■09/12(日)~09/18(土) のセキュリティ関連情報
目 次
【1】複数のマイクロソフト製品に脆弱性
【2】複数のアドビ製品に脆弱性
【3】複数のApple製品に脆弱性
【4】Google Chromeに複数の脆弱性
【5】複数のSAP製品に脆弱性
【6】Citrix ShareFile storage zones controllerにアクセス制限不備の脆弱性
【7】Drupalに複数の脆弱性
【8】Apache Tomcatにサービス運用妨害(DoS)の脆弱性
【9】EC-CUBE用プラグイン「一覧画面(受注管理)項目変更プラグイン」にクロスサイトスクリプティングの脆弱性
【10】EC-CUBE用プラグイン「注文ステータス一括変更プラグイン」にクロスサイトスクリプティングの脆弱性
【11】シャープNECディスプレイソリューションズ製パブリックディスプレイに複数の脆弱性
【今週のひとくちメモ】JNSAが「現代のサイバーセキュリティの法的課題についての国際的な研究」調査報告書を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr213701.html
https://www.jpcert.or.jp/wr/2021/wr213701.xml
============================================================================
【1】複数のマイクロソフト製品に脆弱性
情報源
CISA Current Activity
Microsoft Releases September 2021 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/09/14/microsoft-releases-september-2021-security-updates
CISA Current Activity
Microsoft Releases Security Update for Azure Linux Open Management Infrastructure
https://us-cert.cisa.gov/ncas/current-activity/2021/09/16/microsoft-releases-security-update-azure-linux-open-management
概要
複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。
対象となる製品は、多岐にわたります。詳細はマイクロソフトが提供するアド
バイザリ情報を参照してください。
この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフトが提供する情報を参照してください。
関連文書 (日本語)
マイクロソフト株式会社
2021 年 9 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2021-Sep
JPCERT/CC 注意喚起
2021年9月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2021/at210041.html
【2】複数のアドビ製品に脆弱性
情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/09/14/adobe-releases-security-updates-multiple-products
概要
複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。
対象となる製品は、多岐にわたります。詳細はアドビが提供するアドバイザリ
情報を参照してください。
この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC 注意喚起
Adobe AcrobatおよびReaderの脆弱性(APSB21-55)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210040.html
JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021091501.html
関連文書 (英語)
アドビ
Security update available for Adobe Acrobat and Reader | APSB21-55
https://helpx.adobe.com/security/products/acrobat/apsb21-55.html
アドビ
Security Updates Available for Adobe Premiere Pro | APSB21-67
https://helpx.adobe.com/security/products/premiere_pro/apsb21-67.html
アドビ
Security Update Available for Adobe InCopy | APSB21-71
https://helpx.adobe.com/security/products/incopy/apsb21-71.html
アドビ
Security Updates Available for Adobe SVG-Native-Viewer | APSB21-72
https://helpx.adobe.com/security/products/svg-native-viewer/apsb21-72.html
アドビ
Security Update Available for Adobe InDesign | APSB21-73
https://helpx.adobe.com/security/products/indesign/apsb21-73.html
アドビ
Security Updates Available for Adobe Framemaker | APSB21-74
https://helpx.adobe.com/security/products/framemaker/apsb21-74.html
アドビ
Security updates available for Adobe ColdFusion | APSB21-75
https://helpx.adobe.com/security/products/coldfusion/apsb21-75.html
アドビ
Security update available for Adobe Creative Cloud Desktop Application | APSB21-76
https://helpx.adobe.com/security/products/creative-cloud/apsb21-76.html
アドビ
Security updates available for Adobe Photoshop Elements | APSB21-77
https://helpx.adobe.com/security/products/photoshop_elements/apsb21-77.html
アドビ
Security updates available for Adobe Premiere Elements | APSB21-78
https://helpx.adobe.com/security/products/premiere_elements/apsb21-78.html
アドビ
Security Updates Available for Adobe Digital Editions | APSB21-80
https://helpx.adobe.com/security/products/Digital-Editions/apsb21-80.html
アドビ
Security Updates Available for Adobe Genuine Service | APSB21-81
