ミニ・いんふぉめーしょん

目 次

【1】Drupalにクロスサイトスクリプティングの脆弱性
【2】Google Chromeに複数の脆弱性
【3】rwtxtにクロスサイトスクリプティングの脆弱性
【4】WordPress用プラグインPush Notifications for WordPress (Lite)にクロスサイトリクエストフォージェリの脆弱性
【5】Data Distribution Serviceの実装における複数の脆弱性
【今週のひとくちメモ】フィッシング対策協議会が「フィッシング対策セミナー2021 講演資料」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr214601.html
https://www.jpcert.or.jp/wr/2021/wr214601.xml
============================================================================

【1】Drupalにクロスサイトスクリプティングの脆弱性

情報源
CISA Current Activity
Drupal Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/11/18/drupal-releases-security-updates

概要
Drupalが使用するサードパーティライブラリCKEditorには、複数のクロスサイ
トスクリプティングの脆弱性があります。結果として、当該製品を使用してい
るサイトにアクセスしたユーザーのウェブブラウザー上で、任意のスクリプト
を実行される可能性があります。

対象となるバージョンは次のとおりです。

- Drupal 9.2.9より前の9.2系バージョン
- Drupal 9.1.14より前の9.1系バージョン
- Drupal 8.9.20より前の8.9系バージョン

この問題は、Drupalを開発者が提供する修正済みのバージョンに更新すること
で解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
Drupal
Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2021-011
https://www.drupal.org/sa-core-2021-011

【2】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/11/16/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 96.0.4664.45より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/11/stable-channel-update-for-desktop.html

【3】rwtxtにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#22515597
rwtxt におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN22515597/

概要
Zack Schollが提供するコンテンツ管理システムであるrwtxtには、クロスサイ
トスクリプティングの脆弱性があります。結果として、当該製品を使用してい
るサイトにアクセスしたユーザーのウェブブラウザー上で、任意のスクリプト
を実行される可能性があります。

対象となるバージョンは次のとおりです。

- rwtxt v1.8.6より前のバージョン

この問題は、開発者が提供するアップデートを適用することで解決します。詳
細は、開発者が提供する情報を参照してください。

関連文書 (英語)
Zack Scholl
rwtxt
https://github.com/schollz/rwtxt

【4】WordPress用プラグインPush Notifications for WordPress (Lite)にクロスサイトリクエストフォージェリの脆弱性

情報源
Japan Vulnerability Notes JVN#85492429
WordPress 用プラグイン Push Notifications for WordPress (Lite) におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN85492429/

概要
Delite Studioが提供するWordPress用プラグインPush Notifications for
WordPress (Lite)には、クロスサイトリクエストフォージェリの脆弱性があり
ます。結果として、当該製品にログインした状態の管理者権限を持つユーザー
が細工されたページにアクセスした場合、意図しない操作を行う可能性があり
ます。

対象となるバージョンは次のとおりです。

- Push Notifications for WordPress (Lite) 6.0.1より前のバージョン

この問題は、開発者が提供するアップデートを適用することで解決します。詳
細は、開発者が提供する情報を参照してください。

関連文書 (英語)
Delite Studio
Push Notifications for WordPress (Lite)
https://ja.wordpress.org/plugins/push-notifications-for-wp/

Delite Studio
We make software
https://delitestudio.com/en/

【5】Data Distribution Serviceの実装における複数の脆弱性

情報源
CISA Current Activity
CISA Releases Advisory on Vulnerabilities in Multiple Data Distribution Service Implementations
https://us-cert.cisa.gov/ncas/current-activity/2021/11/12/cisa-releases-advisory-vulnerabilities-multiple-data-distribution

概要
Object Management Groupが提供するData Distribution Service（DDS）を実
装しているソフトウェアには、複数の脆弱性があります。結果として、遠隔の
第三者が任意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Eclipse：CycloneDDS 0.8.0より前のバージョン
- eProsima：Fast DDS 2.4.0より前のバージョン
- GurumNetworks：GurumDDSすべてのバージョン
- Object Computing, Inc. (OCI)：OpenDDS 3.18.1より前のバージョン
- Real-Time Innovations (RTI)：Connext DDS Professional、Connext DDS Secure バージョン4.2系から6.1.0
- Real-Time Innovations (RTI)：Connext DDS Micro 3.0.0以降のバージョン
- TwinOaks：Computing CoreDX DDS 5.9.1より前のバージョン

この問題は、各開発者が提供するアップデートを適用することで解決します。
ただしGurumDDSは、2021年11月25日現在アップデートは提供されていません。
詳細は、各開発者が提供する情報を参照してください。

