.go.jp/ikc/info/20210621.html

参考文献 (英語)
国際電気標準会議(IEC)
ISO/IEC 30147:2021
https://webstore.iec.ch/publication/62644

投稿時刻 09:58 セキュリティ | | コメント (0)

2021年6月23日 (水)

■06/13(日)~06/19(土) のセキュリティ関連情報

目 次

【1】複数のEC-CUBE 3.0系用プラグインに複数のクロスサイトスクリプティングの脆弱性
【2】GROWIに複数の脆弱性
【3】複数のCisco製品に脆弱性
【4】Mozilla Firefoxに境界外読み取りの脆弱性
【5】Apache HTTP Web Serverに複数の脆弱性
【6】Google Chromeに複数の脆弱性
【7】myQNAPcloud Linkに重要な情報が安全に格納されていない脆弱性
【8】Apple iOSに複数の脆弱性
【9】Androidアプリ「あすけん」にアクセス制限不備の脆弱性
【10】Hitachi Application Serverヘルプにクロスサイトスクリプティングの脆弱性
【11】日立仮想ファイルプラットフォーム製品にOSコマンドインジェクションの脆弱性
【今週のひとくちメモ】「TRANSITS Workshop Online 2021 Summer」開催のお知らせ

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr212401.html
https://www.jpcert.or.jp/wr/2021/wr212401.xml
============================================================================


【1】複数のEC-CUBE 3.0系用プラグインに複数のクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#79254445
複数の ETUNA 製 EC-CUBE 用プラグインにおけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN79254445/

Japan Vulnerability Notes JVN#57524494
複数のイーシーキューブ製 EC-CUBE 用プラグインにおける複数のクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN57524494/

概要
複数のEC-CUBE 3.0系用プラグインには、複数のクロスサイトスクリプティン
グの脆弱性があります。結果として、遠隔の第三者がECサイトの管理者のWeb
ブラウザー上で、任意のスクリプトを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- 配送伝票番号プラグイン(3.0系) 1.0.10およびそれ以前のバージョン
- 配送伝票番号csv一括登録プラグイン(3.0系) 1.0.8およびそれ以前のバージョン
- 配送伝票番号メールプラグイン(3.0系) 1.0.8およびそれ以前のバージョン
- 帳票出力プラグイン バージョン1.0.1より前のバージョン
- メルマガ管理プラグイン バージョン1.0.4より前のバージョン
- カテゴリコンテンツプラグイン バージョン1.0.1より前のバージョン

この問題は、本プラグインを各開発者が提供する修正済みのバージョンに更新
することで解決します。詳細は、各開発者が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
複数のEC-CUBE 3.0系用プラグインにおけるクロスサイトスクリプティングの脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210028.html

ETUNA
配送伝票番号プラグイン(3.0系)における脆弱性発覚と対応のお願い(2021/06/11)
https://www.ec-cube.net/release/detail.php?release_id=5088

ETUNA
配送伝票番号csv一括登録プラグイン(3.0系)における脆弱性発覚と対応のお願い(2021/06/11)
https://www.ec-cube.net/release/detail.php?release_id=5087

ETUNA
配送伝票番号メールプラグイン(3.0系)における脆弱性発覚と対応のお願い(2021/06/11)
https://www.ec-cube.net/release/detail.php?release_id=5089

株式会社イーシーキューブ
帳票出力プラグイン バージョン1.0.1をリリースしました。(2021/06/14)
https://www.ec-cube.net/release/detail.php?release_id=5091

株式会社イーシーキューブ
メルマガ管理プラグイン バージョン1.0.4をリリースしました。(2021/06/14)
https://www.ec-cube.net/release/detail.php?release_id=5090

株式会社イーシーキューブ
カテゴリコンテンツプラグイン バージョン1.0.1をリリースしました。(2021/06/14)
https://www.ec-cube.net/release/detail.php?release_id=5092

【2】GROWIに複数の脆弱性

情報源
Japan Vulnerability Notes JVN#95457785
GROWI における複数の脆弱性
https://jvn.jp/jp/JVN95457785/

概要
GROWIには、複数の脆弱性があります。結果として、当該製品にアクセス可能
なユーザーが、データベース内の情報を窃取したり、改ざんしたりするなどの
可能性があります。

対象となるバージョンは次のとおりです。

- GROWI v4.2.20より前のバージョン

この問題は、該当する製品を株式会社WESEEKが提供する修正済みのバージョン
に更新することで解決します。詳細は、株式会社WESEEKが提供する情報を参照
してください。

関連文書 (日本語)
株式会社WESEEK
GROWI 脆弱性対応のお知らせ (JVN#95457785)
https://weseek.co.jp/security/2021/06/14/vulnerability/growi-nosql-ingection/

【3】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/06/17/cisco-releases-security-updates-multiple-products

