ミニ・いんふぉめーしょん

目 次

【1】複数のApple製品に脆弱性
【2】Google Chromeに複数の脆弱性
【3】複数のCisco製品に脆弱性
【4】複数のVMware製品に脆弱性
【5】複数のNETGEAR製品に脆弱性
【今週のひとくちメモ】「フィッシング対策セミナー 2021（オンライン）」開催のお知らせ

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr213801.html
https://www.jpcert.or.jp/wr/2021/wr213801.xml
============================================================================

【1】複数のApple製品に脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/09/21/apple-releases-security-updates-multiple-products

CISA Current Activity
Apple Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/09/23/apple-releases-security-updates

概要
複数のApple製品には、脆弱性があります。結果として、第三者が、任意のコー
ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性
があります。

対象となる製品およびバージョンは次のとおりです。

- iOS 15より前のバージョン
- iOS 12.5.5より前のバージョン
- iPadOS 15より前のバージョン
- watchOS 8より前のバージョン
- tvOS 15より前のバージョン
- Xcode 13より前のバージョン
- Safari 15より前のバージョン
- iTunes for Windows 12.12より前のバージョン
- macOS Catalina（セキュリティアップデート 2021-006未適用）

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Apple製品のアップデートについて（2021年9月）
https://www.jpcert.or.jp/newsflash/2021091401.html

Apple
iOS 15 および iPadOS 15 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212814

Apple
iOS 12.5.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212824

Apple
watchOS 8 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212819

Apple
tvOS 15 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212815

Apple
Xcode 13 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212818

Apple
Safari 15 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212816

Apple
iTunes for Windows 12.12 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212817

Apple
セキュリティアップデート 2021-006 Catalina のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212825

【2】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/09/22/google-releases-security-updates-chrome

CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/09/24/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 94.0.4606.61より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/09/stable-channel-update-for-desktop_21.html

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/09/stable-channel-update-for-desktop_24.html

【3】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/09/23/cisco-releases-security-updates-multiple-products

概要
複数のCisco製品には、影響度CriticalおよびHighを含む複数の脆弱性があり
ます。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があ
ります。

対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ
情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供するアドバイザリ情報を参照して
ください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

Cisco Security Advisory
Cisco IOS XE SD-WAN Software Buffer Overflow Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxesdwan-rbuffover-vE2OB6tp

Cisco Security Advisory
Cisco IOS XE Software for Catalyst 9000 Family Wireless Controllers CAPWAP Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ewlc-capwap-rce-LYgj8Kf

Cisco Security Advisory
Cisco IOS XE Software NETCONF and RESTCONF Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-aaa-Yx47ZT8Q

【4】複数のVMware製品に脆弱性

情報源
CISA Current Activity
VMware Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/09/21/vmware-releases-security-updates

概要
複数のVMware製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- vCenter Server 7.0系 7.0 U2dより前のバージョン
- vCenter Server 6.7系 6.7 U3oより前のバージョン
- vCenter Server 6.5系 6.5 U3qより前のバージョン
- Cloud Foundation (vCenter Server) 4系 4.3.1より前のバージョン
- Cloud Foundation (vCenter Server) 3系 3.10.2.2より前のバージョン

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
るか、回避策を適用することで解決します。詳細は、VMwareが提供する情報を
参照してください。

関連文書 (英語)
VMware
VMSA-2021-0020.1
https://www.vmware.com/security/advisories/VMSA-2021-0020.html

CISA Current Activity
VMware vCenter Server Vulnerability CVE-2021-22005 Under Active Exploit
https://us-cert.cisa.gov/ncas/current-activity/2021/09/24/vmware-vcenter-server-vulnerability-cve-2021-22005-under-active

【5】複数のNETGEAR製品に脆弱性

情報源
CISA Current Activity
NETGEAR Releases Security Updates for RCE Vulnerability
https://us-cert.cisa.gov/ncas/current-activity/2021/09/21/netgear-releases-security-updates-rce-vulnerability

概要
複数のNETGEAR製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行する可能性があります。

対象となる製品は、多岐にわたります。詳細はNETGEARが提供するアドバイザ
リ情報を参照してください。

この問題は、該当する製品をNETGEARが提供する修正済みのバージョンに更新
することで解決します。詳細は、NETGEARが提供する情報を参照してください。

関連文書 (英語)
NETGEAR
Security Advisory for Remote Code Execution on Some Routers, PSV-2021-0204
https://kb.netgear.com/000064039/Security-Advisory-for-Remote-Code-Execution-on-Some-Routers-PSV-2021-0204

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○「フィッシング対策セミナー 2021（オンライン）」開催のお知らせ

フィッシング対策協議会は、増加が続くフィッシング詐欺の対策として、特に
事業者側の効果的な対策促進を目的とした「フィッシング対策セミナー 2021
（オンライン）」を開催します。本セミナーでは、フィッシング詐欺に関連す
る法執行機関、金融機関、学術機関、セキュリティ対策事業者から有識者を招
き、最新のフィッシング詐欺の傾向とその対応策などを紹介します。

開催日程：2021年11月5日（金）10:00 - 16:45（オンライン開始：9:45から）

参加費は無料ですが、事前に参加申し込みが必要となります。申し込みの締切
は2021年10月28日（木）17:00までです。詳細は、フィッシング対策協議会が
提供する情報を参照してください。

参考文献 (日本語)
フィッシング対策協議会
フィッシング対策セミナー 2021（オンライン）開催のご案内
https://www.antiphishing.jp/news/event/antiphishing_seminar2021.html

目 次

【1】複数のマイクロソフト製品に脆弱性
【2】複数のアドビ製品に脆弱性
【3】複数のApple製品に脆弱性
【4】Google Chromeに複数の脆弱性
【5】複数のSAP製品に脆弱性
【6】Citrix ShareFile storage zones controllerにアクセス制限不備の脆弱性
【7】Drupalに複数の脆弱性
【8】Apache Tomcatにサービス運用妨害（DoS）の脆弱性
【9】EC-CUBE用プラグイン「一覧画面(受注管理)項目変更プラグイン」にクロスサイトスクリプティングの脆弱性
【10】EC-CUBE用プラグイン「注文ステータス一括変更プラグイン」にクロスサイトスクリプティングの脆弱性
【11】シャープNECディスプレイソリューションズ製パブリックディスプレイに複数の脆弱性
【今週のひとくちメモ】JNSAが「現代のサイバーセキュリティの法的課題についての国際的な研究」調査報告書を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr213701.html
https://www.jpcert.or.jp/wr/2021/wr213701.xml
============================================================================