関連文書 (英語)
ICS Advisory (ICSA-21-315-02)
Multiple Data Distribution Service (DDS) Implementations
https://us-cert.cisa.gov/ics/advisories/icsa-21-315-02

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○フィッシング対策協議会が「フィッシング対策セミナー2021 講演資料」を公開

2021年11月19日、フィッシング対策協議会は、先日オンラインで実施された
フィッシング対策セミナー2021の講演資料を公開しました。
「暗号資産を狙うフィッシングの事例紹介と対策」や「フィッシング対策技術
とPKI」などの講演資料が公開されています。フィッシングの報告件数は、年
々増加傾向にあります。現状の把握や対策の実施にご参考ください。

参考文献 (日本語)
フィッシング対策協議会
フィッシング対策セミナー2021（オンライン）講演資料公開のお知らせ
https://www.antiphishing.jp/news/info/antiphishing_seminar2021.html

下記のようなメールが両毛インターネットを騙って、送られていることが判明いたしました。

メール自体は全くのニセモノです。リンク等はクリックしないでメールを削除して下さい。

両毛インターネット事務局

********************************************************************

以下、フェイクメール

---------------------------------------------------------------------------------------

お客様各位

平素は弊社mail.takauji.or.jpインターネットサービスをご利用いただきまして誠にありがとうございます。

2021年9月28日火曜日 20:00以降から、以下対象のサーバーをご利用中のお客様で断続的に障害が

■対象サーバー
Mail

■原因
ハードウェア障害

発生しておりましたが、修復作業は、2021年9月29日水曜日の午前8時頃に始まりました。

ウェブメールサービスを復元するには、次のURLを参照してください。

https://******.com/kijun/home/access/matsuken/service/?cw=******@mail.takauji.or.jp

今後もお客さまの期待と信頼にお応えするため、運営ならびにサービスの充実に
専心努力してまいりますので、何とぞご理解を賜りますようお願い申し上げます。

*********************************************************************

*********************************************************************

お客さま各位

[ログイン内容]
日付と時刻：November 22, 2021, 5:04:40 PM
IPアドレス：38.70.11.19
接続地域：国外

いつも(mail.takauji.or.jp) WEBメールをご利用いただきありがとうございます。

メールアドレスは 【 ********@mail.takauji.or.jp 】 で、削除のフラグが付けられています。

サーバーのメンテナンスを実施しています。

以下のリンクをたどって、サービスをアップグレードしてください.

https://******.com/.img/kijun/home/access/matsuken/service/?cw=*******@mail.takauji.or.jp

今後もよりよいサービスをお客様に提供できるよう専心努力してまいります。
引き続き変わらぬご愛顧を賜りますようお願い申し上げます

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

mail.takauji.or.jp

*********************************************************************

【1】複数のマイクロソフト製品に脆弱性
【2】Palo Alto Networks PAN-OS GlobalProtectポータルおよびゲートウェイにメモリ破損の脆弱性
【3】VMware vCenter Serverに権限昇格の脆弱性
【4】EC-CUBE 2系に複数の脆弱性
【5】複数のアドビ製品に脆弱性
【6】複数のIntel製品に脆弱性
【7】Sambaに複数の脆弱性
【8】複数のCitrix製品に脆弱性
【9】複数のSAP製品に脆弱性
【10】ヤマハ製のルーターに複数の脆弱性
【11】WordPress 用プラグイン Booking Package - Appointment Booking Calendar System にクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】JNSAが「オンライン身元確認(eKYC)金融事例調査報告書」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr214501.html
https://www.jpcert.or.jp/wr/2021/wr214501.xml
============================================================================

【1】複数のマイクロソフト製品に脆弱性

情報源
CISA Current Activity
Microsoft Releases November 2021 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/11/09/microsoft-releases-november-2021-security-updates

概要
複数のマイクロソフト製品には、複数の脆弱性があります。結果として、第三
者が任意のコードを実行するなどの可能性があります。

対象となる製品は、多岐に渡ります。詳細はマイクロソフト株式会社が提供す
るアドバイザリ情報を参照してください。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく
ださい。

関連文書 (日本語)
マイクロソフト株式会社
2021 年 11 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/releaseNote/2021-Nov

JPCERT/CC 注意喚起
2021年11月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2021/at210048.html

【2】Palo Alto Networks PAN-OS GlobalProtectポータルおよびゲートウェイにメモリ破損の脆弱性

情報源
JPCERT/CC CyberNewsFlash
Palo Alto Networks PAN-OS GlobalProtectポータルおよびゲートウェイのメモリ破損の脆弱性（CVE-2021-3064）について
https://www.jpcert.or.jp/newsflash/2021111201.html