概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコマンドを実行するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ
情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【4】Mozilla Firefoxに境界外読み取りの脆弱性

情報源
Mozilla
Security Vulnerabilities fixed in Firefox 89.0.1
https://www.mozilla.org/en-US/security/advisories/mfsa2021-27/

概要
Mozilla Firefoxには、境界外読み取りの脆弱性があります。

対象となるバージョンは次のとおりです。

- Firefox 89.0.1より前のバージョン(Windows版)

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

【5】Apache HTTP Web Serverに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#96037838
Apache HTTP Web Server 2.4 における複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU96037838/

概要
Apache HTTP Web Serverには、複数の脆弱性があります。結果として、第三者
がサービス運用妨害(DoS)攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- Apache HTTP Web Server 2.4.48より前のバージョン

この問題は、該当する製品をThe Apache Software Foundationが提供する修正
済みのバージョンに更新することで解決します。詳細は、The Apache Software
Foundationが提供する情報を参照してください。

関連文書 (英語)
The Apache Software Foundation
Apache HTTP Server 2.4.48 Released
https://downloads.apache.org/httpd/Announcement2.4.html

The Apache Software Foundation
Fixed in Apache HTTP Server 2.4.48
https://httpd.apache.org/security/vulnerabilities_24.html#2.4.48

【6】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/06/18/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 91.0.4472.114より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/06/stable-channel-update-for-desktop_17.html

【7】myQNAPcloud Linkに重要な情報が安全に格納されていない脆弱性

情報源
QNAP
Insecure Storage of Sensitive Information in myQNAPcloud Link
https://www.qnap.com/en/security-advisory/qsa-21-26

概要
myQNAPcloud Linkには、重要な情報が安全に格納されていない脆弱性がありま
す。結果として、遠隔の第三者が機密情報を窃取する可能性があります。

対象となるバージョンは次のとおりです。

- QTS 4.5.3: myQNAPcloud Link 2.2.21およびそれ以前
- QuTS hero h4.5.2: myQNAPcloud Link 2.2.21およびそれ以前
- QuTScloud c4.5.4: myQNAPcloud Link 2.2.21およびそれ以前

この問題は、myQNAPcloud LinkをQNAP Systemsが提供する修正済みのバージョン
に更新することで解決します。詳細は、QNAP Systemsが提供する情報を参照し
てください。

【8】Apple iOSに複数の脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates for iOS 12.5.4
https://us-cert.cisa.gov/ncas/current-activity/2021/06/15/apple-releases-security-updates-ios-1254

概要
iOSには、複数の脆弱性があります。結果として、第三者が任意のコードを実
行する可能性があります。

対象となるバージョンは次のとおりです。

- iOS 12.5.4より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
iOSに関するアップデートについて
https://www.jpcert.or.jp/newsflash/2021061601.html

Apple
iOS 12.5.4 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212548

【9】Androidアプリ「あすけん」にアクセス制限不備の脆弱性

情報源
Japan Vulnerability Notes JVN#38034268
Android アプリ「あすけん」におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN38034268/

概要
Androidアプリ「あすけん」には、アクセス制限不備の脆弱性があります。結
果として、遠隔の第三者が当該製品を経由し任意のWebサイトにアクセスさせ
る可能性があります。

対象となるバージョンは次のとおりです。

- Androidアプリ「あすけん」 v.3.0.0からv.4.2.xまでのバージョン

この問題は、該当する製品を株式会社 askenが提供する修正済みのバージョン
に更新することで解決します。詳細は、株式会社 askenが提供する情報を参照
してください。

関連文書 (日本語)
株式会社 asken
お知らせ (要ログイン)
https://www.asken.jp/s/information

【10】Hitachi Application Serverヘルプにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#03776901
Hitachi Application Server ヘルプにおけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN03776901

概要
Hitachi Application Serverヘルプには、クロスサイトスクリプティングの脆
弱性があります。結果として、遠隔の第三者が当該製品にアクセスしているユー
ザーのWebブラウザー上で、任意のスクリプトを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Hitachi Application Server V10 マニュアル (Windows用) バージョン10-11-01およびそれ以前
- Hitachi Application Server V10 マニュアル (UNIX用) バージョン10-11-01およびそれ以前

この問題は、該当する製品を日立が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、日立が提供する情報を参照してください。

関連文書 (日本語)
日立
Hitachi Application Server ヘルプにおけるクロスサイトスクリプティングの脆弱性
https://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/hitachi-sec-2021-104/

【11】日立仮想ファイルプラットフォーム製品にOSコマンドインジェクションの脆弱性

情報源
Japan Vulnerability Notes JVN#21298724
日立仮想ファイルプラットフォーム製品における OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN21298724

