« ■11/28(日)~12/04(土) のセキュリティ関連情報 | メイン | ■12/12(日)~12/18(土) のセキュリティ関連情報 »

2021年12月15日 (水)

■12/05(日)~12/11(土) のセキュリティ関連情報

目 次

【1】Apache Log4jに任意のコード実行の脆弱性
【2】ManageEngine Desktop CentralおよびManageEngine Desktop Central MSPに認証回避の脆弱性
【3】Google Chromeに複数の脆弱性
【4】複数のCisco製品にApache HTTP Serverと関連する脆弱性
【5】SonicWall SMA 100シリーズ製品に複数の脆弱性
【6】複数のMozilla製品に脆弱性
【7】トレンドマイクロ製ウイルスバスター クラウドに複数の脆弱性
【8】Djangoにアクセス制御回避の脆弱性
【今週のひとくちメモ】制御システムセキュリティカンファレンス 2022 参加登録開始のお知らせ

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr214901.html
https://www.jpcert.or.jp/wr/2021/wr214901.xml
============================================================================


【1】Apache Log4jに任意のコード実行の脆弱性

情報源
CISA Current Activity
Apache Releases Log4j Version 2.15.0 to Address Critical RCE Vulnerability Under Exploitation
https://www.cisa.gov/uscert/ncas/current-activity/2021/12/10/apache-releases-log4j-version-2150-address-critical-rce

概要
JavaベースのオープンソースのロギングライブラリのApache Log4jには、任意
のコード実行の脆弱性があります。結果として、遠隔の第三者が、Apache
Log4jが動作するサーバーにおいて、細工したデータを送信することで、任意
のコードを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Apache Log4j-core 2.15.0より前の2系のバージョン

なお、すでにEnd of Lifeを迎えているApache Log4j 1系のバージョンは、
Lookup機能が含まれておらず、JMS Appenderが有効でもクラス情報がデシリア
ライズされないため影響を受けないとの情報を確認しています。

この問題は、該当する製品をApache Software Foundationが提供する修正済み
のバージョンに更新することで解決します。詳細は、Apache Software
Foundationが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210050.html

Japan Vulnerability Notes JVNVU#96768815
Apache Log4jにおける任意のコードが実行可能な脆弱性
https://jvn.jp/vu/JVNVU96768815/

関連文書 (英語)
The Apache Software Foundation
Apache Log4j Security Vulnerabilities
https://logging.apache.org/log4j/2.x/security.html

【2】ManageEngine Desktop CentralおよびManageEngine Desktop Central MSPに認証回避の脆弱性

情報源
CISA Current Activity
Zoho Releases Security Advisory for ManageEngine Desktop Central and Desktop Central MSP
https://us-cert.cisa.gov/ncas/current-activity/2021/12/06/zoho-releases-security-advisory-manageengine-desktop-central-and

概要
Zohoが提供するManageEngine Desktop CentralおよびManageEngine Desktop
Central MSPには、認証回避の脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- ManageEngine Desktop Central ビルド番号10.1.2127.17およびそれ以前と、10.1.2128.0から10.1.2137.2までのバージョン
- ManageEngine Desktop Central MSP ビルド番号10.1.2127.17およびそれ以前と、10.1.2128.0から10.1.2137.2までのバージョン

この問題は、該当する製品をZohoが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Zohoが提供する情報を参照してください。

関連文書 (英語)
Zoho
CVE-2021-44515: Security Advisory
https://www.manageengine.com/products/desktop-central/cve-2021-44515-authentication-bypass-filter-configuration.html

【3】Google Chromeに複数の脆弱性

情報源
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/12/stable-channel-update-for-desktop.html

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 96.0.4664.93より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

【4】複数のCisco製品にApache HTTP Serverと関連する脆弱性

情報源
CISA Current Activity
Cisco Releases Security Advisory for Multiple Products Affected by Apache HTTP Server Vulnerabilities
https://www.cisa.gov/uscert/ncas/current-activity/2021/12/09/cisco-releases-security-advisory-multiple-products-affected-apache

概要
複数のCisco製品には、Apache HTTP Serverに関連する脆弱性があります。結
果として、遠隔の第三者がシステムを制御するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細や最新の情報については、Cisco
が提供するアドバイザリ情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Multiple Vulnerabilities in Apache HTTP Server Affecting Cisco Products: November 2021
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-httpd-2.4.49-VWL69sWQ