【1】複数のマイクロソフト製品に脆弱性

情報源
CISA Current Activity
Microsoft Releases September 2021 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/09/14/microsoft-releases-september-2021-security-updates

CISA Current Activity
Microsoft Releases Security Update for Azure Linux Open Management Infrastructure
https://us-cert.cisa.gov/ncas/current-activity/2021/09/16/microsoft-releases-security-update-azure-linux-open-management

概要
複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はマイクロソフトが提供するアド
バイザリ情報を参照してください。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフトが提供する情報を参照してください。

関連文書 (日本語)
マイクロソフト株式会社
2021 年 9 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2021-Sep

JPCERT/CC 注意喚起
2021年9月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2021/at210041.html

【2】複数のアドビ製品に脆弱性

情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/09/14/adobe-releases-security-updates-multiple-products

概要
複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はアドビが提供するアドバイザリ
情報を参照してください。

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
Adobe AcrobatおよびReaderの脆弱性（APSB21-55）に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210040.html

JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021091501.html

関連文書 (英語)
アドビ
Security update available for Adobe Acrobat and Reader | APSB21-55
https://helpx.adobe.com/security/products/acrobat/apsb21-55.html

アドビ
Security Updates Available for Adobe Premiere Pro | APSB21-67
https://helpx.adobe.com/security/products/premiere_pro/apsb21-67.html

アドビ
Security Update Available for Adobe InCopy | APSB21-71
https://helpx.adobe.com/security/products/incopy/apsb21-71.html

アドビ
Security Updates Available for Adobe SVG-Native-Viewer | APSB21-72
https://helpx.adobe.com/security/products/svg-native-viewer/apsb21-72.html

アドビ
Security Update Available for Adobe InDesign | APSB21-73
https://helpx.adobe.com/security/products/indesign/apsb21-73.html

アドビ
Security Updates Available for Adobe Framemaker | APSB21-74
https://helpx.adobe.com/security/products/framemaker/apsb21-74.html

アドビ
Security updates available for Adobe ColdFusion | APSB21-75
https://helpx.adobe.com/security/products/coldfusion/apsb21-75.html

アドビ
Security update available for Adobe Creative Cloud Desktop Application | APSB21-76
https://helpx.adobe.com/security/products/creative-cloud/apsb21-76.html

アドビ
Security updates available for Adobe Photoshop Elements | APSB21-77
https://helpx.adobe.com/security/products/photoshop_elements/apsb21-77.html

アドビ
Security updates available for Adobe Premiere Elements | APSB21-78
https://helpx.adobe.com/security/products/premiere_elements/apsb21-78.html

アドビ
Security Updates Available for Adobe Digital Editions | APSB21-80
https://helpx.adobe.com/security/products/Digital-Editions/apsb21-80.html

アドビ
Security Updates Available for Adobe Genuine Service | APSB21-81
https://helpx.adobe.com/security/products/integrity_service/apsb21-81.html

アドビ
Security updates available for Adobe Experience Manager | APSB21-82
https://helpx.adobe.com/security/products/experience-manager/apsb21-82.html

アドビ
Security updates available for Adobe Photoshop | APSB21-84
https://helpx.adobe.com/security/products/photoshop/apsb21-84.html

アドビ
Security Updates Available for Adobe XMP Toolkit SDK | APSB21-85
https://helpx.adobe.com/security/products/xmpcore/apsb21-85.html

【3】複数のApple製品に脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates to Address CVE-2021-30858 and CVE-2021-30860
https://us-cert.cisa.gov/ncas/current-activity/2021/09/13/apple-releases-security-updates-address-cve-2021-30858-and-cve

概要
複数のApple製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- macOS Big Sur 11.6より前のバージョン
- macOS Catalina（セキュリティアップデート 2021-005未適用）
- watchOS 7.6.2より前のバージョン
- iOS 14.8より前のバージョン
- iPadOS 14.8より前のバージョン
- Safari 14.1.2より前のバージョン
- iTunes U 3.8.3より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Apple製品のアップデートについて（2021年9月）
https://www.jpcert.or.jp/newsflash/2021091401.html

Apple
macOS Big Sur 11.6 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212804

Apple
セキュリティアップデート 2021-005 Catalina のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212805

Apple
watchOS 7.6.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212806

Apple
iOS 14.8 および iPadOS 14.8 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212807

Apple
Safari 14.1.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212808

Apple
iTunes U 3.8.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212809

【4】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/09/14/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 93.0.4577.82より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/09/stable-channel-update-for-desktop.html

【5】複数のSAP製品に脆弱性

情報源
CISA Current Activity
SAP Releases September 2021 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/09/14/sap-releases-september-2021-security-updates

概要
複数のSAP製品には、脆弱性があります。結果として、遠隔の第三者が、任意
のファイルをアップロードしたり、情報を窃取したりするなどの可能性があり
ます。

対象となる製品は、多岐にわたります。詳細はSAPが提供するアドバイザリ情
報を参照してください。

この問題は、該当する製品をSAPが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、SAPが提供する情報を参照してください。

関連文書 (英語)
SAP
SAP Security Patch Day - September 2021
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=585106405

【6】Citrix ShareFile storage zones controllerにアクセス制限不備の脆弱性

情報源
CISA Current Activity
Citrix Releases Security Update for ShareFile Storage Zones Controller
https://us-cert.cisa.gov/ncas/current-activity/2021/09/14/citrix-releases-security-update-sharefile-storage-zones-controller

概要
Citrix ShareFile storage zones controllerには、アクセス制限不備の脆弱
性があります。結果として、遠隔の第三者がstorage zones controllerを侵害
する可能性があります。

対象となるバージョンは次のとおりです。

- Citrix ShareFile storage zones controller 5.11.20より前のバージョン

この問題は、該当する製品をCitrixが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Citrixが提供する情報を参照してください。

関連文書 (英語)
Citrix
Citrix ShareFile Storage Zones Controller Security Update
https://support.citrix.com/article/CTX328123

【7】Drupalに複数の脆弱性

情報源
CISA Current Activity
Drupal Releases Multiple Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/09/16/drupal-releases-multiple-security-updates

概要
Drupalには、複数の脆弱性があります。結果として、ユーザーのブラウザー上
で任意のスクリプトが実行されるなどの可能性があります。

対象となるバージョンは次のとおりです。

- Drupal 9.2.6より前の9.2系のバージョン
- Drupal 9.1.13より前の9.1系のバージョン
- Drupal 8.9.19より前の8.9系のバージョン

