■11/07(日)~11/13(土) のセキュリティ関連情報
【1】複数のマイクロソフト製品に脆弱性
【2】Palo Alto Networks PAN-OS GlobalProtectポータルおよびゲートウェイにメモリ破損の脆弱性
【3】VMware vCenter Serverに権限昇格の脆弱性
【4】EC-CUBE 2系に複数の脆弱性
【5】複数のアドビ製品に脆弱性
【6】複数のIntel製品に脆弱性
【7】Sambaに複数の脆弱性
【8】複数のCitrix製品に脆弱性
【9】複数のSAP製品に脆弱性
【10】ヤマハ製のルーターに複数の脆弱性
【11】WordPress 用プラグイン Booking Package - Appointment Booking Calendar System にクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】JNSAが「オンライン身元確認(eKYC)金融事例調査報告書」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr214501.html
https://www.jpcert.or.jp/wr/2021/wr214501.xml
============================================================================
【1】複数のマイクロソフト製品に脆弱性
情報源
CISA Current Activity
Microsoft Releases November 2021 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/11/09/microsoft-releases-november-2021-security-updates
概要
複数のマイクロソフト製品には、複数の脆弱性があります。結果として、第三
者が任意のコードを実行するなどの可能性があります。
対象となる製品は、多岐に渡ります。詳細はマイクロソフト株式会社が提供す
るアドバイザリ情報を参照してください。
この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく
ださい。
関連文書 (日本語)
マイクロソフト株式会社
2021 年 11 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/releaseNote/2021-Nov
JPCERT/CC 注意喚起
2021年11月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2021/at210048.html
【2】Palo Alto Networks PAN-OS GlobalProtectポータルおよびゲートウェイにメモリ破損の脆弱性
情報源
JPCERT/CC CyberNewsFlash
Palo Alto Networks PAN-OS GlobalProtectポータルおよびゲートウェイのメモリ破損の脆弱性(CVE-2021-3064)について
https://www.jpcert.or.jp/newsflash/2021111201.html
概要
Palo Alto NetworksのGlobalProtectポータルおよびゲートウェイにはメモリ
破損の脆弱性があります。結果として、遠隔の第三者が認証不要でroot権限で
任意のコードを実行する可能性があります。
対象となる製品およびバージョンは次のとおりです。
- PAN-OS 8.1.17より前の8.1系バージョン
この問題は、該当する製品をPalo Alto Networksが提供する修正済みのバージョン
に更新することで解決します。詳細は、Palo Alto Networksが提供する情報を参照
してください。
関連文書 (英語)
Palo Alto Networks
CVE-2021-3064 PAN-OS: Memory Corruption Vulnerability in GlobalProtect Portal and Gateway Interfaces
https://security.paloaltonetworks.com/CVE-2021-3064
【3】VMware vCenter Serverに権限昇格の脆弱性
情報源
CISA Current Activity
VMware Releases Security Advisory
https://us-cert.cisa.gov/ncas/current-activity/2021/11/11/vmware-releases-security-advisory
概要
VMware vCenter Serverには、権限昇格の脆弱性があります。結果として、隣
接するネットワークにいるadmin権限を持たないユーザーが権限を昇格する可
能性があります。
対象となるバージョンは次のとおりです。
- VMware vCenter Server 7.0 および 6.7
- VMware Cloud Foundation (vCenter Server) 4.x および 3.x
この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、VMwareが提供する情報を参照してください。
関連文書 (英語)
VMware
VMSA-2021-0025
https://www.vmware.com/security/advisories/VMSA-2021-0025.html
【4】EC-CUBE 2系に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#75444925
EC-CUBE 2系における複数の脆弱性
https://jvn.jp/jp/JVN75444925/
概要
EC-CUBE 2系には、複数の脆弱性があります。結果として、当該製品にログイ
ン可能なユーザーによって、本来操作権限のないシステム設定を変更されるな
どの可能性があります。
対象となるバージョンは次のとおりです。
- EC-CUBE 2.11.0 から 2.17.1 まで (EC-CUBE 2系)
