ミニ・いんふぉめーしょん

目 次

【1】2021年10月Oracle Critical Patch Updateについて
【2】Movable TypeのXMLRPC APIにOSコマンドインジェクションの脆弱性
【3】Google Chromeに複数の脆弱性
【4】複数のCisco製品に脆弱性
【5】PHPに権限昇格の脆弱性
【6】VMware vRealize Operations Tenant Appに情報漏えいの脆弱性
【7】128 Technology Session Smart Routerに認証不備の脆弱性
【8】三菱電機製GENESIS64およびMC Works64に境界外書き込みの脆弱性
【今週のひとくちメモ】JPCERT/CCが「2021年7月から9月を振り返って」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr214201.html
https://www.jpcert.or.jp/wr/2021/wr214201.xml
============================================================================

【1】2021年10月Oracle Critical Patch Updateについて

情報源
CISA Current Activity
Oracle Releases October 2021 Critical Patch Update
https://us-cert.cisa.gov/ncas/current-activity/2021/10/19/oracle-releases-october-2021-critical-patch-update

概要
Oracleから複数の製品およびコンポーネントに含まれる脆弱性に対応したOracle
Critical Patch Update Advisoryが公開されました。

詳細は、Oracleが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
2021年10月Oracle製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2021/at210046.html

関連文書 (英語)
Oracle
Oracle Critical Patch Update Advisory - October 2021
https://www.oracle.com/security-alerts/cpuoct2021.html

【2】Movable TypeのXMLRPC APIにOSコマンドインジェクションの脆弱性

情報源
Japan Vulnerability Notes JVN#41119755
Movable Type の XMLRPC API における OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN41119755/

概要
Movable TypeのXMLRPC APIには、OSコマンドインジェクションの脆弱性があり
ます。結果として、遠隔の第三者が任意のOSコマンドを実行する可能性があり
ます。

対象となる製品およびバージョンは次のとおりです。

- Movable Type 7 r.5002およびそれ以前（Movable Type 7系）
- Movable Type 6.8.2およびそれ以前（Movable Type 6系）
- Movable Type Advanced 7 r.5002およびそれ以前（Movable Type Advanced 7系）
- Movable Type Advanced 6.8.2およびそれ以前（Movable Type Advanced 6系）
- Movable Type Premium 1.46およびそれ以前
- Movable Type Premium Advanced 1.46およびそれ以前

なお、シックス・アパート株式会社によると、すでにサポート終了をしたバー
ジョンを含む、Movable Type 4.0以降のすべてのバージョンが本脆弱性の影響
を受けるとのことです。

この問題は、該当する製品をシックス・アパート株式会社が提供する修正済み
のバージョンに更新することで解決します。アップデートを適用できない場合
は、回避策の適用をご検討ください。詳細は、シックス・アパート株式会社が
提供するアドバイザリ情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
Movable TypeのXMLRPC APIにおける脆弱性（CVE-2021-20837）に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210047.html

シックス・アパート株式会社
[重要] Movable Type 7 r.5003 / Movable Type 6.8.3 / Movable Type Premium 1.47 の提供を開始（セキュリティアップデート）
https://www.sixapart.jp/movabletype/news/2021/10/20-1100.html

【3】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/10/20/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 95.0.4638.54より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/10/stable-channel-update-for-desktop_19.html

【4】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for IOS XE SD-WAN Software
https://us-cert.cisa.gov/ncas/current-activity/2021/10/21/cisco-releases-security-updates-ios-xe-sd-wan-software

概要
複数のCisco製品には、脆弱性があります。結果として、第三者がroot権限で
任意のコマンドを実行するなどの可能性があります。

影響度Highの脆弱性情報に記載されている製品は次のとおりです。

- Cisco IOS XE SD-WAN Software
- 1000 Series Integrated Services Routers (ISRs)
- 4000 Series ISRs
- ASR 1000 Series Aggregation Services Routers
- Catalyst 8000 Series Edge Platforms
- Cloud Services Router (CSR) 1000V Series