概要
Palo Alto NetworksのGlobalProtectポータルおよびゲートウェイにはメモリ
破損の脆弱性があります。結果として、遠隔の第三者が認証不要でroot権限で
任意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- PAN-OS 8.1.17より前の8.1系バージョン

この問題は、該当する製品をPalo Alto Networksが提供する修正済みのバージョン
に更新することで解決します。詳細は、Palo Alto Networksが提供する情報を参照
してください。

関連文書 (英語)
Palo Alto Networks
CVE-2021-3064 PAN-OS: Memory Corruption Vulnerability in GlobalProtect Portal and Gateway Interfaces
https://security.paloaltonetworks.com/CVE-2021-3064

【3】VMware vCenter Serverに権限昇格の脆弱性

情報源
CISA Current Activity
VMware Releases Security Advisory
https://us-cert.cisa.gov/ncas/current-activity/2021/11/11/vmware-releases-security-advisory

概要
VMware vCenter Serverには、権限昇格の脆弱性があります。結果として、隣
接するネットワークにいるadmin権限を持たないユーザーが権限を昇格する可
能性があります。

対象となるバージョンは次のとおりです。

- VMware vCenter Server 7.0 および 6.7
- VMware Cloud Foundation (vCenter Server) 4.x および 3.x

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、VMwareが提供する情報を参照してください。

関連文書 (英語)
VMware
VMSA-2021-0025
https://www.vmware.com/security/advisories/VMSA-2021-0025.html

【4】EC-CUBE 2系に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#75444925
EC-CUBE 2系における複数の脆弱性
https://jvn.jp/jp/JVN75444925/

概要
EC-CUBE 2系には、複数の脆弱性があります。結果として、当該製品にログイ
ン可能なユーザーによって、本来操作権限のないシステム設定を変更されるな
どの可能性があります。

対象となるバージョンは次のとおりです。

- EC-CUBE 2.11.0 から 2.17.1 まで (EC-CUBE 2系)

この問題は、EC-CUBE 2系を株式会社イーシーキューブが提供するアップデー
トやパッチを適用することで解決します。詳細は、株式会社イーシーキューブ
が提供する情報を参照してください。

関連文書 (日本語)
株式会社イーシーキューブ
EC-CUBE 2系における複数の脆弱性 (JVN#75444925)
https://www.ec-cube.net/info/weakness/20211111/

【5】複数のアドビ製品に脆弱性

情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/11/09/adobe-releases-security-updates-multiple-products

概要
複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- RoboHelp Server
- Adobe InCopy
- Adobe Creative Cloud Desktop Application

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
http://fig0.jpcert.or.jp/newsflash/2021111001.html

アドビ
RoboHelp Server に関するセキュリティホットフィックス公開 | APSB21-87
https://helpx.adobe.com/jp/security/products/robohelp-server/apsb21-87.html

アドビ
Adobe InCopy に関するセキュリティアップデート公開 | APSB21-110
https://helpx.adobe.com/jp/security/products/incopy/apsb21-110.html

アドビ
Adobe Creative Cloud デスクトップアプリケーションに関するセキュリティアップデート公開 | APSB21-111
https://helpx.adobe.com/jp/security/products/creative-cloud/apsb21-111.html

【6】複数のIntel製品に脆弱性

情報源
Japan Vulnerability Notes JVNVU#91196719
Intel製品に複数の脆弱性（2021年11月）
https://jvn.jp/vu/JVNVU91196719/

概要
複数のIntel製品には、脆弱性があります。結果として、第三者が権限を昇格
したり、情報を窃取したりする可能性があります。

対象となる製品は、多岐にわたります。詳細は、Intelが提供する情報を参照
してください。

この問題は、該当する製品をIntelが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Intelが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Intel製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2021111002.html

関連文書 (英語)
Intel
Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html

【7】Sambaに複数の脆弱性

情報源
CISA Current Activity
Samba Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/11/09/samba-releases-security-updates

概要
Sambaには、複数の脆弱性があります。結果として、遠隔のユーザーが権限を
昇格するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Samba 4.15.2より前のバージョン
- Samba 4.14.10より前のバージョン
- Samba 4.13.14より前のバージョン

この問題は、SambaをThe Samba Teamが提供する修正済みのバージョンに更新
することで解決します。詳細は、The Samba Teamが提供する情報を参照してく
ださい。

関連文書 (英語)
The Samba Team
SMB1 client connections can be downgraded to plaintext authentication
https://www.samba.org/samba/security/CVE-2016-2124.html

The Samba Team
A user in an AD Domain could become root on domain members
https://www.samba.org/samba/security/CVE-2020-25717.html