概要
日立仮想ファイルプラットフォーム製品には、OSコマンドインジェクションの
脆弱性があります。結果として、当該製品にログイン可能な第三者がroot権限
で任意のOSコマンドを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Hitachi Virtual File Platform 5.5.3-09より前のバージョン
- Hitachi Virtual File Platform 6.4.3-09より前のバージョン

また、当該製品を使用している以下の製品も本脆弱性の影響を受けます。
- 日本電気株式会社製 iStorage Mシリーズ NASオプション Nh4a/Nh8a FOS 5.5.3-08(NEC2.5.4a)より前のバージョン
- 日本電気株式会社製 iStorage Mシリーズ NASオプション Nh4b/Nh8b、Nh4c/Nh8c FOS 6.4.3-08(NEC3.4.2)より前のバージョン

この問題は、該当する製品を各開発者が提供する修正済みのバージョンに更新
することで解決します。詳細は、各開発者が提供する情報を参照してください。

関連文書 (日本語)
日立
日立仮想ファイルプラットフォーム製品における脆弱性について
https://www.hitachi.co.jp/products/it/storage-solutions/techsupport/sec_info/sec_2021_306.html

日本電気株式会社
iStorage Mシリーズ NASオプションにおける OS コマンドインジェクションの脆弱性
https://jpn.nec.com/security-info/secinfo/nv21-011.html


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○「TRANSITS Workshop Online 2021 Summer」開催のお知らせ

2021年8月19日(木)、8月20日(金)の2日間にわたり、「TRANSITS Workshop
Online 2021 Summer」がオンライン上で開催されます。日本シーサート協議会
が主催する本イベントは、CSIRTの設立の促進、既存のCSIRTの対応能力向上を
目的としたプロジェクト「TRANSITS」によるトレーニングを行い、CSIRT業務
に必要な知識を身につけることを目的としています。JPCERT/CCは本イベント
での講演、および運営に協力しています。

参加には事前申し込みが必要です。参加登録は申込先着順で、定員になり次第
締め切りとなります。詳しくはWebを参照してください。


参考文献 (日本語)
日本シーサート協議会(日本コンピュータセキュリティインシデント対応チーム協議会)
TRANSITS Workshop Online 2021 Summer開催
https://www.nca.gr.jp/2021/transits-summer/

投稿時刻 11:00 セキュリティ | | コメント (0)

2021年6月16日 (水)

■06/06(日)~06/12(土) のセキュリティ関連情報

目 次

【1】複数のマイクロソフト製品に脆弱性
【2】複数のアドビ製品に脆弱性
【3】複数のSAP製品に脆弱性
【4】Google Chromeに複数の脆弱性
【5】複数のIntel製品に脆弱性
【6】トレンドマイクロ製ウイルスバスター for Home Networkに複数の脆弱性
【7】urllib3に正規表現を用いたサービス運用妨害(ReDoS)の脆弱性
【8】WordPress用プラグインWelcart e-Commerceにクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】Japan Security Analyst Conference 2022のCFP募集開始

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr212301.html
https://www.jpcert.or.jp/wr/2021/wr212301.xml
============================================================================


【1】複数のマイクロソフト製品に脆弱性

情報源
CISA Current Activity
Microsoft Releases June 2021 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/06/08/microsoft-releases-june-2021-security-updates

概要
複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はマイクロソフトが提供するアド
バイザリ情報を参照してください。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフトが提供する情報を参照してください。

関連文書 (日本語)
マイクロソフト株式会社
2021 年 6 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2021-Jun

JPCERT/CC 注意喚起
2021年6月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2021/at210027.html

【2】複数のアドビ製品に脆弱性

情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/06/08/adobe-releases-security-updates-multiple-products

概要
複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe Connect
- Adobe Acrobat and Reader
- Adobe Photoshop
- Adobe Experience Manager
- Adobe Creative Cloud Desktop Application (Installer)
- RoboHelp Server
- Photoshop Elements (Installer)
- Adobe Premiere Elements (Installer)
- Adobe After Effects
- Adobe Animate

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
Adobe AcrobatおよびReaderの脆弱性(APSB21-37)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210026.html

JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021060901.html

アドビ
Adobe Connect に関するセキュリティアップデート | APSB21-36
https://helpx.adobe.com/jp/security/products/connect/apsb21-36.html

アドビ
Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB21-37
https://helpx.adobe.com/jp/security/products/acrobat/apsb21-37.html

アドビ
Adobe Photoshop に関するセキュリティアップデート公開 | APSB21-38
https://helpx.adobe.com/jp/security/products/photoshop/apsb21-38.html

アドビ
Adobe Experience Manager に関するセキュリティアップデート公開 | APSB21-39
https://helpx.adobe.com/jp/security/products/experience-manager/apsb21-39.html