上記製品以外にも、影響度Mediumの複数の脆弱性情報が公開されています。詳
細はCiscoが提供する情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供するアドバイザリ情報を参照して
ください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

Cisco
Cisco IOS XE SD-WAN Software Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sd-wan-rhpbE34A

【5】PHPに権限昇格の脆弱性

情報源
The PHP Group
PHP 8.0.12 Released!
https://www.php.net/archive/2021.php#2021-10-21-1

The PHP Group
PHP 7.4.25 Released!
https://www.php.net/archive/2021.php#2021-10-22-1

概要
PHPには、権限昇格の脆弱性があります。結果として、第三者がPHP-FPMのルー
トプロセスに読み取りや書き込みを強制し、www-dataからrootへ権限昇格を行
う可能性があります。

対象となるバージョンは次のとおりです。

- PHP 8.0.12より前のバージョン
- PHP 7.4.25より前のバージョン

この問題は、PHPを開発者や配布元が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ
さい。

関連文書 (英語)
The PHP Group
PHP 8 ChangeLog Version 8.0.12
https://www.php.net/ChangeLog-8.php#8.0.12

The PHP Group
PHP 7 ChangeLog Version 7.4.25
https://www.php.net/ChangeLog-7.php#7.4.25

The PHP Group
Sec Bug #81026 PHP-FPM oob R/W in root process leading to privilege escalation
https://bugs.php.net/bug.php?id=81026

【6】VMware vRealize Operations Tenant Appに情報漏えいの脆弱性

情報源
VMware
VMSA-2021-0024
https://www.vmware.com/security/advisories/VMSA-2021-0024.html

概要
VMware vRealize Operations Tenant Appには、情報漏えいの脆弱性がありま
す。結果として、特定のポートにアクセス可能な遠隔の第三者が、設定された
システム環境変数にアクセスし、情報を窃取する可能性があります。

対象となるバージョンは次のとおりです。

- VMware vRealize Operations Tenant App 8.6より前のバージョン

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、VMwareが提供する情報を参照してください。

【7】128 Technology Session Smart Routerに認証不備の脆弱性

情報源
Japan Vulnerability Notes JVN#85073657
128 Technology Session Smart Router における認証不備の脆弱性
https://jvn.jp/jp/JVN85073657/

概要
128 Technology Session Smart Router（128T SSR）には、認証不備の脆弱性
があります。結果として、遠隔の第三者が認証を回避し、root権限で任意のOS
コマンドを実行する可能性があります。

対象となるバージョンは次のとおりです。

- 128 Technology Session Smart Routerバージョン4.4から5.0.1まで

この問題は、該当する製品を128 Technologyが提供する修正済みのバージョン
に更新することで解決します。詳細は、128 Technologyが提供する情報を参照
してください。

関連文書 (英語)
128 Technology
Upgrading the 128T Networking Platform
https://docs.128technology.com/docs/intro_upgrading/

【8】三菱電機製GENESIS64およびMC Works64に境界外書き込みの脆弱性

情報源
Japan Vulnerability Notes JVNVU#94862669
三菱電機製GENESIS64およびMC Works64のAutoCAD(DWG)ファイルのインポート機能における境界外書き込みの脆弱性
https://jvn.jp/vu/JVNVU94862669/

概要
三菱電機株式会社が提供するGENESIS64およびMC Works64のAutoCAD（DWG）ファ
イルのインポート機能には、境界外書き込みの脆弱性があります。結果として、
第三者が細工したAutoCAD（DWG）ファイルを当該製品にインポートすることで、
任意のプログラムを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- GENESIS64 Version 10.97
- MC Works64 Version 4.04Eおよびそれ以前

この問題は、当該製品のソフトウェアを三菱電機株式会社が提供するセキュリ
ティパッチを使用して更新することで解決します。詳細は、三菱電機株式会社
が提供する情報を参照してください。

関連文書 (日本語)
三菱電機株式会社
GENESIS64 およびMC Works64 のAutoCAD(DWG)ファイルのインポート機能における悪意のあるプログラムが実行される脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-017.pdf