なお、Drupal 8.9系より前の8系と9.1系より前の9系のバージョンは、サポー
トが終了しており、今回のセキュリティに関する情報は提供されていません。

この問題は、該当する製品をDrupalが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Drupalが提供する情報を参照してください。

関連文書 (英語)
Drupal
Drupal core - Moderately critical - Cross Site Request Forgery - SA-CORE-2021-006
https://www.drupal.org/sa-core-2021-006

Drupal
Drupal core - Moderately critical - Cross Site Request Forgery - SA-CORE-2021-007
https://www.drupal.org/sa-core-2021-007

Drupal
Drupal core - Moderately critical - Access bypass - SA-CORE-2021-008
https://www.drupal.org/sa-core-2021-008

Drupal
Drupal core - Moderately critical - Access bypass - SA-CORE-2021-009
https://www.drupal.org/sa-core-2021-009

Drupal
Drupal core - Moderately critical - Access Bypass - SA-CORE-2021-010
https://www.drupal.org/sa-core-2021-010

【8】Apache Tomcatにサービス運用妨害（DoS）の脆弱性

情報源
Japan Vulnerability Notes JVNVU#92089088
Apache Tomcatにおけるサービス運用妨害（DoS）の脆弱性
https://jvn.jp/vu/JVNVU92089088/

概要
Apache Tomcatには、脆弱性があります。結果として、遠隔の第三者がサービ
ス運用妨害（DoS）攻撃を行う可能性があります。

対象となるバージョンは次のとおりです。

- Apache Tomcat 10.0.0-M1から10.0.2までのバージョン
- Apache Tomcat 9.0.0-M1から9.0.43までのバージョン
- Apache Tomcat 8.5.0から8.5.63までのバージョン

この問題は、該当する製品をThe Apache Software Foundationが提供する修正
済みのバージョンに更新することで解決します。詳細は、The Apache Software
Foundationが提供する情報を参照してください。

関連文書 (英語)
The Apache Software Foundation
Fixed in Apache Tomcat 10.0.4
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.4

The Apache Software Foundation
Fixed in Apache Tomcat 9.0.44
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.44

The Apache Software Foundation
Fixed in Apache Tomcat 8.5.64
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.64

【9】EC-CUBE用プラグイン「一覧画面(受注管理)項目変更プラグイン」にクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#46313661
EC-CUBE 用プラグイン「一覧画面(受注管理)項目変更プラグイン」におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN46313661/

概要
EC-CUBE用プラグイン「一覧画面(受注管理)項目変更プラグイン」には、クロ
スサイトスクリプティングの脆弱性があります。結果として、遠隔の第三者が、
当該製品の管理画面にアクセスしたユーザーのWebブラウザー上で、任意のス
クリプトを実行する可能性があります。

対象となるバージョンは次のとおりです。

- EC-CUBE 3.0用プラグイン「一覧画面(受注管理)項目変更プラグイン」Ver.1.1およびそれ以前のバージョン

この問題は、該当する製品を株式会社シロハチが提供する修正済みのバージョン
に更新することで解決します。詳細は、株式会社シロハチが提供する情報を参
照してください。

関連文書 (日本語)
株式会社シロハチ
一覧画面(受注管理)項目変更プラグイン
https://www.ec-cube.net/products/detail.php?product_id=1419

【10】EC-CUBE用プラグイン「注文ステータス一括変更プラグイン」にクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#23406150
EC-CUBE 用プラグイン「注文ステータス一括変更プラグイン」におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN23406150/

概要
EC-CUBE用プラグイン「注文ステータス一括変更プラグイン」には、クロスサ
イトスクリプティングの脆弱性があります。結果として、遠隔の第三者が、EC
サイト管理者のWebブラウザー上で、任意のスクリプトを実行する可能性があ
ります。

対象となるバージョンは次のとおりです。

- EC-CUBE 3.0用プラグイン「注文ステータス一括変更プラグイン」すべてのバージョン

当該製品のサポートはすでに終了しています。当該製品の使用を停止してくだ
さい。

関連文書 (日本語)
株式会社アクティブフュージョンズ
【重要】EC-CUBE用プラグイン「注文ステータス一括変更プラグイン」の脆弱性について
https://www.activefusions.com/news/2021/20210915.html

【11】シャープNECディスプレイソリューションズ製パブリックディスプレイに複数の脆弱性

情報源
Japan Vulnerability Notes JVN#42866574
シャープNECディスプレイソリューションズ製パブリックディスプレイにおける複数の脆弱性
https://jvn.jp/jp/JVN42866574/

概要
シャープNECディスプレイソリューションズ製パブリックディスプレイには、
複数の脆弱性があります。結果として、遠隔の第三者が任意のコードを実行す
る可能性があります。

対象となる製品は、多岐にわたります。詳細はシャープNECディスプレイソリュー
ションズ株式会社が提供するアドバイザリ情報を参照してください。

この問題は、該当する製品のファームウェアをシャープNECディスプレイソリュー
ションズ株式会社が提供する修正済みのバージョンに更新することで解決しま
す。詳細は、シャープNECディスプレイソリューションズ株式会社が提供する
情報を参照してください。

関連文書 (日本語)
シャープNECディスプレイソリューションズ株式会社
パブリックディスプレイにおける複数の脆弱性
https://www.nec-display.com/jp/support/info/A5-1_vulnerability.html

目 次

【1】Microsoft MSHTMLに任意コード実行の脆弱性
【2】複数のCisco製品に脆弱性
【3】複数のMozilla製品に脆弱性
【4】WordPressに複数の脆弱性
【5】Citrix Hypervisorに複数の脆弱性
【6】ADSelfService Plusに認証回避の脆弱性
【7】RevoWorks Browserに複数の脆弱性
【今週のひとくちメモ】EthicsfIRST インシデント対応およびセキュリティチームのための倫理規範（日本語版）を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr213601.html
https://www.jpcert.or.jp/wr/2021/wr213601.xml
============================================================================

【1】Microsoft MSHTMLに任意コード実行の脆弱性

情報源
CISA Current Activity
Microsoft Releases Mitigations and Workarounds for CVE-2021-40444
https://us-cert.cisa.gov/ncas/current-activity/2021/09/07/microsoft-releases-mitigations-and-workarounds-cve-2021-40444

