■10/10(日)~10/16(土) のセキュリティ関連情報
目 次
【1】複数のマイクロソフト製品に脆弱性
【2】Google Chromeに複数の脆弱性
【3】iOSおよびiPadOSにメモリ破損の脆弱性
【4】複数のアドビ製品に脆弱性
【5】複数のJuniper製品に脆弱性
【6】Apache Tomcatにサービス運用妨害(DoS)の脆弱性
【7】複数のIntel製品に脆弱性
【8】オムロン製CX-Supervisorに領域外のメモリ参照の脆弱性
【今週のひとくちメモ】内閣サイバーセキュリティセンター(NISC)がランサムウェア特設ページ「ストップ!ランサムウェア」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr214101.html
https://www.jpcert.or.jp/wr/2021/wr214101.xml
============================================================================
【1】複数のマイクロソフト製品に脆弱性
情報源
CISA Current Activity
Microsoft Releases October 2021 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/10/12/microsoft-releases-october-2021-security-updates
概要
複数のマイクロソフト製品には、複数の脆弱性があります。結果として、第三
者が任意のコードを実行するなどの可能性があります。
対象となる製品は、多岐に渡ります。詳細はマイクロソフト株式会社が提供す
るアドバイザリ情報を参照してください。
この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく
ださい。
関連文書 (日本語)
マイクロソフト株式会社
2021 年 10 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/releaseNote/2021-Oct
JPCERT/CC 注意喚起
2021年10月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2021/at210045.html
【2】Google Chromeに複数の脆弱性
情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/10/12/google-releases-security-updates-chrome
概要
Google Chromeには、複数の脆弱性があります。
対象となるバージョンは次のとおりです。
- Google Chrome 94.0.4606.81より前のバージョン
この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。
関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/10/stable-channel-update-for-desktop.html
【3】iOSおよびiPadOSにメモリ破損の脆弱性
情報源
CISA Current Activity
Apple Releases Security Update to Address CVE-2021-30883
https://us-cert.cisa.gov/ncas/current-activity/2021/10/12/apple-releases-security-update-address-cve-2021-30883
概要
iOSおよびiPadOSには、メモリ破損の脆弱性があります。結果として、第三者
が任意のコードを実行する可能性があります。
対象となるOSおよびバージョンは次のとおりです。
- iOS 15.0.2より前のバージョン
- iPadOS 15.0.2より前のバージョン
この問題は、該当するOSをAppleが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Appleが提供する情報を参照してください。
関連文書 (日本語)
Apple
iOS 15.0.2 および iPadOS 15.0.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212846
JPCERT/CC CyberNewsFlash
Apple製品のアップデートについて(2021年10月)
https://www.jpcert.or.jp/newsflash/2021101201.html
【4】複数のアドビ製品に脆弱性
情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/10/12/adobe-releases-security-updates-multiple-products
概要
複数のアドビ製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。
対象となる製品は次のとおりです。
- Adobe Campaign Standard
- Adobe Commerce
- Adobe ops-cli
- Adobe Acrobat Reader for Android
- Adobe Connect
- Adobe Acrobat
- Adobe Acrobat Reader
この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC 注意喚起
Adobe AcrobatおよびReaderの脆弱性(APSB21-104)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210044.html
JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021101501.html
アドビ
Adobe Campaign Standard に関するセキュリティアップデート公開 | APSB21-52
https://helpx.adobe.com/jp/security/products/campaign/apsb21-52.html
アドビ
Adobe Commerce に関するセキュリティアップデート公開 | APSB21-86
https://helpx.adobe.com/jp/security/products/magento/apsb21-86.html
アドビ
Adobe ops-cli で利用可能なセキュリティ更新プログラム | APSB21-88
https://helpx.adobe.com/jp/security/products/ops_cli/apsb21-88.html
アドビ
Adobe Acrobat Reader for Android で利用可能なセキュリティ更新プログラム | APSB21-89
https://helpx.adobe.com/jp/security/products/reader-mobile/apsb21-89.html
アドビ
Adobe Connect で利用可能なセキュリティ更新プログラム | APSB21-91
https://helpx.adobe.com/jp/security/products/connect/apsb21-91.html
アドビ
Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB21-104
https://helpx.adobe.com/jp/security/products/acrobat/apsb21-104.html
【5】複数のJuniper製品に脆弱性
情報源