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CCが「2021年7月から9月を振り返って」を公開

2021年10月18日、JPCERT/CCは「2021年7月から9月を振り返って」を公開しま
した。2021年7月以降に確認された、影響範囲の広い脆弱性情報や脅威情報な
どをまとめています。JPCERT/CCでは、公表された脆弱性を探索する通信が観
測される、あるいは脆弱性の実証コードが公開されるなど、攻撃活動に繋がる
可能性が高まる状況を受けて随時注意喚起を更新しておりますので、適時ご確
認ください。

参考文献 (日本語)
JPCERT/CC CyberNewsFlash
2021年7月から9月を振り返って
https://www.jpcert.or.jp/newsflash/2021101801.html

目 次

【1】複数のマイクロソフト製品に脆弱性
【2】Google Chromeに複数の脆弱性
【3】iOSおよびiPadOSにメモリ破損の脆弱性
【4】複数のアドビ製品に脆弱性
【5】複数のJuniper製品に脆弱性
【6】Apache Tomcatにサービス運用妨害（DoS）の脆弱性
【7】複数のIntel製品に脆弱性
【8】オムロン製CX-Supervisorに領域外のメモリ参照の脆弱性
【今週のひとくちメモ】内閣サイバーセキュリティセンター（NISC）がランサムウェア特設ページ「ストップ！ランサムウェア」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr214101.html
https://www.jpcert.or.jp/wr/2021/wr214101.xml
============================================================================

【1】複数のマイクロソフト製品に脆弱性

情報源
CISA Current Activity
Microsoft Releases October 2021 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/10/12/microsoft-releases-october-2021-security-updates

概要
複数のマイクロソフト製品には、複数の脆弱性があります。結果として、第三
者が任意のコードを実行するなどの可能性があります。

対象となる製品は、多岐に渡ります。詳細はマイクロソフト株式会社が提供す
るアドバイザリ情報を参照してください。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく
ださい。

関連文書 (日本語)
マイクロソフト株式会社
2021 年 10 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/releaseNote/2021-Oct

JPCERT/CC 注意喚起
2021年10月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2021/at210045.html

【2】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/10/12/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 94.0.4606.81より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/10/stable-channel-update-for-desktop.html

【3】iOSおよびiPadOSにメモリ破損の脆弱性

情報源
CISA Current Activity
Apple Releases Security Update to Address CVE-2021-30883
https://us-cert.cisa.gov/ncas/current-activity/2021/10/12/apple-releases-security-update-address-cve-2021-30883

概要
iOSおよびiPadOSには、メモリ破損の脆弱性があります。結果として、第三者
が任意のコードを実行する可能性があります。

対象となるOSおよびバージョンは次のとおりです。

- iOS 15.0.2より前のバージョン
- iPadOS 15.0.2より前のバージョン

この問題は、該当するOSをAppleが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
Apple
iOS 15.0.2 および iPadOS 15.0.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212846

JPCERT/CC CyberNewsFlash
Apple製品のアップデートについて（2021年10月）
https://www.jpcert.or.jp/newsflash/2021101201.html

【4】複数のアドビ製品に脆弱性

情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/10/12/adobe-releases-security-updates-multiple-products

概要
複数のアドビ製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe Campaign Standard
- Adobe Commerce
- Adobe ops-cli
- Adobe Acrobat Reader for Android
- Adobe Connect
- Adobe Acrobat
- Adobe Acrobat Reader

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
Adobe AcrobatおよびReaderの脆弱性（APSB21-104）に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210044.html

JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021101501.html

アドビ
Adobe Campaign Standard に関するセキュリティアップデート公開 | APSB21-52
https://helpx.adobe.com/jp/security/products/campaign/apsb21-52.html

アドビ
Adobe Commerce に関するセキュリティアップデート公開 | APSB21-86
https://helpx.adobe.com/jp/security/products/magento/apsb21-86.html

アドビ
Adobe ops-cli で利用可能なセキュリティ更新プログラム | APSB21-88
https://helpx.adobe.com/jp/security/products/ops_cli/apsb21-88.html