概要
複数のマイクロソフト製品には、Microsoft MSHTMLの脆弱性があります。結果
として、遠隔の第三者が、細工したMicrosoft Officeなどのファイルをユーザー
に開かせることで、任意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
- Windows Server 2008 R2
- Windows Server 2008
- Windows Server, version 20H2
- Windows Server, version 2004
- Windows 10
- Windows RT 8.1
- Windows 8.1
- Windows 7

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフトが提供する情報を参照してください。

関連文書 (日本語)
マイクロソフト株式会社
Microsoft MSHTML のリモートでコードが実行される脆弱性
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444

JPCERT/CC
Microsoft MSHTMLの脆弱性（CVE-2021-40444）に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210038.html

【2】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/09/09/cisco-releases-security-updates-multiple-products

概要
複数のCisco製品には、影響度Highを含む複数の脆弱性があります。結果とし
て、遠隔の第三者が任意のファイルを読み書きするなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ
情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供するアドバイザリ情報を参照して
ください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

Cisco Security Advisory
Cisco IOS XR Software for ASR 9000 Series Routers Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-npspin-QYpwdhFD

Cisco Security Advisory
Cisco IOS XR Software IP Service Level Agreements and Two-Way Active Measurement Protocol Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ipsla-ZA3SRrpP

Cisco Security Advisory
Cisco IOS XR Software Arbitrary File Read and Write Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-scp-inject-QwZOCv2

Cisco Security Advisory
Cisco IOS XR Software Authenticated User Privilege Escalation Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-privescal-dZYMrKf

【3】複数のMozilla製品に脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird
https://us-cert.cisa.gov/ncas/current-activity/2021/09/08/mozilla-releases-security-updates-firefox-firefox-esr-and

概要
複数のMozilla製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 92より前のバージョン
- Mozilla Firefox ESR 78.14より前のバージョン
- Mozilla Thunderbird 78.14より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 92
https://www.mozilla.org/en-US/security/advisories/mfsa2021-38/

Mozilla
Security Vulnerabilities fixed in Firefox ESR 78.14
https://www.mozilla.org/en-US/security/advisories/mfsa2021-39/

Mozilla
Security Vulnerabilities fixed in Thunderbird 78.14
https://www.mozilla.org/en-US/security/advisories/mfsa2021-42/

【4】WordPressに複数の脆弱性

情報源
CISA Current Activity
WordPress Releases Security Update
https://us-cert.cisa.gov/ncas/current-activity/2021/09/10/wordpress-releases-security-update

概要
WordPressには、複数の脆弱性があります。結果として、遠隔の第三者が情報
を窃取するなどの可能性があります。

対象となるバージョンは次のとおりです。

- WordPress 5.4から5.8までのすべてのバージョン

この問題は、WordPressをWordPressが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、WordPressが提供する情報を参照してください。

関連文書 (日本語)
WordPress
WordPress 5.8.1 セキュリティとメンテナンスのリリース
https://ja.wordpress.org/2021/09/09/wordpress-5-8-1-security-and-maintenance-release/

【5】Citrix Hypervisorに複数の脆弱性

情報源
CISA Current Activity
Citrix Releases Security Updates for Hypervisor
https://us-cert.cisa.gov/ncas/current-activity/2021/09/09/citrix-releases-security-updates-hypervisor

概要
Citrix Hypervisorには、複数の脆弱性があります。結果として、第三者がサー
ビス運用妨害（DoS）攻撃を行なったり、コード実行したりする可能性があり
ます。

対象となる製品およびバージョンは次のとおりです。

- Citrix Hypervisor 8.2 LTSR
- Citrix Hypervisor（XenServer） 7.1 LTSR CU2

なお、Citrixによると、Citrix Hypervisor 8.2 LTSRのみが影響を受ける
CVE-2021-28699を除き、全てのサポート対象のCitrix Hypervisorが影響を受
けるとのことです。脆弱性を修正するパッチは、上記のバージョン向けに公開
されています。

この問題は、該当する製品にCitrixが提供するパッチを適用することで解決し
ます。詳細は、Citrixが提供する情報を参照してください。

関連文書 (英語)
Citrix
Citrix Hypervisor Security Update
https://support.citrix.com/article/CTX325319

【6】ADSelfService Plusに認証回避の脆弱性

情報源
CISA Current Activity
Zoho Releases Security Update for ADSelfService Plus
https://us-cert.cisa.gov/ncas/current-activity/2021/09/07/zoho-releases-security-update-adselfservice-plus

概要
Zohoが提供するADSelfService Plusには、認証回避の脆弱性があります。結果
として、遠隔の第三者が任意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- ADSelfService Plus 6114より前のバージョン

この問題は、該当する製品をZohoが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Zohoが提供する情報を参照してください。

関連文書 (英語)
Zoho
Security Advisory - CVE-2021-40539
https://www.manageengine.com/products/self-service-password/kb/how-to-fix-authentication-bypass-vulnerability-in-REST-API.html

【7】RevoWorks Browserに複数の脆弱性

情報源
Japan Vulnerability Notes JVN#81658818
RevoWorks Browser における複数の脆弱性
https://jvn.jp/jp/JVN81658818/

概要
ジェイズ・コミュニケーション株式会社が提供するRevoWorks Browserには、
複数の脆弱性があります。結果として、当該製品へアクセス可能な第三者が任
意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- RevoWorks Browser 2.1.197から2.1.230までのバージョン

開発者によると、RevoWorks Browser 2.0系は本脆弱性の影響を受けないとの
ことです。

この問題は、該当する製品をジェイズ・コミュニケーション株式会社が提供す
る修正済みのバージョンに更新することで解決します。詳細は、ジェイズ・コ
ミュニケーション株式会社が提供する情報を参照してください。

関連文書 (日本語)
ジェイズ・コミュニケーション株式会社
【重要】RevoWorks Browser の複数の脆弱性(CVE-2021-20790、CVE-2021-20791)に関する注意喚起
https://jscom.jp/news-20210910_2/

目 次

【1】Confluence ServerおよびData CenterにOGNLインジェクションの脆弱性
【2】複数のCisco製品に脆弱性
【3】Google Chromeに複数の脆弱性
【4】GitLabに複数の脆弱性
【5】ウイルスバスター クラウドにディレクトリジャンクションの取り扱い不備の脆弱性
【6】ジェイテクト製TOYOPUCシリーズに制限またはスロットリング無しのリソースの割り当ての脆弱性
【今週のひとくちメモ】JPCERT/CC Eyes「定点観測友の会という名のコミュニティー活動について」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr213501.html
https://www.jpcert.or.jp/wr/2021/wr213501.xml
============================================================================