アドビ
Adobe Creative Cloud デスクトップアプリケーションに関するセキュリティアップデート公開 | APSB21-41
https://helpx.adobe.com/jp/security/products/creative-cloud/apsb21-41.html

アドビ
Security updates available for Adobe RoboHelp Server | APSB21-44
https://helpx.adobe.com/jp/security/products/robohelp-server/apsb21-44.html

アドビ
Adobe Photoshop Elements に関するセキュリティアップデート公開 | APSB21-46
https://helpx.adobe.com/jp/security/products/photoshop_elements/apsb21-46.html

アドビ
Adobe Premiere Elements に関するセキュリティアップデート公開 | APSB21-47
https://helpx.adobe.com/jp/security/products/premiere_elements/apsb21-47.html

アドビ
Adobe After Effects に関するセキュリティアップデート公開 | APSB21-49
https://helpx.adobe.com/jp/security/products/after_effects/apsb21-49.html

アドビ
Adobe Animate に関するセキュリティアップデート公開 | APSB50-21
https://helpx.adobe.com/jp/security/products/animate/apsb21-50.html

【3】複数のSAP製品に脆弱性

情報源
CISA Current Activity
SAP Releases June 2021 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/06/08/sap-releases-june-2021-security-updates

概要
複数のSAP製品には、脆弱性があります。結果として、遠隔の第三者が任意の
コードを実行するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はSAPが提供するアドバイザリ情
報を参照してください。

この問題は、該当する製品をSAPが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、SAPが提供する情報を参照してください。

関連文書 (英語)
SAP
SAP Security Patch Day June 2021
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=578125999

【4】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/06/10/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 91.0.4472.101より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/06/stable-channel-update-for-desktop.html

【5】複数のIntel製品に脆弱性

情報源
Japan Vulnerability Notes JVNVU#99965981
Intel 製品に複数の脆弱性 (2021年6月)
https://jvn.jp/vu/JVNVU99965981/

JPCERT/CC CyberNewsFlash
Intel製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2021060902.html

概要
Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security
Center Advisoriesが公開されました。

詳細は、Intelが提供する情報を参照してください。

関連文書 (英語)
Intel
Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html

【6】トレンドマイクロ製ウイルスバスター for Home Networkに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#92417259
トレンドマイクロ製ウイルスバスター for Home Network における複数の脆弱性
https://jvn.jp/vu/JVNVU92417259/

概要
トレンドマイクロ製ウイルスバスター for Home Networkには、複数の脆弱性
があります。結果として、第三者が権限昇格を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- ウイルスバスター for Home Network ファームウェアバージョン6.6.604およびそれ以前

この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正済みの
バージョンに更新することで解決します。詳細はトレンドマイクロ株式会社が
提供する情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスター for Home Network の脆弱性について(CVE-2021-32457,CVE-2021-32458,CVE-2021-32459)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10323

【7】urllib3に正規表現を用いたサービス運用妨害(ReDoS)の脆弱性

情報源
Japan Vulnerability Notes JVNVU#92413403
urllib3 における、正規表現を用いたサービス運用妨害 (ReDoS) の脆弱性
https://jvn.jp/vu/JVNVU92413403/

概要
urllib3には、不正なURLを評価する正規表現の処理中に、サービス運用妨害
(DoS)状態となる脆弱性があります。結果として、遠隔の第三者がサービス
運用妨害(DoS)攻撃を行う可能性があります。

対象となるバージョンは次のとおりです。

- urllib3 v1.26.5より前のバージョン

この問題は、urllib3を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
urllib3
Catastrophic backtracking in URL authority parser when passed URL containing many @ characters
https://github.com/urllib3/urllib3/security/advisories/GHSA-q2q7-5pp4-w6pg

【8】WordPress用プラグインWelcart e-Commerceにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#70566757
WordPress 用プラグイン Welcart e-Commerce におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN70566757/

概要
WordPress用プラグインWelcart e-Commerceには、クロスサイトスクリプティ
ングの脆弱性があります。結果として、遠隔の第三者がユーザーのブラウザー
上で任意のスクリプトを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Welcart e-Commerce 2.2.4より前のバージョン

この問題は、Welcart e-Commerceをコルネ株式会社が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、コルネ株式会社が提供する情報
を参照してください。

関連文書 (日本語)
コルネ株式会社
Welcart 2.2.4 をリリースしました
https://www.welcart.com/archives/14039.html


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○Japan Security Analyst Conference 2022のCFP募集開始

2021年6月7日、JPCERT/CCは、Japan Security Analyst Conference(JSAC)2022
の講演およびWorkshopの募集(CFP)を開始しました。応募締切は2021年10月
4日です。JSACは、現場のセキュリティアナリストが集い、高度化するサイバー
攻撃に対抗するための情報を共有することを目的とした技術情報共有カンファ
レンスです。JSAC 2022の開催は2022年1月27日、28日を予定しています。今回
は、オンライン・オフラインの併催を予定していますが、最終的な開催方式に
ついては、2021年10月上旬までにアナウンスする予定です。