The Samba Team
Samba AD DC did not correctly sandbox Kerberos tickets issued by an RODC.
https://www.samba.org/samba/security/CVE-2020-25718.html

The Samba Team
Samba AD DC did not always rely on the SID and PAC in Kerberos tickets.
https://www.samba.org/samba/security/CVE-2020-25719.html

The Samba Team
Kerberos acceptors need easy access to stable AD identifiers (eg objectSid)
https://www.samba.org/samba/security/CVE-2020-25721.html

The Samba Team
Samba AD DC did not do suffienct access and conformance checking of data stored.
https://www.samba.org/samba/security/CVE-2020-25722.html

The Samba Team
Use after free in Samba AD DC RPC server
https://www.samba.org/samba/security/CVE-2021-3738.html

The Samba Team
Subsequent DCE/RPC fragment injection vulnerability
https://www.samba.org/samba/security/CVE-2021-23192.html

【8】複数のCitrix製品に脆弱性

情報源
CISA Current Activity
Citrix Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/11/09/citrix-releases-security-updates

概要
複数のCitrix製品には、脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害（DoS）攻撃を行うなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はCitrixが提供する情報を参照
してください。

この問題は、該当する製品をCitrixが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Citrixが提供する情報を参照してください。

関連文書 (日本語)
Citrix
Citrix Application Delivery Controller, Citrix Gateway, and Citrix SD-WAN WANOP Edition appliance Security Update
https://support.citrix.com/article/CTX330728

【9】複数のSAP製品に脆弱性

情報源
CISA Current Activity
SAP Releases November 2021 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/11/09/sap-releases-november-2021-security-updates

概要
複数のSAP製品には、脆弱性があります。結果として、認証済みのユーザーが
権限を昇格するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はSAPが提供するアドバイザリ情
報を参照してください。

この問題は、該当する製品をSAPが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、SAPが提供する情報を参照してください。

関連文書 (英語)
SAP
SAP Security Patch Day - November 2021
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=589496864

【10】ヤマハ製のルーターに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#91161784
ヤマハ製のルーターにおける複数の脆弱性
https://jvn.jp/vu/JVNVU91161784/

概要
ヤマハ株式会社が提供する複数のルーターには、複数の脆弱性が存在します。
結果として、当該製品のWeb GUIにログインした状態のユーザーの権限で意図
せず設定情報が変更されるなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- RTX830 Rev.15.02.17およびそれ以前
- NVR510 Rev.15.01.18およびそれ以前
- NVR700W Rev.15.00.19およびそれ以前
- RTX1210 Rev.14.01.38およびそれ以前

この問題は、該当する製品をヤマハ株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細はヤマハ株式会社が提供する情報を参照し
てください。

関連文書 (日本語)
ヤマハ株式会社
「ヤマハ製のルーターにおける複数の脆弱性」について
http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/JVNVU91161784.html

東日本電信電話株式会社
ヤマハルータをご利用のお客さまへ
https://business.ntt-east.co.jp/topics/2021/11_09.html

西日本電信電話株式会社
Biz Boxルータをご利用のお客さまへ
https://www.ntt-west.co.jp/smb/kiki_info/info/211109.html

【11】WordPress 用プラグイン Booking Package - Appointment Booking Calendar System にクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#68066589
WordPress 用プラグイン Booking Package - Appointment Booking Calendar System におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN68066589/

概要
WordPress 用プラグイン Booking Package - Appointment Booking Calendar
Systemには、クロスサイトスクリプティングの脆弱性が存在します。結果とし
て、当該製品を使用しているサイトにアクセスしたユーザーのウェブブラウザ
ー上で、任意のスクリプトを実行される可能性があります。

対象となるバージョンは次のとおりです。

- Booking Package - Appointment Booking Calendar System 1.5.11 より前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は開発者が提供する情報を参照してください。

関連文書 (日本語)
SaasProject
クロスサイトスクリプティングの脆弱性の対応
https://saasproject.net/ja/fixed/20211019.php

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JNSAが「オンライン身元確認(eKYC)金融事例調査報告書」を公開

2021年11月9日、日本ネットワークセキュリティ協会(JNSA)は「オンライン身
元確認(eKYC)金融事例調査報告書」を公開しました。
オンライン化の進展とともに、これまでは対面の確認が基本であった身元確認
（KYC:Know Your Customer）もオンラインで行う方法が模索されている中、
欧州委員会（European Commission）が公開した報告書や金融庁の犯罪収益移
転防止法（犯収法）に関しての調査結果から、身元確認の方法や身元確認で
利用するオンラインでの本人確認書類（身元を確認するための書類）等を比較
・考察した内容を金融事例調査報告書として公開しています。