【1】Confluence ServerおよびData CenterにOGNLインジェクションの脆弱性

情報源
JPCERT/CC 注意喚起
Confluence ServerおよびData Centerの脆弱性（CVE-2021-26084）に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210037.html

概要
Confluence ServerおよびData Centerには、OGNLインジェクションの脆弱性が
あります。結果として、認証されていない遠隔の第三者が任意のコードを実行
する可能性があります。

対象となるバージョンは次のとおりです。

- Confluence ServerおよびData Center 7.12.5より前の7.12系のバージョン
- Confluence ServerおよびData Center 7.11.6より前の7.11系のバージョン
- Confluence ServerおよびData Center 7.10系から7.5系のバージョン
- Confluence ServerおよびData Center 7.4.11より前の7.4系のバージョン
- Confluence ServerおよびData Center 7.3系から7.0系のバージョン
- Confluence ServerおよびData Center 6.15系、6.14系のバージョン
- Confluence ServerおよびData Center 6.13.23より前の6.13系のバージョン

この問題は、該当する製品をAtlassianが提供する修正済みのバージョンに更
新することで解決します。詳細は、Atlassianが提供する情報を参照してくだ
さい。

関連文書 (日本語)
Atlassian
Confluence セキュリティ勧告 - 2021-08-25
https://ja.confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html

関連文書 (英語)
CISA Current Activity
Atlassian Releases Security Updates for Confluence Server and Data Center
https://us-cert.cisa.gov/ncas/current-activity/2021/09/03/atlassian-releases-security-updates-confluence-server-and-data

【2】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Cisco Enterprise NFVIS
https://us-cert.cisa.gov/ncas/current-activity/2021/09/02/cisco-releases-security-updates-cisco-enterprise-nfvis

概要
複数のCisco製品には、複数の脆弱性があります。結果として、遠隔の第三者
が認証を回避し、管理者として機器を操作するなどの可能性があります。

影響度Criticalの脆弱性情報に記載されている製品およびバージョンは次のと
おりです。

- Cisco Enterprise NFVIS 4.6.1より前のバージョン

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供するアドバイザリ情報を参照して
ください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

Cisco
Cisco Enterprise NFV Infrastructure Software Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nfvis-g2DMVVh

【3】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/09/01/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 93.0.4577.63より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/08/stable-channel-update-for-desktop_31.html

【4】GitLabに複数の脆弱性

情報源
GitLab
GitLab Security Release: 14.2.2, 14.1.4, and 14.0.9
https://about.gitlab.com/releases/2021/08/31/security-release-gitlab-14-2-2-released/

概要
GitLabには、複数の脆弱性があります。結果として、第三者が権限昇格したり、
サービス運用妨害（DoS）攻撃を行なったりするなどの可能性があります。

対象となるバージョンは次のとおりです。

- GitLab Community EditionおよびEnterprise Edition 14.2.2より前の14.2系バージョン
- GitLab Community EditionおよびEnterprise Edition 14.1.4より前の14.1系バージョン
- GitLab Community EditionおよびEnterprise Edition 14.0.9より前の14.0系バージョン

この問題は、該当する製品をGitLabが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、GitLabが提供する情報を参照してください。

【5】ウイルスバスター クラウドにディレクトリジャンクションの取り扱い不備の脆弱性

情報源
Japan Vulnerability Notes JVNVU#94699053
トレンドマイクロ製ウイルスバスター クラウドにおけるディレクトリジャンクションの取り扱い不備の脆弱性
https://jvn.jp/vu/JVNVU94699053/

概要
ウイルスバスター クラウドには権限昇格の脆弱性があります。結果として、
第三者が権限昇格し、サービス運用妨害 (DoS) 攻撃をする可能性があります。

対象となるバージョンは次のとおりです。

- ウイルスバスター クラウド バージョン17.0
- ウイルスバスター クラウド バージョン16.0
- ウイルスバスター クラウド バージョン15.0

この問題は、トレンドマイクロ株式会社が提供する情報をもとに、修正プログ
ラムを適用することで解決します。詳細はトレンドマイクロ株式会社が提供す
る情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ：ウイルスバスター クラウドの脆弱性について(CVE-2021-36744)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10565

【6】ジェイテクト製TOYOPUCシリーズに制限またはスロットリング無しのリソースの割り当ての脆弱性

情報源
Japan Vulnerability Notes JVNVU#95792804
ジェイテクト製TOYOPUCシリーズにおける制限またはスロットリング無しのリソースの割り当ての脆弱性
https://jvn.jp/vu/JVNVU95792804/

概要
株式会社ジェイテクトが提供するTOYOPUC PLCには制限またはスロットリング
無しのリソースの割り当ての脆弱性があります。結果として、第三者が当該
製品間のEthernet通信を遮断する可能性があります。

対象となる製品は多岐に渡ります。詳細は株式会社ジェイテクトが提供する情
報を参照してください。

この問題は、株式会社ジェイテクトが提供するワークアラウンドを適用するこ
とで本脆弱性の影響を軽減することが可能とのことです。詳細は、株式会社ジェ
イテクトが提供する情報を参照してください。

関連文書 (日本語)
株式会社ジェイテクト
TOYOPUC 製品のイーサネット機能におけるサービス拒否（DoS）の脆弱性について
https://toyoda.jtekt.co.jp/products/pdf/vulnerability/toyopuc/MTTT181701.pdf

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CC Eyes「定点観測友の会という名のコミュニティー活動について」を公開

JPCERT/CC Eyesにて、「定点観測友の会」と呼称しているコミュニティー活動
の紹介について公開しました。本コミュニティーでは、国内のインターネット
定点観測を行う組織を対象に、観測動向などの情報共有を目的としたメーリン
グリストの運用や会議を開催しています。JPCERT/CCのインターネット定点観測
システム「TSUBAME」の観測データや、各参加組織の定点観測の結果をもとに、
観測データの傾向や背景を議論し、注意喚起など各組織の活動につなげていま
す。

参考文献 (日本語)
JPCERT/CC Eyes
定点観測友の会という名のコミュニティー活動について
https://blogs.jpcert.or.jp/ja/2021/09/sigmon72.html