参考文献 (日本語)
JPCERT/CC JSAC2022
Call for Presentation & Workshop
https://jsac.jpcert.or.jp/cfp.html

投稿時刻 09:50 セキュリティ | | コメント (0)

2021年6月 9日 (水)

■05/30(日)~06/05(土) のセキュリティ関連情報

目 次

【1】複数のMozilla製品に脆弱性
【2】複数のCisco製品に脆弱性
【3】複数のトレンドマイクロ株式会社製品の脆弱性に対するアップデート
【4】GitLabに複数の脆弱性
【5】バッファロー製ルータWSR-1166DHP3およびWSR-1166DHP4に複数の脆弱性
【6】スマートフォンアプリ「ATOM - スマートライフ」にサーバ証明書の検証不備の脆弱性
【7】スマートフォンアプリ「goo blog(gooブログ)」にアクセス制限不備の脆弱性
【8】Zettlrにクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】総務省が「テレワークセキュリティガイドライン(第5版)」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr212201.html
https://www.jpcert.or.jp/wr/2021/wr212201.xml
============================================================================


【1】複数のMozilla製品に脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox
https://us-cert.cisa.gov/ncas/current-activity/2021/06/02/mozilla-releases-security-updates-firefox

概要
複数のMozilla製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 89より前のバージョン
- Mozilla Firefox ESR 78.11より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 89
https://www.mozilla.org/en-US/security/advisories/mfsa2021-23/

Mozilla
Security Vulnerabilities fixed in Firefox ESR 78.11
https://www.mozilla.org/en-US/security/advisories/mfsa2021-24/

【2】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/06/02/cisco-releases-security-updates-multiple-products

CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/06/03/cisco-releases-security-updates-multiple-products

概要
複数のCisco製品には、脆弱性があります。結果として、第三者が、任意のコー
ドを実行したり、権限を昇格したりするなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ
情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【3】複数のトレンドマイクロ株式会社製品の脆弱性に対するアップデート

情報源
Japan Vulnerability Notes JVNVU#93332929
複数のトレンドマイクロ株式会社製品の脆弱性に対するアップデート (2021年5月)
https://jvn.jp/vu/JVNVU93332929/

概要
トレンドマイクロ株式会社から、複数の製品向けのアップデートが公開されま
した。

対象となる製品は、多岐にわたります。詳細はトレンドマイクロ株式会社が提
供するアドバイザリ情報を参照してください。

この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正済みの
バージョンに更新することで解決します。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ:Trend Micro Apex One、Apex One SaaS、ウイルスバスターコーポレートエディションで確認された複数の脆弱性について(2021年3月)
https://success.trendmicro.com/jp/solution/000285985

トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスター for Mac の脆弱性について(CVE-2021-28648)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10281

トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスター for Home Networkの脆弱性について(CVE-2021-31517, CVE-2021-31518)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10311

トレンドマイクロ株式会社
アラート/アドバイザリ:スマートホームスキャナー(Windows版)の脆弱性について (CVE-2021-28649, CVE-2021-31519)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10286

トレンドマイクロ株式会社
アラート/アドバイザリ:InterScan Web Securityシリーズにおける管理画面の複数の脆弱性について
https://success.trendmicro.com/jp/solution/000285581

【4】GitLabに複数の脆弱性

情報源
GitLab
GitLab Security Release: 13.12.2, 13.11.5, and 13.10.5
https://about.gitlab.com/releases/2021/06/01/security-release-gitlab-13-12-2-released/

概要
GitLabには、複数の脆弱性があります。結果として、第三者が認証情報を窃取
したり、サービス運用妨害(DoS)攻撃を行なったりするなどの可能性があり
ます。

対象となるバージョンは次のとおりです。

- GitLab Community EditionおよびEnterprise Edition 13.12.2より前の13.12系バージョン
- GitLab Community EditionおよびEnterprise Edition 13.11.5より前の13.11系バージョン
- GitLab Community EditionおよびEnterprise Edition 13.10.5より前の13.10系バージョン

なお、GitLabによると、上記に記載されていないバージョンも影響を受けると
のことです。

この問題は、該当する製品をGitLabが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、GitLabが提供する情報を参照してください。

【5】バッファロー製ルータWSR-1166DHP3およびWSR-1166DHP4に複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#92862829
バッファロー製ルータ WSR-1166DHP3 および WSR-1166DHP4 における複数の脆弱性
https://jvn.jp/vu/JVNVU92862829/