参考文献 (日本語)
日本ネットワークセキュリティ協会 (JNSA)
オンライン身元確認(eKYC)金融事例調査報告書
https://www.jnsa.org/result/jt2a/2021/

 目 次

【1】複数のCisco製品に脆弱性
【2】複数のMozilla製品に脆弱性
【今週のひとくちメモ】経済産業省およびICSCoEが「インド太平洋地域向け日米EU産業制御システムサイバーセキュリティウィーク」を実施

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr214401.html
https://www.jpcert.or.jp/wr/2021/wr214401.xml
============================================================================

【1】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/11/04/cisco-releases-security-updates-multiple-products

概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が脆弱
性を悪用して、システムを制御するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ
情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【2】複数のMozilla製品に脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird
https://us-cert.cisa.gov/ncas/current-activity/2021/11/03/mozilla-releases-security-updates-firefox-firefox-esr-and

概要
複数のMozilla製品には、脆弱性があります。結果として、第三者が制限を回
避してスクリプトを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 94より前のバージョン
- Mozilla Firefox ESR 91.3より前のバージョン
- Mozilla Thunderbird 91.3より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 94
https://www.mozilla.org/en-US/security/advisories/mfsa2021-48/

Mozilla
Security Vulnerabilities fixed in Firefox ESR 91.3
https://www.mozilla.org/en-US/security/advisories/mfsa2021-49/

Mozilla
Security Vulnerabilities fixed in Thunderbird 91.3
https://www.mozilla.org/en-US/security/advisories/mfsa2021-50/

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○経済産業省およびICSCoEが「インド太平洋地域向け日米EU産業制御システムサイバーセキュリティウィーク」を実施

経済産業省および情報処理推進機構（IPA）産業サイバーセキュリティセンター
（ICSCoE）は、米国政府およびEU政府と連携し、「インド太平洋地域向け日米
EU産業制御システムサイバーセキュリティウィーク」を2021年10月25日から29
日にかけて、オンラインで開催しました。
これは日米EUの専門家による制御システムのサイバーセキュリティ能力の向上
と各国との連携強化を目的に実施されています。本プログラムを通じたインド
太平洋地域と日米EUの関係強化は、増大するサイバー脅威への対処に向けたさ
らなる国際協力の基盤となることが期待されるとのことです。

参考文献 (日本語)
経済産業省
「インド太平洋地域向け日米EU産業制御システムサイバーセキュリティウィーク」を実施しました
https://www.meti.go.jp/press/2021/11/20211101001/20211101001.html

目 次

【1】ISC BIND 9にサービス運用妨害（DoS）の脆弱性
【2】複数のApple製品に脆弱性
【3】Google Chromeに複数の脆弱性
【4】複数のアドビ製品に脆弱性
【5】複数のCisco製品に脆弱性
【6】トレンドマイクロ製企業向けエンドポイントセキュリティ製品に権限昇格の脆弱性
【7】Office Server Document Converterに複数のXML外部実体参照（XXE）の脆弱性
【8】CLUSTERPRO XおよびEXPRESSCLUSTER Xに複数の脆弱性
【9】ESET Cyber SecurityおよびESET Endpointシリーズにサービス運用妨害（DoS）の脆弱性
【10】Androidアプリ「メルカリ(メルペイ)-フリマアプリ&スマホ決済」にIntentの取り扱い不備の脆弱性
【11】Discourseにリモートコード実行の脆弱性
【12】GoCDに認証不備の脆弱性
【13】JPCERT/CC Eyes「攻撃グループLuoYuが使用するマルウェアWinDealer」を公開
【今週のひとくちメモ】「TRANSITS Workshop Online 2022 Winter」開催のお知らせ

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr214301.html
https://www.jpcert.or.jp/wr/2021/wr214301.xml
============================================================================

【1】ISC BIND 9にサービス運用妨害（DoS）の脆弱性

情報源
CISA Current Activity
ISC Releases Security Advisory for BIND
https://us-cert.cisa.gov/ncas/current-activity/2021/10/28/isc-releases-security-advisory-bind

Japan Vulnerability Notes JVNVU#91101819
ISC BINDにサービス運用妨害（DoS）の脆弱性
https://jvn.jp/vu/JVNVU91101819/

概要
ISC BIND 9には、lame cacheの設計の問題による、サービス運用妨害（DoS）
の脆弱性があります。結果として、遠隔の第三者によって送信された細工され
たクエリを処理することで、クライアントでの処理が遅延し、タイムアウトが
発生する可能性があります。