目 次

【1】複数のCisco製品に脆弱性
【2】OpenSSLに複数の脆弱性
【3】複数のVMware製品に脆弱性
【4】複数のF5 Networks製品に脆弱性
【5】複数のソニー製品のインストーラーにDLL読み込みの脆弱性
【6】Movable Typeに複数のクロスサイトスクリプティングの脆弱性
【7】baserCMSにクロスサイトスクリプティングの脆弱性
【8】WordPress用プラグインBooster for WooCommerceに認証回避の脆弱性
【今週のひとくちメモ】日本シーサート協議会が「CSIRT 人材の定義と確保 Ver.2.1」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr213401.html
https://www.jpcert.or.jp/wr/2021/wr213401.xml
============================================================================

【1】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/08/26/cisco-releases-security-updates-multiple-products

概要
複数のCisco製品には、影響度CriticalおよびHighを含む複数の脆弱性があり
ます。結果として、遠隔の第三者が任意のファイルを読み書きするなどの可能
性があります。

対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ
情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供するアドバイザリ情報を参照して
ください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

Cisco Security Advisory
Cisco Application Policy Infrastructure Controller Arbitrary File Read and Write Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-capic-frw-Nt3RYxR2

【2】OpenSSLに複数の脆弱性

情報源
CISA Current Activity
OpenSSL Releases Security Update
https://us-cert.cisa.gov/ncas/current-activity/2021/08/25/openssl-releases-security-update

概要
OpenSSLは、複数の脆弱性があります。脆弱性が悪用されると、第三者がサー
ビス運用妨害（DoS）攻撃などを行う可能性があります。

対象となる製品は次のとおりです。

- OpenSSL 1.1.1kおよびそれ以前のバージョン
- OpenSSL 3.0 alpha/betaリリース

この問題は、OpenSSLをOpenSSL Projectが提供する修正済みのバージョンに更
新することで解決します。なお、OpenSSL 3.0 alpha/betaリリースは正式版リ
リース時までに修正予定とのことです。詳細はOpenSSL Projectが提供する情
報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#99612123
OpenSSLに複数の脆弱性
https://jvn.jp/vu/JVNVU99612123/

JPCERT/CC 注意喚起
OpenSSLの脆弱性（CVE-2021-3711、CVE-2021-3712）に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210036.html

関連文書 (英語)
OpenSSL
OpenSSL Security Advisory [24 August 2021]
https://www.openssl.org/news/secadv/20210824.txt

【3】複数のVMware製品に脆弱性

情報源
CISA Current Activity
VMware Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/08/25/vmware-releases-security-updates-multiple-products

概要
複数のVMware製品には、脆弱性があります。結果として、第三者が影響を受け
るシステムを制御するなどの可能性があります。

対象となる製品は次のとおりです。

- VMware vRealize Operations
- VMware Cloud Foundation
- vRealize Suite Lifecycle Manager

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、VMwareが提供する情報を参照してください。

関連文書 (英語)
VMware
VMSA-2021-0018
https://www.vmware.com/security/advisories/VMSA-2021-0018.html

【4】複数のF5 Networks製品に脆弱性

情報源
CISA Current Activity
F5 Releases August 2021 Security Advisory
https://us-cert.cisa.gov/ncas/current-activity/2021/08/25/f5-releases-august-2021-security-advisory

概要
複数のF5 Networks製品には、影響度Highを含む複数の脆弱性があります。結
果として、第三者がユーザーを詐称して重要な操作をさせることでシステム侵
害につながるなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はF5 Networksが提供するアドバ
イザリ情報を参照してください。

この問題は、該当する製品をF5 Networksが提供する修正済みのバージョンに
更新するか、回避策を適用することで解決します。詳細は、F5 Networksが提
供する情報を参照してください。

関連文書 (英語)
F5 Networks
K50974556: Overview of F5 vulnerabilities (August 2021)
https://support.f5.com/csp/article/K50974556

【5】複数のソニー製品のインストーラーにDLL読み込みの脆弱性

情報源
Japan Vulnerability Notes JVN#80288258
複数のソニー製品のインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN80288258/

概要
ソニー株式会社が提供する複数の製品のインストーラーには、DLL読み込みに
関する脆弱性があります。結果として、第三者が、インストーラーを実行して
いる権限で、任意のコードを実行する可能性があります。

対象となる製品は次のとおりです。

- Sony Audio USB Driver V1.10およびそれ以前のインストーラー
- HAP Music Transfer Ver.1.3.0およびそれ以前のインストーラー

この問題は、開発者が提供する情報をもとに、最新の手順に従ってインストー
ルを行うことで解決します。
なお、本脆弱性の影響を受けるのはインストーラーの起動時のみです。すでに
製品をインストールしている場合、再インストールする必要はありません。

関連文書 (日本語)
Sony
Sony Audio USB Driver : ポータブルオーディオプレーヤー ウォークマン
https://www.sony.jp/support/walkman/download/

Sony
Sony Audio USB Driver : アクティブスピーカー
https://www.sony.jp/support/active-speaker/download/

Sony
Sony Audio USB Driver : システムステレオ
https://www.sony.jp/support/netjuke/download/

Sony
Sony Audio USB Driver : コンポーネントオーディオ
https://www.sony.jp/support/audio/download/index.html

Sony
HAP Music Transfer
https://www.sony.jp/support/audio/download/hap-music-transfer-win/

【6】Movable Typeに複数のクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#97545738
Movable Type における複数のクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN97545738/

概要
Movable Typeには、複数のクロスサイトスクリプティングの脆弱性があります。
結果として、当該製品にログインしているユーザーのWebブラウザー上で、任
意のスクリプトを実行される可能性があります。

対象となるバージョンは以下のとおりです。

- Movable Type 7 r.4903およびそれ以前 (Movable Type 7系)
- Movable Type 6.8.0およびそれ以前 (Movable Type 6系)
- Movable Type Advanced 7 r.4903およびそれ以前 (Movable Type Advanced 7系)
- Movable Type Premium 1.44およびそれ以前
- Movable Type Premium Advanced 1.44およびそれ以前

この問題は、Movable Typeをシックス・アパート株式会社が提供する修正済み
のバージョンに更新することで解決します。詳細は、シックス・アパート株式
会社が提供する情報を参照してください。

関連文書 (日本語)
シックス・アパート株式会社
[重要] Movable Type 7 r.5001 / Movable Type 6.8.1 / Movable Type Premium 1.45 の提供を開始、クラウド版に新プラン S150i を追加（セキュリティアップデート）
https://www.sixapart.jp/movabletype/news/2021/08/25-1100.html

【7】baserCMSにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#14134801
baserCMS におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN14134801/