概要
株式会社バッファローが提供するWSR-1166DHP3およびWSR-1166DHP4には、複数
の脆弱性があります。結果として、隣接するネットワーク上の第三者が、機器
の設定情報を窃取したり、機器のroot権限で一部のOSコマンドを実行したりす
る可能性があります。

対象となるバージョンは次のとおりです。

- WSR-1166DHP3 ファームウェア Ver.1.16およびそれ以前
- WSR-1166DHP4 ファームウェア Ver.1.02およびそれ以前

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
株式会社バッファロー
WSR-1166DHP4/WSR-1166DHP3 における複数の脆弱性とその対策方法
https://www.buffalo.jp/news/detail/20210531-01.html

【6】スマートフォンアプリ「ATOM - スマートライフ」にサーバ証明書の検証不備の脆弱性

情報源
Japan Vulnerability Notes JVN#64064138
スマートフォンアプリ「ATOM - スマートライフ」におけるサーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN64064138/

概要
スマートフォンアプリ「ATOM - スマートライフ」には、サーバ証明書の検証
不備の脆弱性があります。結果として、第三者が中間者攻撃による暗号通信の
盗聴などを行う可能性があります。

対象となるバージョンは次のとおりです。

- Android アプリ「ATOM - スマートライフ」 1.8.1より前のバージョン
- iOS アプリ「ATOM - スマートライフ」 1.8.2より前のバージョン

この問題は、当該アプリを開発者が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
アトムテック株式会社
「ATOM - スマートライフ」アプリの不具合(脆弱性)について
https://www.atomtech.co.jp/news/news/2055/

【7】スマートフォンアプリ「goo blog(gooブログ)」にアクセス制限不備の脆弱性

情報源
Japan Vulnerability Notes JVN#91691168
スマートフォンアプリ「goo blog(gooブログ)」におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN91691168/

概要
スマートフォンアプリ「goo blog(gooブログ)」には、アクセス制限不備の
脆弱性があります。結果として、遠隔の第三者が当該製品のユーザーを任意の
ウェブサイトにアクセスさせる可能性があります。

対象となるバージョンは次のとおりです。

- Androidアプリ「goo blog(gooブログ)」 バージョン 1.2.25 およびそれ以前
- iOSアプリ「goo blog(gooブログ)」 バージョン 1.3.3 およびそれ以前

この問題は、当該アプリを開発者が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
エヌ・ティ・ティレゾナント株式会社
アプリ「goo blog」Android端末、iOS端末における不具合内容の詳細報告
https://blog.goo.ne.jp/staffblog/e/d84a6b220222462094728301782885db

【8】Zettlrにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#98239374
Zettlr におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN98239374/

概要
Zettlrには、クロスサイトスクリプティングの脆弱性があります。結果として、
不正なiframeを含むファイルやコード断片を当該製品に読み込ませた場合、製
品が動作するシステム上で任意のスクリプトが実行される可能性があります。

対象となるバージョンは次のとおりです。

- Zettlr 0.20.0から1.8.8まで

この問題は、Zettlrを開発者が提供する修正済みのバージョンに更新すること
で解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
Hendrik Erz
Zettlr: A Markdown editor for the 21st century
https://www.zettlr.com/


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○総務省が「テレワークセキュリティガイドライン(第5版)」を公開

総務省は、「テレワークセキュリティガイドライン(第5版)」を公開しまし
た。総務省は、企業等がテレワークを実施する際のセキュリティ上の不安を払
拭し、安心してテレワークを導入・活用するための指針として公開されたガイ
ドラインについて、テレワークを取り巻く環境やセキュリティ動向の変化に対
応するため全面的に改定を行ったとのことです。また、「中小企業等担当者向
けテレワークセキュリティの手引き(チェックリスト)」も合わせて改定されて
いますので、自組織のテレワーク環境のチェックにご活用ください。

参考文献 (日本語)
総務省
「テレワークセキュリティガイドライン(第5版)」(案)に対する意見募集の結果及び当該ガイドラインの公表
https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00111.html

投稿時刻 10:25 セキュリティ | | コメント (0)

2021年6月 2日 (水)

■05/23(日)~05/29(土) のセキュリティ関連情報

目 次

【1】VMware vCenter Serverに複数の脆弱性
【2】複数のApple製品に脆弱性
【3】Google Chromeに複数の脆弱性
【4】Drupalにクロスサイトスクリプティングの脆弱性
【5】ISC DHCPにバッファーオーバーフローの脆弱性
【6】Bluetoothコア仕様およびメッシュ仕様に複数の脆弱性
【7】Checkbox Surveyに安全でないデシリアライゼーションの脆弱性
【8】Zettlrにクロスサイトスクリプティングの脆弱性
【9】三菱電機製 MELSEC iQ-RシリーズのMELSOFT交信ポートにリソース枯渇の脆弱性
【今週のひとくちメモ】JNSAが「セキュリティ業務職種のキャリア展望について」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr212101.html
https://www.jpcert.or.jp/wr/2021/wr212101.xml
============================================================================