アドビ
Adobe Acrobat Reader for Android で利用可能なセキュリティ更新プログラム | APSB21-89
https://helpx.adobe.com/jp/security/products/reader-mobile/apsb21-89.html

アドビ
Adobe Connect で利用可能なセキュリティ更新プログラム | APSB21-91
https://helpx.adobe.com/jp/security/products/connect/apsb21-91.html

アドビ
Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB21-104
https://helpx.adobe.com/jp/security/products/acrobat/apsb21-104.html

【5】複数のJuniper製品に脆弱性

情報源
CISA Current Activity
Juniper Networks Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/10/14/juniper-networks-releases-security-updates-multiple-products

概要
複数のJuniper製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は、多岐に渡ります。詳細はJuniperが提供するアドバイザリ
情報を参照してください。

この問題は、該当する製品をJuniperが提供する修正済みのバージョンに更新
することで解決します。詳細は、Juniperが提供する情報を参照してください。

関連文書 (英語)
Juniper Networks
Browse by Category: Security Advisories - Security Advisories
https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES

【6】Apache Tomcatにサービス運用妨害（DoS）の脆弱性

情報源
CISA Current Activity
Apache Releases Security Advisory for Tomcat
https://us-cert.cisa.gov/ncas/current-activity/2021/10/15/apache-releases-security-advisory-tomcat

Japan Vulnerability Notes JVNVU#92237586
Apache Tomcatにおけるサービス運用妨害（DoS）の脆弱性
https://jvn.jp/vu/JVNVU92237586/

概要
Apache Tomcatには、サービス運用妨害（DoS）の脆弱性があります。結果とし
て、遠隔の第三者がサービス運用妨害（DoS）攻撃を行う可能性があります。

対象となるバージョンは次のとおりです。

- Apache Tomcat 10.1.0-M1から10.1.0-M5まで
- Apache Tomcat 10.0.0-M10から10.0.11まで
- Apache Tomcat 9.0.40から9.0.53まで
- Apache Tomcat 8.5.60から8.5.71まで

この問題は、Apache TomcatをThe Apache Software Foundationが提供する修
正済みのバージョンに更新することで解決します。詳細は、
The Apache Software Foundationが提供する情報を参照してください。

関連文書 (英語)
The Apache Software Foundation
CVE-2021-42340 Denial of Service
https://lists.apache.org/thread.html/r83a35be60f06aca2065f188ee542b9099695d57ced2e70e0885f905c%40%3Cannounce.apache.org%3E

The Apache Software Foundation
Fixed in Apache Tomcat 10.1.0-M6
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.0-M6

The Apache Software Foundation
Fixed in Apache Tomcat 10.0.12
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.12

The Apache Software Foundation
Fixed in Apache Tomcat 9.0.54
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.54

The Apache Software Foundation
Fixed in Apache Tomcat 8.5.72
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.72

【7】複数のIntel製品に脆弱性

情報源
Japan Vulnerability Notes JVNVU#92532697
Intel製品に複数の脆弱性（2021年10月）
https://jvn.jp/vu/JVNVU92532697/

概要
複数のIntel製品には、脆弱性があります。結果として、第三者が権限を昇格
したり、情報を窃取したりする可能性があります。

対象となる製品は、多岐にわたります。詳細は、Intelが提供する情報を参照
してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Intel製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2021101301.html

関連文書 (英語)
Intel
Intel HAXM Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00544.html

Intel
Intel SGX SDK Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00548.html

【8】オムロン製CX-Supervisorに領域外のメモリ参照の脆弱性

情報源
Japan Vulnerability Notes JVNVU#90041391
オムロン製CX-Supervisorにおける領域外のメモリ参照の脆弱性
https://jvn.jp/vu/JVNVU90041391/

概要
オムロン株式会社が提供するCX-Supervisorには、領域外のメモリ参照の脆弱
性があります。結果として、当該製品の設定を変更可能なユーザーが、細工さ
れたSCSプロジェクトファイルを開くことで、情報漏えいが起きたり、任意の
コードを実行されたりする可能性があります。