概要
baserCMSユーザー会が提供するbaserCMSには、クロスサイトスクリプティング
の脆弱性があります。結果として、当該製品を使用しているサイトにアクセス
したユーザーのWebブラウザー上で、任意のスクリプトを実行される可能性が
あります。

対象となるバージョンは次のとおりです。

- baserCMS 4.5.1より前のバージョン

この問題は、該当する製品をbaserCMSユーザー会が提供する修正済みのバージョン
に更新することで解決します。詳細は、baserCMSユーザー会が提供する情報を
参照してください。

関連文書 (日本語)
baserCMSユーザー会
2021/08/26 ファイルアップロードにおけるクロスサイトスクリプティングの脆弱性
https://basercms.net/security/JVN_14134801

【8】WordPress用プラグインBooster for WooCommerceに認証回避の脆弱性

情報源
Wordfence
Critical Authentication Bypass Vulnerability Patched in Booster for WooCommerce
https://www.wordfence.com/blog/2021/08/critical-authentication-bypass-vulnerability-patched-in-booster-for-woocommerce/

概要
WordPress用プラグインBooster for WooCommerceには、認証回避の脆弱性があ
ります。結果として、遠隔の第三者が、当該製品にアカウントを持つユーザー
を詐称し、不正にログインする可能性があります。

対象となるバージョンは次のとおりです。

- Booster for WooCommerce 5.4.3およびそれ以前

この問題は、Booster for WooCommerceを開発者が提供する修正済みのバージョン
に更新することで解決します。詳細は、開発者が提供する情報を参照してくだ
さい。

目 次

【1】BIND 9にアサーションエラーを引き起こす脆弱性
【2】Windows用iCloudに複数の脆弱性
【3】複数のアドビ製品に脆弱性
【4】Google Chromeに複数の脆弱性
【5】複数のMozilla製品に脆弱性
【6】複数のCisco製品に脆弱性
【7】トレンドマイクロ製品に不適切なパーミッションの割り当ての脆弱性
【8】D-LinkルータDSL-2750Uに複数の脆弱性
【9】Navigate CMSに複数の脆弱性
【10】Microsoft Windowsの印刷スプーラーにリモートコード実行の脆弱性
【11】Huawei製EchoLife HG8045QにOSコマンドインジェクションの脆弱性
【今週のひとくちメモ】IPAが「サイバーセキュリティ経営可視化ツールWeb版（V1.0版）」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr213301.html
https://www.jpcert.or.jp/wr/2021/wr213301.xml
============================================================================

【1】BIND 9にアサーションエラーを引き起こす脆弱性

情報源
CISA Current Activity
ISC Releases Security Advisory for BIND
https://us-cert.cisa.gov/ncas/current-activity/2021/08/19/isc-releases-security-advisory-bind

概要
ISC BIND 9には、応答速度制限（RRL）が有効な場合に、namedが有効なインター
フェースの最大転送単位（MTU）よりも大きい応答を行った際にアサーション
エラーを引き起こす脆弱性があります。脆弱性が悪用されると、遠隔の第三者
がnamedを異常終了させる可能性があります。

関連文書 (日本語)
JPCERT/CC 注意喚起
ISC BIND 9の脆弱性（CVE-2021-25218）に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210035.html

Japan Vulnerability Notes JVNVU#94179101
ISC BIND における複数の脆弱性
https://jvn.jp/vu/JVNVU94179101/

株式会社日本レジストリサービス（JPRS）
（緊急）BIND 9.16.19の脆弱性（DNSサービスの停止）について（CVE-2021-25218）- BIND 9.16.19のみが対象、バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2021-08-19-bind9-vuln-rrl.html

【2】Windows用iCloudに複数の脆弱性

情報源
CISA Current Activity
Apple Releases Security Update
https://us-cert.cisa.gov/ncas/current-activity/2021/08/17/apple-releases-security-update

概要
Windows用iCloudには、複数の脆弱性があります。結果として、第三者が任意
のコードを実行する可能性があります。

対象となる製品は次のとおりです。

- Windows用iCloud 12.5より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Apple製品のアップデートについて（2021年8月）
https://www.jpcert.or.jp/newsflash/2021081103.html

Apple
Windows 用 iCloud 12.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212607

【3】複数のアドビ製品に脆弱性

情報源
CISA Current Activity
Adobe Releases Multiple Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/08/18/adobe-releases-multiple-security-updates

概要
複数のアドビ製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe Captivate
- Adobe XMP Toolkit SDK
- Adobe Photoshop
- Adobe Bridge
- Adobe Media Encoder

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021081801.html

アドビ
Adobe Captivate に関するセキュリティアップデート公開 | APSB21-60
https://helpx.adobe.com/jp/security/products/captivate/apsb21-60.html

アドビ
Adobe XMP Toolkit SDK に関するセキュリティアップデート公開 | APSB21-65
https://helpx.adobe.com/jp/security/products/xmpcore/apsb21-65.html

アドビ
Adobe Photoshop に関するセキュリティアップデート公開 | APSB21-68
https://helpx.adobe.com/jp/security/products/photoshop/apsb21-68.html

アドビ
Adobe Bridge に関するセキュリティアップデート公開 | APSB21-69
https://helpx.adobe.com/jp/security/products/bridge/apsb21-69.html

アドビ
Adobe Media Encoder に関するセキュリティアップデート公開 | APSB21-70
https://helpx.adobe.com/jp/security/products/media-encoder/apsb21-70.html

【4】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/08/18/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 92.0.4515.159より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/08/stable-channel-update-for-desktop.html

【5】複数のMozilla製品に脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/08/18/mozilla-releases-security-updates

概要
複数のMozilla製品には、脆弱性があります。結果として、HTTP/3の応答にお
いてヘッダーが分離する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox Firefox 91.0.1より前のバージョン
- Mozilla Thunderbird 91.0.1より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 91.0.1 and Thunderbird 91.0.1
https://www.mozilla.org/en-US/security/advisories/mfsa2021-37/

【6】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/08/19/cisco-releases-security-updates-multiple-products

概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ
情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【7】トレンドマイクロ製品に不適切なパーミッションの割り当ての脆弱性

情報源
Japan Vulnerability Notes JVN#90091573
トレンドマイクロ製企業向けエンドポイントセキュリティ製品における不適切なパーミッションの割り当ての脆弱性
https://jvn.jp/vu/JVNVU90091573/