【1】VMware vCenter Serverに複数の脆弱性

情報源
CISA Current Activity
VMware Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/05/26/vmware-releases-security-updates

概要
VMware vCenter Serverには、複数の脆弱性があります。結果として、ポート
443に接続可能な第三者がvCenter Serverが稼働するシステム上で任意のコマ
ンドを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- vCenter Server 7.0系 7.0 U2bより前のバージョン
- vCenter Server 6.7系 6.7 U3nより前のバージョン
- vCenter Server 6.5系 6.5 U3pより前のバージョン
- Cloud Foundation (vCenter Server) 4系 4.2.1より前のバージョン
- Cloud Foundation (vCenter Server) 3系 3.10.2.1より前のバージョン

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、VMwareが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
VMware vCenter Serverの複数の脆弱性(CVE-2021-21985、CVE-2021-21986)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210025.html

関連文書 (英語)
VMware
VMSA-2021-0010
https://www.vmware.com/security/advisories/VMSA-2021-0010.html

【2】複数のApple製品に脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/05/25/apple-releases-security-updates

概要
複数のApple製品には、複数の脆弱性があります。結果として、遠隔の第三者
が任意のコマンドを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Safari 14.1.1より前のバージョン
- watchOS 7.5より前のバージョン
- tvOS 14.6より前のバージョン
- macOS Catalina(Security Update 2021-003 未適用)
- macOS Mojave(Security Update 2021-004 未適用)
- macOS Big Sur 11.4より前のバージョン
- iOS 14.6より前のバージョン
- iPadOS 14.6より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数のApple製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021052501.html

Apple
Safari 14.1.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212534

Apple
watchOS 7.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212533

Apple
tvOS 14.6 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212532

Apple
セキュリティアップデート 2021-003 Catalina のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212530

Apple
セキュリティアップデート 2021-004 Mojave のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212531

Apple
macOS Big Sur 11.4 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212529

Apple
iOS 14.6 および iPadOS 14.6 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212528

【3】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/05/26/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 91.0.4472.77より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/05/stable-channel-update-for-desktop_25.html

【4】Drupalにクロスサイトスクリプティングの脆弱性

情報源
CISA Current Activity
Drupal Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/05/27/drupal-releases-security-updates

概要
Drupalには、使用しているサードパーティライブラリに起因するクロスサイト
スクリプティングの脆弱性があります。結果として、ユーザーのブラウザー上
で任意のスクリプトが実行される可能性があります。

対象となるバージョンは次のとおりです。

- Drupal 9.1.9より前の9.1系バージョン
- Drupal 9.0.14より前の9.0系バージョン
- Drupal 8.9.16より前の8.9系バージョン

この問題は、該当する製品をDrupalが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Drupalが提供する情報を参照してください。

関連文書 (英語)
Drupal
Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2021-003
https://www.drupal.org/sa-core-2021-003

【5】ISC DHCPにバッファーオーバーフローの脆弱性

情報源
Japan Vulnerability Notes JVNVU#95111565
ISC DHCP におけるバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU95111565/

概要
ISC DHCPには、バッファーオーバーフローの脆弱性があります。結果として、第
三者が、当該システムをサービス運用妨害(DoS)状態にするなどの可能性が
あります。

対象となるバージョンは次のとおりです。

- ISC DHCP 4.1-ESV-R1から4.1-ESV-R16までのバージョン
- ISC DHCP 4.4.0から4.4.2までのバージョン

この問題は、開発者が提供する修正済みのバージョンに更新することで解決し
ます。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
Internet Systems Consortium
CVE-2021-25217: A buffer overrun in lease file parsing code can be used to exploit a common vulnerability shared by dhcpd and dhclient
https://kb.isc.org/docs/cve-2021-25217

【6】Bluetoothコア仕様およびメッシュ仕様に複数の脆弱性

情報源
CERT/CC Vulnerability Note VU#799380
Devices supporting Bluetooth Core and Mesh Specifications are vulnerable to impersonation attacks and AuthValue disclosure
https://kb.cert.org/vuls/id/799380

概要
Bluetoothコア仕様およびメッシュ仕様には、複数の脆弱性があります。結果
として、Bluetoothの電波到達範囲にいる第三者が、端末と機器の意図しない
ペアリングをするなどの可能性があります。

対象となる製品は次のとおりです。

- BR/EDR Secure Simple Pairing(SSP)コア仕様2.1から5.2までに対応する機器
- BR/EDR Secure Connections(SC)コア仕様4.1から5.2までに対応する機器
- BLE Secure Connections(LESC)コア仕様4.2から5.2までに対応する機器
- BR/EDR Secure Simple Pairing(SSP)コア仕様 1.0Bから5.2までに対応する機器
- Bluetooth メッシュプロファイル仕様 1.0から1.0.1までに対応する機器