https://helpx.adobe.com/security/products/integrity_service/apsb21-81.html
アドビ
Security updates available for Adobe Experience Manager | APSB21-82
https://helpx.adobe.com/security/products/experience-manager/apsb21-82.html
アドビ
Security updates available for Adobe Photoshop | APSB21-84
https://helpx.adobe.com/security/products/photoshop/apsb21-84.html
アドビ
Security Updates Available for Adobe XMP Toolkit SDK | APSB21-85
https://helpx.adobe.com/security/products/xmpcore/apsb21-85.html
【3】複数のApple製品に脆弱性
情報源
CISA Current Activity
Apple Releases Security Updates to Address CVE-2021-30858 and CVE-2021-30860
https://us-cert.cisa.gov/ncas/current-activity/2021/09/13/apple-releases-security-updates-address-cve-2021-30858-and-cve
概要
複数のApple製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行する可能性があります。
対象となる製品およびバージョンは次のとおりです。
- macOS Big Sur 11.6より前のバージョン
- macOS Catalina(セキュリティアップデート 2021-005未適用)
- watchOS 7.6.2より前のバージョン
- iOS 14.8より前のバージョン
- iPadOS 14.8より前のバージョン
- Safari 14.1.2より前のバージョン
- iTunes U 3.8.3より前のバージョン
この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Apple製品のアップデートについて(2021年9月)
https://www.jpcert.or.jp/newsflash/2021091401.html
Apple
macOS Big Sur 11.6 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212804
Apple
セキュリティアップデート 2021-005 Catalina のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212805
Apple
watchOS 7.6.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212806
Apple
iOS 14.8 および iPadOS 14.8 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212807
Apple
Safari 14.1.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212808
Apple
iTunes U 3.8.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212809
【4】Google Chromeに複数の脆弱性
情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/09/14/google-releases-security-updates-chrome
概要
Google Chromeには、複数の脆弱性があります。
対象となるバージョンは次のとおりです。
- Google Chrome 93.0.4577.82より前のバージョン
この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。
関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/09/stable-channel-update-for-desktop.html
【5】複数のSAP製品に脆弱性
情報源
CISA Current Activity
SAP Releases September 2021 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/09/14/sap-releases-september-2021-security-updates
概要
複数のSAP製品には、脆弱性があります。結果として、遠隔の第三者が、任意
のファイルをアップロードしたり、情報を窃取したりするなどの可能性があり
ます。
対象となる製品は、多岐にわたります。詳細はSAPが提供するアドバイザリ情
報を参照してください。
この問題は、該当する製品をSAPが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、SAPが提供する情報を参照してください。
関連文書 (英語)
SAP
SAP Security Patch Day - September 2021
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=585106405
【6】Citrix ShareFile storage zones controllerにアクセス制限不備の脆弱性
情報源
CISA Current Activity
Citrix Releases Security Update for ShareFile Storage Zones Controller
https://us-cert.cisa.gov/ncas/current-activity/2021/09/14/citrix-releases-security-update-sharefile-storage-zones-controller
概要
Citrix ShareFile storage zones controllerには、アクセス制限不備の脆弱
性があります。結果として、遠隔の第三者がstorage zones controllerを侵害
する可能性があります。
対象となるバージョンは次のとおりです。
- Citrix ShareFile storage zones controller 5.11.20より前のバージョン
この問題は、該当する製品をCitrixが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Citrixが提供する情報を参照してください。
関連文書 (英語)
Citrix
Citrix ShareFile Storage Zones Controller Security Update
https://support.citrix.com/article/CTX328123
【7】Drupalに複数の脆弱性
情報源
CISA Current Activity
Drupal Releases Multiple Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/09/16/drupal-releases-multiple-security-updates
概要
Drupalには、複数の脆弱性があります。結果として、ユーザーのブラウザー上
で任意のスクリプトが実行されるなどの可能性があります。