【5】SonicWall SMA 100シリーズ製品に複数の脆弱性

情報源
SonicWall
SonicWall Releases Security Advisory for SMA 100 Series Appliances
https://www.cisa.gov/uscert/ncas/current-activity/2021/12/08/sonicwall-releases-security-advisory-sma-100-series-appliances

概要
SonicWall SMA 100シリーズには、複数の脆弱性があります。結果として、遠
隔の第三者が任意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

製品
- SMA 100シリーズ(SMA 200, 210, 400, 410, 500v (ESX, Hyper-V, KVM, AWS, Azure)

バージョン
- 10.2.1.3-27svより前のバージョン
- 10.2.0.9-41svより前のバージョン

この問題は、該当する製品をSonicWallが提供する修正済みのバージョンに更
新することで解決します。詳細は、SonicWallが提供する情報を参照してくだ
さい。

なお、バージョン9系のファームウェアは2021年10月31日にEOLとなっており、
バージョン9系を使用している場合は、最新の10.2.xバージョンへのアップグ
レードが推奨されています。

関連文書 (英語)
SonicWall
SonicWall patches multiple SMA100 affected vulnerabilities
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0026

SonicWall
Product Security Notice: SMA 100 Series Vulnerability Patches (Q4 2021)
https://www.sonicwall.com/support/product-notification/product-security-notice-sma-100-series-vulnerability-patches-q4-2021/211201154715443/

【6】複数のMozilla製品に脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird
https://www.cisa.gov/uscert/ncas/current-activity/2021/12/08/mozilla-releases-security-updates-firefox-firefox-esr-and

概要
複数のMozilla製品には、脆弱性があります。結果として、第三者がなりすま
し攻撃をするなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 95より前のバージョン
- Mozilla Firefox ESR 91.4.0より前のバージョン
- Mozilla Thunderbird 91.4.0より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 95
https://www.mozilla.org/en-US/security/advisories/mfsa2021-52/

Mozilla
Security Vulnerabilities fixed in Firefox ESR 91.4.0
https://www.mozilla.org/en-US/security/advisories/mfsa2021-53/

Mozilla
Security Vulnerabilities fixed in Thunderbird 91.4.0
https://www.mozilla.org/en-US/security/advisories/mfsa2021-54/

【7】トレンドマイクロ製ウイルスバスター クラウドに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#98117192
トレンドマイクロ製ウイルスバスター クラウドにおける複数の脆弱性
https://jvn.jp/vu/JVNVU98117192/

概要
トレンドマイクロ株式会社が提供するウイルスバスター クラウドには、複数
の脆弱性があります。結果として、当該製品がインストールされたシステムに
ログイン可能なユーザーが、管理者権限を取得し、任意のコードを実行するな
どの可能性があります。

対象となるバージョンは次のとおりです。

- ウイルスバスター クラウド バージョン17.0

この問題は、当該製品をトレンドマイクロ株式会社が提供する最新版へアップ
デートしたうえで、最新のパターンファイルを適用することで解決します。詳
細は、トレンドマイクロ株式会社が提供する情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスター クラウドの脆弱性について(CVE-2021-32460)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10338

トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスター クラウド の脆弱性について(CVE-2021-43772)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10848

【8】Djangoにアクセス制御回避の脆弱性

情報源
Django Software Foundation
Django security releases issued: 3.2.10, 3.1.14, and 2.2.25
https://www.djangoproject.com/weblog/2021/dec/07/security-releases/

概要
Djangoには、アクセス制限回避の脆弱性があります。

対象となるバージョンは次のとおりです。

- Django main branch
- Django 4.0
- Django 3.2
- Django 3.1
- Django 2.2

この問題は、当該製品をDjango Software Foundationが提供する最新版へアッ
プデートすることで解決します。詳細は、Django Software Foundationが提供
する情報を参照してください。


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○制御システムセキュリティカンファレンス 2022 参加登録開始のお知らせ

2022年2月3日(木)、JPCERT/CCは、制御システムセキュリティカンファレン
ス 2022をオンラインで開催します。ユーザー企業によるICSセキュリティガイ
ドラインの自社内策定の取り組みや、ICSベンダー視点でのランサムウェア感
染被害に遭った際の迅速な復旧までの道筋や対策など、今回も幅広く講演タイ
トルをご用意いたしました。

参加をご希望の場合、申し込みフォームに必要事項をご記入いただき、受付窓
口までメールでお申し込みください。

参考文献 (日本語)
JPCERT/CC
制御システムセキュリティカンファレンス 2022
https://www.jpcert.or.jp/event/ics-conference2022.html

コメント

この記事へのコメントは終了しました。