この問題は、各機器のベンダーから提供される最新のファームウェアへアップ
デートするなどの対応を実施してください。詳細は、ベンダーが提供する情報
を参照してください。


関連文書 (日本語)
Japan Vulnerability Notes JVNVU#99594334
Bluetooth コア仕様およびメッシュ仕様に複数の脆弱性
https://jvn.jp/vu/JVNVU99594334/

関連文書 (英語)
Bluetooth SIG
Bluetooth SIG Statement Regarding the ‘Authentication of the LE Legacy Pairing’ Vulnerability
https://www.bluetooth.com/learn-about-bluetooth/key-attributes/bluetooth-security/legacy-pairing/

【7】Checkbox Surveyに安全でないデシリアライゼーションの脆弱性

情報源
CERT/CC Vulnerability Note VU#706695
Checkbox Survey insecurely deserializes ASP.NET View State data
https://kb.cert.org/vuls/id/706695

概要
Checkbox Surveyには、安全でないデシリアライゼーションの脆弱性がありま
す。結果として、遠隔の第三者が細工したリクエストを送信し、サーバー上で
任意のコードを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Checkbox Survey 7.0より前のバージョン

この問題は、該当する製品をCheckboxが提供する修正済みのバージョンに更新
することで解決します。詳細は、Checkboxが提供する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#99816551
Checkbox Survey に安全でないデシリアライゼーションの脆弱性
https://jvn.jp/vu/JVNVU99816551/

【8】Zettlrにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#98239374
Zettlr におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN98239374/

概要
Zettlrには、クロスサイトスクリプティングの脆弱性があります。結果として
製品が動作するシステム上で任意のスクリプトが実行される可能性があります。

対象となるバージョンは次のとおりです。

- Zettlr 0.20.0から1.8.8までのバージョン

この問題は、開発者が提供する修正済みのバージョンに更新することで解決し
ます。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
Zettlr
Postmortem: Zettlr’s first Security Incident
https://www.zettlr.com/post/postmortem-zettlr-first-security-incident

【9】三菱電機製 MELSEC iQ-RシリーズのMELSOFT交信ポートにリソース枯渇の脆弱性

情報源
Japan Vulnerability Notes JVN#98060539
三菱電機製 MELSEC iQ-R シリーズの MELSOFT 交信ポートにおけるリソース枯渇の脆弱性
https://jvn.jp/vu/JVNVU98060539/

概要
三菱電機製MELSEC iQ-RシリーズCPUユニットのMELSOFT交信ポート(TCP/IP)
には、リソース枯渇の脆弱性があります。結果として、遠隔の第三者が当該機
器をサービス運用妨害 (DoS) 状態にする可能性があります。

対象となる製品およびバージョンは次のとおりです。

- R00/01/02CPU 全バージョン
- R04/08/16/32/120 (EN) CPU 全バージョン
- R08/16/32/120SFCPU 全バージョン
- R08/16/32/120PCPU 全バージョン
- R08/16/32/120PSFCPU 全バージョン

この問題は、三菱電機株式会社が提供するワークアラウンドを適用することで
影響が軽減します。詳細は、三菱電機株式会社が提供する情報を参照してくだ
さい。

関連文書 (日本語)
三菱電機株式会社
MELSOFT交信ポート(TCP/IP)におけるサービス拒否(DoS)の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-003.pdf


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JNSAが「セキュリティ業務職種のキャリア展望について」を公開

日本ネットワークセキュリティ協会 (JNSA) は、「セキュリティ業務職種のキ
ャリア展望について」を公開しました。本資料は、セキュリティ人材不足の解
消やセキュリティ人材の働き方の多様化に向けた「JTAG活動」の一環です。
本書は、JTAG財団が定めたプロファイルと「個人のキャリアの8割は、偶然の
出来事によって決定される」という計画的偶発性理論を用いて、特性の考察を
行い、さまざまなセキュリティ人材の長期的な指標やキャリアパスの検討時の
参考として活用することを目的としています。

参考文献 (日本語)
日本ネットワークセキュリティ協会 (JNSA)
セキュリティ業務職種のキャリア展望について
https://www.jnsa.org/isepa/images/outputs/JTAG-CD_20210520_rep.pdf

投稿時刻 09:44 セキュリティ | | コメント (0)

2021年6月 1日 (火)

メールの新規設定(手動設定) Outlook2019

Outlook 2019新バージョンの設定方法をご案内します。

両毛インターネットサービス登録書の当該項目を参照してください。

Outlook2019.pdfをダウンロード

投稿時刻 15:52 メール設定 | | コメント (0)