この問題は、EC-CUBE 2系を株式会社イーシーキューブが提供するアップデー
トやパッチを適用することで解決します。詳細は、株式会社イーシーキューブ
が提供する情報を参照してください。
関連文書 (日本語)
株式会社イーシーキューブ
EC-CUBE 2系における複数の脆弱性 (JVN#75444925)
https://www.ec-cube.net/info/weakness/20211111/
【5】複数のアドビ製品に脆弱性
情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/11/09/adobe-releases-security-updates-multiple-products
概要
複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。
対象となる製品は次のとおりです。
- RoboHelp Server
- Adobe InCopy
- Adobe Creative Cloud Desktop Application
この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
http://fig0.jpcert.or.jp/newsflash/2021111001.html
アドビ
RoboHelp Server に関するセキュリティホットフィックス公開 | APSB21-87
https://helpx.adobe.com/jp/security/products/robohelp-server/apsb21-87.html
アドビ
Adobe InCopy に関するセキュリティアップデート公開 | APSB21-110
https://helpx.adobe.com/jp/security/products/incopy/apsb21-110.html
アドビ
Adobe Creative Cloud デスクトップアプリケーションに関するセキュリティアップデート公開 | APSB21-111
https://helpx.adobe.com/jp/security/products/creative-cloud/apsb21-111.html
【6】複数のIntel製品に脆弱性
情報源
Japan Vulnerability Notes JVNVU#91196719
Intel製品に複数の脆弱性(2021年11月)
https://jvn.jp/vu/JVNVU91196719/
概要
複数のIntel製品には、脆弱性があります。結果として、第三者が権限を昇格
したり、情報を窃取したりする可能性があります。
対象となる製品は、多岐にわたります。詳細は、Intelが提供する情報を参照
してください。
この問題は、該当する製品をIntelが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Intelが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Intel製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2021111002.html
関連文書 (英語)
Intel
Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html
【7】Sambaに複数の脆弱性
情報源
CISA Current Activity
Samba Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/11/09/samba-releases-security-updates
概要
Sambaには、複数の脆弱性があります。結果として、遠隔のユーザーが権限を
昇格するなどの可能性があります。
対象となるバージョンは次のとおりです。
- Samba 4.15.2より前のバージョン
- Samba 4.14.10より前のバージョン
- Samba 4.13.14より前のバージョン
この問題は、SambaをThe Samba Teamが提供する修正済みのバージョンに更新
することで解決します。詳細は、The Samba Teamが提供する情報を参照してく
ださい。
関連文書 (英語)
The Samba Team
SMB1 client connections can be downgraded to plaintext authentication
https://www.samba.org/samba/security/CVE-2016-2124.html
The Samba Team
A user in an AD Domain could become root on domain members
https://www.samba.org/samba/security/CVE-2020-25717.html
The Samba Team
Samba AD DC did not correctly sandbox Kerberos tickets issued by an RODC.
https://www.samba.org/samba/security/CVE-2020-25718.html
The Samba Team
Samba AD DC did not always rely on the SID and PAC in Kerberos tickets.
https://www.samba.org/samba/security/CVE-2020-25719.html
The Samba Team
Kerberos acceptors need easy access to stable AD identifiers (eg objectSid)
https://www.samba.org/samba/security/CVE-2020-25721.html
The Samba Team
Samba AD DC did not do suffienct access and conformance checking of data stored.