CISA Current Activity
Juniper Networks Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/10/14/juniper-networks-releases-security-updates-multiple-products
概要
複数のJuniper製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。
対象となる製品は、多岐に渡ります。詳細はJuniperが提供するアドバイザリ
情報を参照してください。
この問題は、該当する製品をJuniperが提供する修正済みのバージョンに更新
することで解決します。詳細は、Juniperが提供する情報を参照してください。
関連文書 (英語)
Juniper Networks
Browse by Category: Security Advisories - Security Advisories
https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES
【6】Apache Tomcatにサービス運用妨害(DoS)の脆弱性
情報源
CISA Current Activity
Apache Releases Security Advisory for Tomcat
https://us-cert.cisa.gov/ncas/current-activity/2021/10/15/apache-releases-security-advisory-tomcat
Japan Vulnerability Notes JVNVU#92237586
Apache Tomcatにおけるサービス運用妨害(DoS)の脆弱性
https://jvn.jp/vu/JVNVU92237586/
概要
Apache Tomcatには、サービス運用妨害(DoS)の脆弱性があります。結果とし
て、遠隔の第三者がサービス運用妨害(DoS)攻撃を行う可能性があります。
対象となるバージョンは次のとおりです。
- Apache Tomcat 10.1.0-M1から10.1.0-M5まで
- Apache Tomcat 10.0.0-M10から10.0.11まで
- Apache Tomcat 9.0.40から9.0.53まで
- Apache Tomcat 8.5.60から8.5.71まで
この問題は、Apache TomcatをThe Apache Software Foundationが提供する修
正済みのバージョンに更新することで解決します。詳細は、
The Apache Software Foundationが提供する情報を参照してください。
関連文書 (英語)
The Apache Software Foundation
CVE-2021-42340 Denial of Service
https://lists.apache.org/thread.html/r83a35be60f06aca2065f188ee542b9099695d57ced2e70e0885f905c%40%3Cannounce.apache.org%3E
The Apache Software Foundation
Fixed in Apache Tomcat 10.1.0-M6
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.0-M6
The Apache Software Foundation
Fixed in Apache Tomcat 10.0.12
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.12
The Apache Software Foundation
Fixed in Apache Tomcat 9.0.54
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.54
The Apache Software Foundation
Fixed in Apache Tomcat 8.5.72
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.72
【7】複数のIntel製品に脆弱性
情報源
Japan Vulnerability Notes JVNVU#92532697
Intel製品に複数の脆弱性(2021年10月)
https://jvn.jp/vu/JVNVU92532697/
概要
複数のIntel製品には、脆弱性があります。結果として、第三者が権限を昇格
したり、情報を窃取したりする可能性があります。
対象となる製品は、多岐にわたります。詳細は、Intelが提供する情報を参照
してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Intel製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2021101301.html
関連文書 (英語)
Intel
Intel HAXM Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00544.html
Intel
Intel SGX SDK Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00548.html
【8】オムロン製CX-Supervisorに領域外のメモリ参照の脆弱性
情報源
Japan Vulnerability Notes JVNVU#90041391
オムロン製CX-Supervisorにおける領域外のメモリ参照の脆弱性
https://jvn.jp/vu/JVNVU90041391/
概要
オムロン株式会社が提供するCX-Supervisorには、領域外のメモリ参照の脆弱
性があります。結果として、当該製品の設定を変更可能なユーザーが、細工さ
れたSCSプロジェクトファイルを開くことで、情報漏えいが起きたり、任意の
コードを実行されたりする可能性があります。
対象となるバージョンは次のとおりです。
- CX-Supervisor v4.0.0.13、v4.0.0.16
開発者によると、本脆弱性を検証し再現することを確認したバージョンは上記
であるとのことです。また、CX-Supervisorは日本国外でのみ販売されている
製品であるとのことです。
この問題は、該当する製品をオムロン株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、オムロン株式会社が提供する情報を参
照してください。
関連文書 (英語)
オムロン株式会社
Release Notes For CX-Supervisor 4.1.1.2
https://www.myomron.com/index.php?action=kb&article=1692
――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――
○内閣サイバーセキュリティセンター(NISC)がランサムウェア特設ページ「ストップ!ランサムウェア」を公開
2021年10月13日、内閣サイバーセキュリティセンター(NISC)は、日本国内の
関係機関におけるランサムウェアに関する取り組みを紹介する特設ページ
「ストップ!ランサムウェア」を公開しました。ランサムウェアによるサイバー
攻撃は国内外のさまざまな組織で確認されており、注意が必要です。被害防止
の対策や緊急時の対応体制などをご検討いただく上での参考情報としてご活用
ください。
参考文献 (日本語)
内閣サイバーセキュリティセンター(NISC)
ランサムウェア特設ページ
https://security-portal.nisc.go.jp/stopransomware/