対象となるバージョンは次のとおりです。

- CX-Supervisor v4.0.0.13、v4.0.0.16

開発者によると、本脆弱性を検証し再現することを確認したバージョンは上記
であるとのことです。また、CX-Supervisorは日本国外でのみ販売されている
製品であるとのことです。

この問題は、該当する製品をオムロン株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、オムロン株式会社が提供する情報を参
照してください。

関連文書 (英語)
オムロン株式会社
Release Notes For CX-Supervisor 4.1.1.2
https://www.myomron.com/index.php?action=kb&article=1692

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○内閣サイバーセキュリティセンター（NISC）がランサムウェア特設ページ「ストップ！ランサムウェア」を公開

2021年10月13日、内閣サイバーセキュリティセンター（NISC）は、日本国内の
関係機関におけるランサムウェアに関する取り組みを紹介する特設ページ
「ストップ！ランサムウェア」を公開しました。ランサムウェアによるサイバー
攻撃は国内外のさまざまな組織で確認されており、注意が必要です。被害防止
の対策や緊急時の対応体制などをご検討いただく上での参考情報としてご活用
ください。

参考文献 (日本語)
内閣サイバーセキュリティセンター（NISC）
ランサムウェア特設ページ
https://security-portal.nisc.go.jp/stopransomware/

目 次

【1】Apache HTTP Serverにディレクトリトラバーサルの脆弱性
【2】複数のCisco製品に脆弱性
【3】複数のMozilla製品に脆弱性
【4】スマートフォンアプリ「Nike」における Custom URL Scheme の処理にアクセス制限不備の脆弱性
【今週のひとくちメモ】NOTICEの取組改善に向けた調査協力のお願いについて

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr214001.html
https://www.jpcert.or.jp/wr/2021/wr214001.xml
============================================================================

【1】Apache HTTP Serverにディレクトリトラバーサルの脆弱性

情報源
Japan Vulnerability Notes JVN#51106450
Apache HTTP Server におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN51106450/

概要
Apache HTTP Serverには、ディレクトリトラバーサルの脆弱性があります。結
果として、遠隔の第三者が、ドキュメントルート外に置かれたアクセスを適切
に制限されていないファイルにアクセスするなどの可能性があります。

対象となるバージョンは次のとおりです。

バージョン
- Apache HTTP Server2.4.49および2.4.50

この問題は、該当する製品をThe Apache Software Foundationが提供する修正
済みのバージョンに更新することで解決します。詳細は、The Apache Software
Foundationが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC注意喚起
Apache HTTP Serverのパストラバーサルの脆弱性（CVE-2021-41773）に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210043.html

関連文書 (英語)
The Apache Software Foundation
Fixed in Apache HTTP Server 2.4.51
https://httpd.apache.org/security/vulnerabilities_24.html#2.4.51

CISA Current Activity
Apache Releases HTTP Server version 2.4.51 to Address Vulnerabilities Under Exploitation
https://us-cert.cisa.gov/ncas/current-activity/2021/10/07/apache-releases-http-server-version-2451-address-vulnerabilities

【2】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/10/07/cisco-releases-security-updates-multiple-products

概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が権限
を昇格するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ
情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【3】複数のMozilla製品に脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox and Firefox ESR
https://us-cert.cisa.gov/ncas/current-activity/2021/10/06/mozilla-releases-security-updates-firefox-and-firefox-esr

概要
複数のMozilla製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 93より前のバージョン
- Mozilla Firefox ESR 91.2より前のバージョン
- Mozilla Firefox ESR 78.15より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)
Mozilla
Mozilla Foundation Security Advisory 2021-43
https://www.mozilla.org/en-US/security/advisories/mfsa2021-43/

Mozilla
Mozilla Foundation Security Advisory 2021-44
https://www.mozilla.org/en-US/security/advisories/mfsa2021-44/

Mozilla
Mozilla Foundation Security Advisory 2021-45
https://www.mozilla.org/en-US/security/advisories/mfsa2021-45/