https://www.samba.org/samba/security/CVE-2020-25722.html
The Samba Team
Use after free in Samba AD DC RPC server
https://www.samba.org/samba/security/CVE-2021-3738.html
The Samba Team
Subsequent DCE/RPC fragment injection vulnerability
https://www.samba.org/samba/security/CVE-2021-23192.html
【8】複数のCitrix製品に脆弱性
情報源
CISA Current Activity
Citrix Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/11/09/citrix-releases-security-updates
概要
複数のCitrix製品には、脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害(DoS)攻撃を行うなどの可能性があります。
対象となる製品は、多岐にわたります。詳細はCitrixが提供する情報を参照
してください。
この問題は、該当する製品をCitrixが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Citrixが提供する情報を参照してください。
関連文書 (日本語)
Citrix
Citrix Application Delivery Controller, Citrix Gateway, and Citrix SD-WAN WANOP Edition appliance Security Update
https://support.citrix.com/article/CTX330728
【9】複数のSAP製品に脆弱性
情報源
CISA Current Activity
SAP Releases November 2021 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/11/09/sap-releases-november-2021-security-updates
概要
複数のSAP製品には、脆弱性があります。結果として、認証済みのユーザーが
権限を昇格するなどの可能性があります。
対象となる製品は、多岐にわたります。詳細はSAPが提供するアドバイザリ情
報を参照してください。
この問題は、該当する製品をSAPが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、SAPが提供する情報を参照してください。
関連文書 (英語)
SAP
SAP Security Patch Day - November 2021
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=589496864
【10】ヤマハ製のルーターに複数の脆弱性
情報源
Japan Vulnerability Notes JVNVU#91161784
ヤマハ製のルーターにおける複数の脆弱性
https://jvn.jp/vu/JVNVU91161784/
概要
ヤマハ株式会社が提供する複数のルーターには、複数の脆弱性が存在します。
結果として、当該製品のWeb GUIにログインした状態のユーザーの権限で意図
せず設定情報が変更されるなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- RTX830 Rev.15.02.17およびそれ以前
- NVR510 Rev.15.01.18およびそれ以前
- NVR700W Rev.15.00.19およびそれ以前
- RTX1210 Rev.14.01.38およびそれ以前
この問題は、該当する製品をヤマハ株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細はヤマハ株式会社が提供する情報を参照し
てください。
関連文書 (日本語)
ヤマハ株式会社
「ヤマハ製のルーターにおける複数の脆弱性」について
http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/JVNVU91161784.html
東日本電信電話株式会社
ヤマハルータをご利用のお客さまへ
https://business.ntt-east.co.jp/topics/2021/11_09.html
西日本電信電話株式会社
Biz Boxルータをご利用のお客さまへ
https://www.ntt-west.co.jp/smb/kiki_info/info/211109.html
【11】WordPress 用プラグイン Booking Package - Appointment Booking Calendar System にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#68066589
WordPress 用プラグイン Booking Package - Appointment Booking Calendar System におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN68066589/
概要
WordPress 用プラグイン Booking Package - Appointment Booking Calendar
Systemには、クロスサイトスクリプティングの脆弱性が存在します。結果とし
て、当該製品を使用しているサイトにアクセスしたユーザーのウェブブラウザ
ー上で、任意のスクリプトを実行される可能性があります。
対象となるバージョンは次のとおりです。
- Booking Package - Appointment Booking Calendar System 1.5.11 より前のバージョン
この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は開発者が提供する情報を参照してください。
関連文書 (日本語)
SaasProject
クロスサイトスクリプティングの脆弱性の対応
https://saasproject.net/ja/fixed/20211019.php
――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――
○JNSAが「オンライン身元確認(eKYC)金融事例調査報告書」を公開
2021年11月9日、日本ネットワークセキュリティ協会(JNSA)は「オンライン身
元確認(eKYC)金融事例調査報告書」を公開しました。
オンライン化の進展とともに、これまでは対面の確認が基本であった身元確認
(KYC:Know Your Customer)もオンラインで行う方法が模索されている中、
欧州委員会(European Commission)が公開した報告書や金融庁の犯罪収益移
転防止法(犯収法)に関しての調査結果から、身元確認の方法や身元確認で
利用するオンラインでの本人確認書類(身元を確認するための書類)等を比較
・考察した内容を金融事例調査報告書として公開しています。
参考文献 (日本語)
日本ネットワークセキュリティ協会 (JNSA)
オンライン身元確認(eKYC)金融事例調査報告書
https://www.jnsa.org/result/jt2a/2021/
コメント