対象となるバージョンは次のとおりです。
- Drupal 9.2.6より前の9.2系のバージョン
- Drupal 9.1.13より前の9.1系のバージョン
- Drupal 8.9.19より前の8.9系のバージョン
なお、Drupal 8.9系より前の8系と9.1系より前の9系のバージョンは、サポー
トが終了しており、今回のセキュリティに関する情報は提供されていません。
この問題は、該当する製品をDrupalが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Drupalが提供する情報を参照してください。
関連文書 (英語)
Drupal
Drupal core - Moderately critical - Cross Site Request Forgery - SA-CORE-2021-006
https://www.drupal.org/sa-core-2021-006
Drupal
Drupal core - Moderately critical - Cross Site Request Forgery - SA-CORE-2021-007
https://www.drupal.org/sa-core-2021-007
Drupal
Drupal core - Moderately critical - Access bypass - SA-CORE-2021-008
https://www.drupal.org/sa-core-2021-008
Drupal
Drupal core - Moderately critical - Access bypass - SA-CORE-2021-009
https://www.drupal.org/sa-core-2021-009
Drupal
Drupal core - Moderately critical - Access Bypass - SA-CORE-2021-010
https://www.drupal.org/sa-core-2021-010
【8】Apache Tomcatにサービス運用妨害(DoS)の脆弱性
情報源
Japan Vulnerability Notes JVNVU#92089088
Apache Tomcatにおけるサービス運用妨害(DoS)の脆弱性
https://jvn.jp/vu/JVNVU92089088/
概要
Apache Tomcatには、脆弱性があります。結果として、遠隔の第三者がサービ
ス運用妨害(DoS)攻撃を行う可能性があります。
対象となるバージョンは次のとおりです。
- Apache Tomcat 10.0.0-M1から10.0.2までのバージョン
- Apache Tomcat 9.0.0-M1から9.0.43までのバージョン
- Apache Tomcat 8.5.0から8.5.63までのバージョン
この問題は、該当する製品をThe Apache Software Foundationが提供する修正
済みのバージョンに更新することで解決します。詳細は、The Apache Software
Foundationが提供する情報を参照してください。
関連文書 (英語)
The Apache Software Foundation
Fixed in Apache Tomcat 10.0.4
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.4
The Apache Software Foundation
Fixed in Apache Tomcat 9.0.44
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.44
The Apache Software Foundation
Fixed in Apache Tomcat 8.5.64
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.64
【9】EC-CUBE用プラグイン「一覧画面(受注管理)項目変更プラグイン」にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#46313661
EC-CUBE 用プラグイン「一覧画面(受注管理)項目変更プラグイン」におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN46313661/
概要
EC-CUBE用プラグイン「一覧画面(受注管理)項目変更プラグイン」には、クロ
スサイトスクリプティングの脆弱性があります。結果として、遠隔の第三者が、
当該製品の管理画面にアクセスしたユーザーのWebブラウザー上で、任意のス
クリプトを実行する可能性があります。
対象となるバージョンは次のとおりです。
- EC-CUBE 3.0用プラグイン「一覧画面(受注管理)項目変更プラグイン」Ver.1.1およびそれ以前のバージョン
この問題は、該当する製品を株式会社シロハチが提供する修正済みのバージョン
に更新することで解決します。詳細は、株式会社シロハチが提供する情報を参
照してください。
関連文書 (日本語)
株式会社シロハチ
一覧画面(受注管理)項目変更プラグイン
https://www.ec-cube.net/products/detail.php?product_id=1419
【10】EC-CUBE用プラグイン「注文ステータス一括変更プラグイン」にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#23406150
EC-CUBE 用プラグイン「注文ステータス一括変更プラグイン」におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN23406150/
概要
EC-CUBE用プラグイン「注文ステータス一括変更プラグイン」には、クロスサ
イトスクリプティングの脆弱性があります。結果として、遠隔の第三者が、EC
サイト管理者のWebブラウザー上で、任意のスクリプトを実行する可能性があ
ります。
対象となるバージョンは次のとおりです。
- EC-CUBE 3.0用プラグイン「注文ステータス一括変更プラグイン」すべてのバージョン
当該製品のサポートはすでに終了しています。当該製品の使用を停止してくだ
さい。
関連文書 (日本語)
株式会社アクティブフュージョンズ
【重要】EC-CUBE用プラグイン「注文ステータス一括変更プラグイン」の脆弱性について
https://www.activefusions.com/news/2021/20210915.html
【11】シャープNECディスプレイソリューションズ製パブリックディスプレイに複数の脆弱性
情報源
Japan Vulnerability Notes JVN#42866574
シャープNECディスプレイソリューションズ製パブリックディスプレイにおける複数の脆弱性
https://jvn.jp/jp/JVN42866574/
概要
シャープNECディスプレイソリューションズ製パブリックディスプレイには、
複数の脆弱性があります。結果として、遠隔の第三者が任意のコードを実行す
る可能性があります。
対象となる製品は、多岐にわたります。詳細はシャープNECディスプレイソリュー
ションズ株式会社が提供するアドバイザリ情報を参照してください。
この問題は、該当する製品のファームウェアをシャープNECディスプレイソリュー
ションズ株式会社が提供する修正済みのバージョンに更新することで解決しま
す。詳細は、シャープNECディスプレイソリューションズ株式会社が提供する
情報を参照してください。
関連文書 (日本語)
シャープNECディスプレイソリューションズ株式会社
パブリックディスプレイにおける複数の脆弱性
https://www.nec-display.com/jp/support/info/A5-1_vulnerability.html
コメント