対象となるバージョンは次のとおりです。

- BIND Supported Preview Edition 9.16.8-S1から9.16.21-S1までのバージョン
- BIND Supported Preview Edition 9.9.3-S1から9.11.35-S1までのバージョン
- BIND 9.12.0から9.16.21までのバージョン
- BIND 9.3.0から9.11.35までのバージョン
- BIND development branch 9.17.0から9.17.18までのバージョン

この問題は、ISC BIND 9をISCが提供している修正済みのバージョンに更新す
ることで解決します。詳細は、ISCが提供する情報を参照してください。

関連文書 (日本語)
株式会社日本レジストリサービス（JPRS）
BIND 9.xの脆弱性（パフォーマンスの低下）について（CVE-2021-25219） - バージョンアップを推奨 -
https://jprs.jp/tech/security/2021-10-28-bind9-vuln-lamecache.html

関連文書 (英語)
Internet Systems Consortium, Inc.（ISC）
CVE-2021-25219: Lame cache can be abused to severely degrade resolver performance
https://kb.isc.org/v1/docs/cve-2021-25219

【2】複数のApple製品に脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/10/27/apple-releases-security-updates-multiple-products

概要
複数のApple製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- iOS 15.1より前のバージョン
- iOS 14.8.1より前のバージョン
- iPadOS 15.1より前のバージョン
- iPadOS 14.8.1より前のバージョン
- watchOS 8.1より前のバージョン
- Safari 15.1より前のバージョン
- tvOS 15.1より前のバージョン
- macOS Monterey 12.0.1より前のバージョン
- macOS Catalina（セキュリティアップデート 2021-007未適用）
- macOS Big Sur 11.6.1より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Apple製品のアップデートについて（2021年10月）
https://www.jpcert.or.jp/newsflash/2021101201.html

Apple
iOS 15.1 および iPadOS 15.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212867

Apple
iOS 14.8.1 および iPadOS 14.8.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212868

Apple
watchOS 8.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212874

Apple
Safari 15.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212875

Apple
tvOS 15.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212876

Apple
macOS Monterey 12.0.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212869

Apple
セキュリティアップデート 2021-007 Catalina のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212871

Apple
macOS Big Sur 11.6.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212872

【3】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/10/29/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 95.0.4638.69より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/10/stable-channel-update-for-desktop_28.html

【4】複数のアドビ製品に脆弱性

情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/10/27/adobe-releases-security-updates-multiple-products

概要
複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe After Effects
- Adobe Audition
- Adobe Bridge
- Adobe Character Animator
- Adobe Prelude
- Adobe Lightroom Classic
- Adobe Illustrator
- Adobe Media Encoder
- Adobe Premiere Pro
- Adobe Animate
- Adobe Premiere Elements
- Adobe InDesign
- Adobe XMP Toolkit SDK
- Adobe Photoshop

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021102801.html

アドビ
Adobe After Effects に関するセキュリティアップデート公開 | APSB21-79
https://helpx.adobe.com/jp/security/products/after_effects/apsb21-79.html

アドビ
Adobe Audition に関するセキュリティアップデート公開 | APSB21-92
https://helpx.adobe.com/jp/security/products/audition/apsb21-92.html

アドビ
Adobe Bridge に関するセキュリティアップデート公開 | APSB21-94
https://helpx.adobe.com/jp/security/products/bridge/apsb21-94.html

アドビ
Adobe Character Animator に関するセキュリティアップデート公開 | APSB21-95
https://helpx.adobe.com/jp/security/products/character_animator/apsb21-95.html

アドビ
Adobe Prelude に関するセキュリティアップデート公開 | APSB21-96
https://helpx.adobe.com/jp/security/products/prelude/apsb21-96.html

アドビ
Adobe Lightroom Classic に関するセキュリティアップデート公開 | APSB21-97
https://helpx.adobe.com/jp/security/products/lightroom/apsb21-97.html

アドビ
Adobe Illustrator に関するセキュリティアップデート公開 | APSB21-98
https://helpx.adobe.com/jp/security/products/illustrator/apsb21-98.html

アドビ
Adobe Media Encoder に関するセキュリティアップデート公開 | APSB21-99
https://helpx.adobe.com/jp/security/products/media-encoder/apsb21-99.html

アドビ
Adobe Premiere Pro に関するセキュリティアップデート公開 | APSB21-100
https://helpx.adobe.com/jp/security/products/premiere_pro/apsb21-100.html

アドビ
Adobe Animate に関するセキュリティアップデート公開 | APSB21-105
https://helpx.adobe.com/jp/security/products/animate/apsb21-105.html

アドビ
Adobe Premiere Elements に関するセキュリティアップデート公開 | APSB21-106
https://helpx.adobe.com/jp/security/products/premiere_elements/apsb21-106.html