【4】スマートフォンアプリ「Nike」における Custom URL Scheme の処理にアクセス制限不備の脆弱性

情報源
Japan Vulnerability Notes JVN#89126639
スマートフォンアプリ「Nike」における Custom URL Scheme の処理にアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN89126639/

概要
Nike, Inc.が提供するスマートフォンアプリ「Nike」には、Custom URL Scheme
を利用した機能においてアクセス制限不備の脆弱性があります。結果として、
遠隔の第三者が、当該製品を経由し、任意のWebサイトにアクセスを誘導する
可能性があります。

対象となるバージョンは次のとおりです。

バージョン
- Androidアプリ「Nike」バージョン2.177より前のバージョン
- iOSアプリ「Nike」バージョン2.177.1より前のバージョン

この問題は、該当する製品をNike, Inc.が提供する修正済みのバージョンに更
新することで解決します。詳細はNike, Inc.が提供する情報を参照してくださ
い。

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○NOTICEの取組改善に向けた調査協力のお願いについて

総務省、国立研究開発法人情報通信研究機構（NICT）および一般社団法人ICT-ISAC
は、2021年10月4日に「サイバー攻撃に悪用される恐れのあるIoT機器の利用者
への注意喚起の取組改善に向けた調査への協力のお願い」を公開しました。

インターネットサービスプロバイダ(ISP)と連携し、サイバー攻撃に悪用される
恐れのあるIoT機器の調査および当該機器の利用者への注意喚起を行う取組
「NOTICE（National Operation Towards IoT Clean Environment）」の取組改
善の調査を実施します。2021年10月から12月にかけて、通知対象者に対して、
注意喚起の内容など効果的な注意の伝え方などを電話による調査をするとのこ
とです。

参考文献 (日本語)
一般社団法人ICT-ISAC
サイバー攻撃に悪用されるおそれのあるIoT機器の利用者への注意喚起の取組改善に向けた調査への協力のお願い
https://www.ict-isac.jp/news/news20211004.html

目 次

【1】SonicWall SMA 100シリーズ製品にアクセス制限不備の脆弱性
【2】Hikvision製ネットワークカメラ製品にコマンドインジェクションの脆弱性
【3】Google Chromeに複数の脆弱性
【4】複数のトレンドマイクロ製品に脆弱性
【5】サイボウズ リモートサービスに複数の脆弱性
【6】WordPress用プラグインOG Tagsにクロスサイトリクエストフォージェリの脆弱性
【7】スマートフォンアプリ「InBody」に情報漏えいの脆弱性
【8】iOSアプリ「スニーカーダンク スニーカーフリマアプリ」にサーバー証明書の検証不備の脆弱性
【今週のひとくちメモ】総務省が「クラウドサービス提供における情報セキュリティ対策ガイ
ドライン（第3版）」（案）に対する意見募集の結果および「クラウドサービ
ス提供における情報セキュリティ対策ガイドライン（第3版）」の公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr213901.html
https://www.jpcert.or.jp/wr/2021/wr213901.xml
============================================================================

【1】SonicWall SMA 100シリーズ製品にアクセス制限不備の脆弱性

情報源
SonicWall
Unauthenticated SMA100 arbitrary file delete vulnerability
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0021

概要
SonicWall SMA 100シリーズには、アクセス制限不備の脆弱性があります。結
果として、遠隔の第三者が任意のファイルを削除するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

製品
- SMA 200
- SMA 210
- SMA 400
- SMA 410
- SMA 500v（ESX, KVM, AWS, Azure）

バージョン
- 10.2.1.0-17svおよびそれ以前
- 10.2.0.7-34svおよびそれ以前
- 9.0.0.10-28svおよびそれ以前

この問題は、該当する製品をSonicWallが提供する修正済みのバージョンに更
新することで解決します。詳細は、SonicWallが提供する情報を参照してくだ
さい。

関連文書 (日本語)
JPCERT/CC注意喚起
SonicWall製のSMA100シリーズの脆弱性（CVE-2021-20034）に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210042.html

関連文書 (英語)
SonicWall
Security Notice: Critical Arbitrary File Delete Vulnerability in SonicWall SMA 100 Series Appliances
https://www.sonicwall.com/support/product-notification/security-notice-critical-arbitrary-file-delete-vulnerability-in-sonicwall-sma-100-series-appliances/210913034617403/

【2】Hikvision製ネットワークカメラ製品にコマンドインジェクションの脆弱性

情報源
CISA Current Activity
RCE Vulnerability in Hikvision Cameras (CVE-2021-36260)
https://us-cert.cisa.gov/ncas/current-activity/2021/09/28/rce-vulnerability-hikvision-cameras-cve-2021-36260

JPCERT/CC CyberNewsFlash
Hikvision製ネットワークカメラの脆弱性（CVE-2021-36260）について
https://www.jpcert.or.jp/newsflash/2021093001.html

概要
Hikvision製のネットワークカメラ製品には、コマンドインジェクションの脆
弱性があります。結果として、遠隔の第三者が、任意のコマンドを実行する可
能性があります。

対象となる製品は、多岐にわたります。詳細はHikvisionが提供するアドバイ
ザリ情報を参照してください。

この問題は、該当する製品をHikvisionが提供する修正済みのファームウェア
に更新することで解決します。詳細はHikvisionのアドバイザリの情報を参照
してください。

関連文書 (日本語)
Hikvision
重要な製品のファームウェア更新についてのお知らせ
https://www.hikvision.com/jp/support/cybersecurity/security-advisory/security-notification-command-injection-vulnerability-in-some-hikvision-products/important-product-firmware-update/

Hikvision
セキュリティ強化に関するお知らせ 一部のHikvision製品におけるコマンドインジェクションの脆弱性
https://www.hikvision.com/jp/support/cybersecurity/security-advisory/security-notification-command-injection-vulnerability-in-some-hikvision-products/security-notification-command-injection-vulnerability-in-some-hikvision-products/

【3】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/10/01/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 94.0.4606.71より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/09/stable-channel-update-for-desktop_30.html

【4】複数のトレンドマイクロ製品に脆弱性

情報源
Japan Vulnerability Notes JVNVU#99718667
トレンドマイクロ製スマートホームスキャナー (Windows版) における権限昇格の脆弱性
https://jvn.jp/vu/JVNVU99718667/

Japan Vulnerability Notes JVNVU#99520559
トレンドマイクロ製ServerProtectにおける認証回避の脆弱性
https://jvn.jp/vu/JVNVU99520559/

概要
複数のトレンドマイクロ製品には、脆弱性があります。結果として、遠隔の第
三者が認証を回避するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- スマートホームスキャナー（Windows版）バージョン番号 5.3.1225およびそれ以前
- ServerProtect for Windows 5.8（Build 1575）より前のバージョン
- ServerProtect for NetApp 5.8（Build 1299）より前のバージョン
- ServerProtect for EMC Celerra 5.8（Build 1577）より前のバージョン
- ServerProtect for Storage 6.0（Build 1284）より前のバージョン

この問題は、トレンドマイクロ株式会社が提供する修正済みのバージョンに更
新することで解決します。詳細は、トレンドマイクロ株式会社が提供する情報
を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ：スマートホームスキャナー(Windows版)の脆弱性について (CVE-2021-32466)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10621

トレンドマイクロ株式会社
アラート/アドバイザリ：ServerProtect における認証バイパスの脆弱性について
https://success.trendmicro.com/jp/solution/000289030

【5】サイボウズ リモートサービスに複数の脆弱性

情報源
Japan Vulnerability Notes JVN#52694228
サイボウズ リモートサービスにおける複数の脆弱性
https://jvn.jp/jp/JVN52694228/

概要
サイボウズ リモートサービスには、複数の脆弱性があります。結果として、
遠隔の第三者が情報を改ざんするなどの可能性があります。

対象となるバージョンは次のとおりです。

- サイボウズ リモートサービス 3.0.0から3.1.9まで

この問題は、サイボウズ株式会社が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、サイボウズ株式会社が提供する情報を参照してく
ださい。

関連文書 (日本語)
サイボウズ株式会社
サイボウズ リモートサービス 4 脆弱性に関するお知らせ
https://cs.cybozu.co.jp/2021/007503.html