アドビ
Adobe InDesign に関するセキュリティアップデート公開 | APSB21-107
https://helpx.adobe.com/jp/security/products/indesign/apsb21-107.html

アドビ
Adobe XMP Toolkit SDK に関するセキュリティアップデート公開 | APSB21-108
https://helpx.adobe.com/jp/security/products/xmpcore/apsb21-108.html

アドビ
Adobe Photoshop に関するセキュリティアップデート公開 | APSB21-109
https://helpx.adobe.com/jp/security/products/photoshop/apsb21-109.html

【5】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/10/28/cisco-releases-security-updates-multiple-products

概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害（DoS）攻撃を行うなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ
情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【6】トレンドマイクロ製企業向けエンドポイントセキュリティ製品に権限昇格の脆弱性

情報源
Japan Vulnerability Notes JVNVU#92842857
トレンドマイクロ製企業向けエンドポイントセキュリティ製品における権限昇格の脆弱性
https://jvn.jp/vu/JVNVU92842857/

概要
トレンドマイクロ製企業向けエンドポイントセキュリティ製品には、権限昇格
による任意のファイル作成の脆弱性があります。結果として、第三者がサービ
ス運用妨害（DoS）攻撃を行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Apex One 2019
- Apex One SaaS
- ウイルスバスター Corp. XG SP1
- ウイルスバスタービジネスセキュリティ10 SP1
- ウイルスバスタービジネスセキュリティサービス

この問題は、該当する製品にトレンドマイクロ株式会社が提供する修正済みの
パッチを適用することで解決します。詳細はトレンドマイクロ株式会社が提供
する情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ：トレンドマイクロのエンドポイント向け製品の権限昇格による任意ファイル作成の脆弱性について
https://success.trendmicro.com/jp/solution/000289191

【7】Office Server Document Converterに複数のXML外部実体参照（XXE）の脆弱性

情報源
Japan Vulnerability Notes JVN#33453839
Office Server Document Converter における複数の XML 外部実体参照 (XXE) に関する脆弱性
https://jvn.jp/jp/JVN33453839/

概要
アンテナハウス株式会社が提供するOffice Server Document Converterには、
複数のXML外部実体参照（XXE）の脆弱性があります。結果として、遠隔の第三
者がサービス運用妨害（DoS）攻撃を行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

製品
- Office Server Document Converter（Server Based Converter）

バージョン
- V7.2MR4およびそれ以前
- V7.1MR7およびそれ以前
- V7.0MR6およびそれ以前
- V6.1MR8およびそれ以前
- V6.0MR11およびそれ以前
- V5.2MR13およびそれ以前

この問題は、該当する製品をアンテナハウス株式会社が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、アンテナハウス株式会社が提供
する情報を参照してください。

関連文書 (日本語)
アンテナハウス株式会社
Office Server Document Converter におけるサービス運用妨害 (DoS) の脆弱性
https://www.antenna.co.jp/news/2021/osdc72-20211027.html

【8】CLUSTERPRO XおよびEXPRESSCLUSTER Xに複数の脆弱性

情報源
Japan Vulnerability Notes JVN#69304877
CLUSTERPRO X および EXPRESSCLUSTER X における複数の脆弱性
https://jvn.jp/jp/JVN69304877/

概要
日本電気株式会社が提供するCLUSTERPRO XおよびEXPRESSCLUSTER Xには、複数
の脆弱性があります。結果として、遠隔の第三者が、任意のコードを実行する
などの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- CLUSTERPRO X 1.0 for Windowsおよびそれ以降
- EXPRESSCLUSTER X 1.0 for Windowsおよびそれ以降

2021年11月4日現在、本脆弱性への対策は提供されていません。脆弱性の悪用
による影響を回避するため、回避策が提示されています。詳細は、日本電気株
式会社が提供する情報を参照してください。

関連文書 (日本語)
日本電気株式会社
CLUSTERPRO X における複数の脆弱性
https://jpn.nec.com/security-info/secinfo/nv21-015.html

【9】ESET Cyber SecurityおよびESET Endpointシリーズにサービス運用妨害（DoS）の脆弱性

情報源
Japan Vulnerability Notes JVN#60553023
ESET Cyber Security および ESET Endpoint シリーズにおけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN60553023/

概要
ESETが提供するESET Cyber SecurityおよびESET Endpoint シリーズ（macOS版）
には、脆弱性があります。結果として、第三者がサービス運用妨害（DoS）攻
撃を行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

- ESET Cyber Security 6.10.700およびそれ以前
- ESET Cyber Security Pro 6.10.700およびそれ以前
- ESET Endpoint Antivirus for macOS 6.10.910.0およびそれ以前
- ESET Endpoint Security for macOS 6.10.910.0およびそれ以前

この問題は、該当する製品をESETが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、ESETが提供する情報を参照してください。

関連文書 (英語)
ESET
[CA8151] Denial of service vulnerability in ESET products for macOS fixed
https://support.eset.com/en/ca8151-denial-of-service-vulnerability-in-eset-products-for-macos-fixed

【10】Androidアプリ「メルカリ(メルペイ)-フリマアプリ&スマホ決済」にIntentの取り扱い不備の脆弱性

情報源
Japan Vulnerability Notes JVN#49465877
Android アプリ「メルカリ(メルペイ)-フリマアプリ&スマホ決済」における Intent の取り扱い不備に関する脆弱性
https://jvn.jp/jp/JVN49465877/

概要
株式会社メルカリが提供するAndroidアプリ「メルカリ(メルペイ)-フリマアプ
リ&スマホ決済」には、Intentの取り扱い不備の脆弱性があります。結果とし
て、メルカリアカウントのアクセストークンを窃取される可能性があります。

対象となるバージョンは次のとおりです。

- Androidアプリ「メルカリ(メルペイ)-フリマアプリ&スマホ決済」 バージョン4.49.1より前のバージョン

この問題は、該当する製品を株式会社メルカリが提供する修正済みのバージョ
ンに更新することで解決します。詳細は株式会社メルカリが提供する情報を参
照してください。

関連文書 (日本語)
株式会社メルカリ
株式会社メルカリからの情報
https://jvn.jp/jp/JVN49465877/995931/

【11】Discourseにリモートコード実行の脆弱性

情報源
CISA Current Activity
Critical RCE Vulnerability in Discourse
https://us-cert.cisa.gov/ncas/current-activity/2021/10/24/critical-rce-vulnerability-discourse

概要
Discourseには、脆弱性があります。結果として、遠隔の第三者が任意のコー
ドを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Discourse 2.7.9より前のバージョン

上記以外に、beta版、tests-passed版にも同様の脆弱性があります。この問題
は、該当する製品をDiscourseが提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、Discourseが提供する情報を参照してください。

関連文書 (英語)
discourse
RCE via malicious SNS subscription payload
https://github.com/discourse/discourse/security/advisories/GHSA-jcjx-pvpc-qgwq

【12】GoCDに認証不備の脆弱性

情報源
CISA Current Activity
GoCD Authentication Vulnerability
https://us-cert.cisa.gov/ncas/current-activity/2021/10/29/gocd-authentication-vulnerability

概要
GoCDには、認証不備の脆弱性があります。結果として、認証されていない遠隔
の第三者が、機微な情報を窃取するなどの可能性があります。

対象となるバージョンは次のとおりです。

- GoCD 20.6.0から21.2.0までのバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
GoCD
Release notes of GoCD
https://www.gocd.org/releases/#21-3-0

SonarSource
Agent 007: Pre-Auth Takeover of Build Pipelines in GoCD
https://blog.sonarsource.com/gocd-pre-auth-pipeline-takeover

【13】JPCERT/CC Eyes「攻撃グループLuoYuが使用するマルウェアWinDealer」を公開

情報源
JPCERT/CC Eyes
攻撃グループLuoYuが使用するマルウェアWinDealer
https://blogs.jpcert.or.jp/ja/2021/10/windealer.html

概要
2021年10月26日、JPCERT/CCは「攻撃グループLuoYuが使用するマルウェア
WinDealer」を公開しました。本記事では、韓国や日本の組織をターゲットに
した攻撃グループ「LuoYu」が使用するマルウェアWinDealerについて紹介して
います。

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○「TRANSITS Workshop Online 2022 Winter」開催のお知らせ

2022年2月3日（木）、2月4日（金）の2日間にわたり、「TRANSITS Workshop
Online 2022 Winter」がオンライン上で開催されます。日本シーサート協議会
が主催する本イベントは、CSIRTの設立の促進、既存のCSIRTの対応能力向上を
目的としたプロジェクト「TRANSITS」によるトレーニングを行い、CSIRT業務
に必要な知識を身につけることを目的としています。JPCERT/CCは本イベント
での講演、および運営に協力しています。

参加には事前申し込みが必要です。参加登録は先着順で、定員になり次第締め
切りとなります。詳細は、日本シーサート協議会の情報を参照してください。

参考文献 (日本語)
日本シーサート協議会
TRANSITS Workshop Online 2022 Winter開催
https://www.nca.gr.jp/2021/transits-winter/