【6】WordPress用プラグインOG Tagsにクロスサイトリクエストフォージェリの脆弱性

情報源
Japan Vulnerability Notes JVN#29428319
WordPress 用プラグイン OG Tags におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN29428319/

概要
WordPress用プラグインOG Tagsには、クロスサイトリクエストフォージェリの
脆弱性が存在します。結果として、当該製品に管理者権限でログインした状態
のユーザーが、細工されたページにアクセスした場合、意図しない操作をさせ
られる可能性があります。

対象となるバージョンは次のとおりです。

- OG Tags 2.0.2より前のバージョン

この問題は、該当する製品をMario Valneyが提供する修正済みのバージョンに
更新することで解決します。詳細は、Mario Valneyが提供する情報を参照して
ください。

関連文書 (日本語)
Mario Valney
OG Tags
https://ja.wordpress.org/plugins/og-tags/

【7】スマートフォンアプリ「InBody」に情報漏えいの脆弱性

情報源
Japan Vulnerability Notes JVN#63023305
スマートフォンアプリ「InBody」における情報漏えいの脆弱性
https://jvn.jp/jp/JVN63023305/

概要
スマートフォンアプリ「InBody」には、情報漏えいの脆弱性が存在します。こ
の問題は、当該アプリが体組成計InBody Dialと連動し、測定結果をアプリに
転送する際に、特定の条件下において情報漏えいが発生する可能性があります。

対象となるバージョンは次のとおりです。

- iOSアプリ「InBody」バージョン 2.3.30より前のバージョン
- Androidアプリ「InBody」バージョン 2.2.90(510)より前のバージョン

この問題は、該当する製品を株式会社インボディ・ジャパンが提供する修正済
みのバージョンに更新することで解決します。詳細は、株式会社インボディ・
ジャパンが提供する情報を参照してください。

関連文書 (日本語)
株式会社インボディ・ジャパン
InBody Dial セキュリティ強化のためのアプリアップデートのご案内
https://www.inbody.co.jp/inbody-news/?uid=55&mod=document&pageid=1

【8】iOSアプリ「スニーカーダンク スニーカーフリマアプリ」にサーバー証明書の検証不備の脆弱性

情報源
Japan Vulnerability Notes JVN#10168753
iOS アプリ「スニーカーダンク スニーカーフリマアプリ」におけるサーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN10168753/

概要
iOSアプリ「スニーカーダンク スニーカーフリマアプリ」には、サーバー証明
書の検証不備の脆弱性があります。結果として、遠隔の第三者によって、通信
内容の取得や改ざんなどが行われる可能性があります。

対象となるバージョンは次のとおりです。

- iOSアプリ「スニーカーダンク スニーカーフリマアプリ」バージョン2.2.0より前のバージョン

この問題は、株式会社SODAが提供する修正済みのバージョンに更新することで
解決します。詳細は、株式会社SODAが提供する情報を参照してください。

関連文書 (日本語)
株式会社SODA
iOS版におけるSSLサーバ証明書の検証不備の脆弱性 修正完了のお知らせ
https://snkrdunk.com/information/37/

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○総務省が「クラウドサービス提供における情報セキュリティ対策ガイ
ドライン（第3版）」（案）に対する意見募集の結果および「クラウドサービ
ス提供における情報セキュリティ対策ガイドライン（第3版）」の公開

総務省は、2021年7月より意見募集をしていた「クラウドサービス提供におけ
る情報セキュリティ対策ガイドライン（第3版）」（案）に関し、募集結果と
あわせ、当ガイドラインを公開しました。旧版から、クラウドサービスにおけ
る責任分界のあり方や国際規格等との整合性の観点から、さらなる内容の検討
を行い、反映させた内容として更新されています。

参考文献 (日本語)
総務省
「クラウドサービス提供における情報セキュリティ対策ガイドライン（第3版）」（案）に対する意見募集の結果及び「クラウドサービス提供における情報セキュリティ対策ガイドライン（第3版）」の公表
https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00121.html