概要
トレンドマイクロ製企業向けエンドポイントセキュリティ製品には、不適切な
パーミッションの割り当ての脆弱性があります。結果として、第三者がエージェン
トのインストールされた環境で権限昇格をしたり、任意のファイルを削除した
りする可能性があります。

対象となる製品は次のとおりです。

- Apex One 2019
- Apex One SaaS
- ウイルスバスターコーポレートエディション XG SP1
- ウイルスバスタービジネスセキュリティ 10 SP1
- ウイルスバスタービジネスセキュリティ 9.5
- ウイルスバスタービジネスセキュリティサービス 6.7

この問題は、該当する製品をトレンドマイクロ株式会社が提供するパッチを適
用することで解決します。詳細は、トレンドマイクロ株式会社が提供する情報
を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ：Apex One、ウイルスバスター コーポレートエディション、ウイルスバスター ビジネスセキュリティ、ウイルスバスター ビジネスセキュリティサービスの不正確なパーミッション割り当てによるサービス拒否の脆弱性
https://success.trendmicro.com/jp/solution/000286875

【8】D-LinkルータDSL-2750Uに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#92088210
D-LINK ルータ DSL-2750U に複数の脆弱性
https://jvn.jp/vu/JVNVU92088210/

概要
D-LinkルータDSL-2750Uには、複数の脆弱性があります。結果として、第三者
が、当該デバイス上で任意のOSコマンドを実行する可能性があります。

対象となるバージョンは次のとおりです。

- ファームウェア vME1.16およびそれ以前のバージョン

この問題は、D-Linkが提供する情報をもとに、ファームウェアを更新すること
で解決します。詳細は、D-Linkが提供する情報を参照してください。

関連文書 (英語)
D-Link
(Non-US) DSL-2750U :: H/W Rev. Ax :: F/W vME_1.16 :: Unauthenticated Config access
https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10230

GitHub / HadiMed / firmware-analysis
DSL-2750U (firmware version 1.6)
https://github.com/HadiMed/firmware-analysis/blob/main/DSL-2750U%20(firmware%20version%201.6)/README.md

【9】Navigate CMSに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#95261759
Navigate CMS における複数の脆弱性
https://jvn.jp/vu/JVNVU95261759/

概要
Naviwebs S.C.が提供するNavigate CMSには、複数の脆弱性があります。結果
として、遠隔の第三者が、任意のスクリプトを実行したり、データベースに保
存された情報を窃取するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Navigate CMS version 2.9.3およびそれ以前

この問題は、Naviwebs S.C.が提供する修正済みのバージョンに更新すること
で解決します。詳細は、Naviwebs S.C.が提供する情報を参照してください。

関連文書 (英語)
Naviwebs S.C.
Navigate CMS Update: 2.9.4
https://www.navigatecms.com/en/blog/development/navigate_cms_update_2_9_4

【10】Microsoft Windowsの印刷スプーラーにリモートコード実行の脆弱性

情報源
Japan Vulnerability Notes JVN#96414899
Microsoft Windowsの印刷スプーラーにリモートコード実行の脆弱性
https://jvn.jp/vu/JVNVU96414899/

概要
Microsoft WindowsのPrint Spoolerサービスには、特権的なファイル操作を不
適切に実施した場合、リモートコード実行が可能となる脆弱性があります。
2021年8月25日時点では、脆弱性を修正したバージョンはリリースされておら
ず、準備中とのことです。詳しくはMicrosoftが公開している情報を参照
ください。

関連文書 (日本語)
マイクロソフト株式会社
Windows Print Spooler Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36958

関連文書 (英語)
CERT Coordination Center
Microsoft Windows Print Spooler Point and Print allows installation of arbitrary queue-specific files
https://www.kb.cert.org/vuls/id/131152

【11】Huawei製EchoLife HG8045QにOSコマンドインジェクションの脆弱性

情報源
Japan Vulnerability Notes JVN#41646618
Huawei 製 EchoLife HG8045Q における OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN41646618/

概要
EchoLife HG8045Qには、OSコマンドインジェクションの脆弱性があります。結
果として、管理者権限を取得した第三者がOSコマンドを実行する可能性があり
ます。

対象となる製品は次のとおりです。

- EchoLife HG8045Q0

この問題は、開発者が提供する情報をもとに、ソフトウェアを更新することで
解決します。

目 次

【1】複数のマイクロソフト製品に脆弱性
【2】複数のアドビ製品に脆弱性
【3】複数のIntel製品に脆弱性
【4】複数のMozilla製品に脆弱性
【5】複数のSAP製品に脆弱性
【6】NicheStack TCP/IPスタックに複数の脆弱性
【7】複数のApple製品に脆弱性
【8】Citrix ShareFile storage zones controllerに脆弱性
【9】Drupalのサードパーティライブラリに脆弱性
【10】HTTP WebプロキシやWebアクセラレータのHTTP/2実装不備によるHTTPリクエストスマグリングの脆弱性
【11】WordPress用プラグインQuiz And Survey Masterにクロスサイトスクリプティングの脆弱性
【12】Ploneにオープンリダイレクトの脆弱性
【今週のひとくちメモ】JPCERT/CCがとりまとめた「サイバー攻撃被害情報の共有と公表のあり方」に係る調査報告書の公表

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr213201.html
https://www.jpcert.or.jp/wr/2021/wr213201.xml
============================================================================

【1】複数のマイクロソフト製品に脆弱性

情報源
CISA Current Activity
Microsoft Releases August 2021 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/08/10/microsoft-releases-august-2021-security-updates

概要
複数のマイクロソフト製品には、脆弱性があります。結果として、リモート
からの攻撃によって任意のコードが実行されるなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はマイクロソフトが提供するアド
バイザリ情報を参照してください。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフトが提供する情報を参照してください。

関連文書 (日本語)
マイクロソフト株式会社
2021 年 8 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2021-Aug

マイクロソフト株式会社
2021 年 8 月のセキュリティ更新プログラム (月例)
https://msrc-blog.microsoft.com/2021/08/10/202108-security-updates/

JPCERT/CC 注意喚起
2021年8月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2021/at210034.html

【2】複数のアドビ製品に脆弱性

情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/08/10/adobe-releases-security-updates-multiple-products

概要
複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe Commerce
- Magento Open Source
- Adobe Connect

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021081101.html

関連文書 (英語)
アドビ
Security Updates Available for Adobe Commerce | APSB21-64
https://helpx.adobe.com/security/products/magento/apsb21-64.html

アドビ
Security updates available for Adobe Connect | APSB21-66
https://helpx.adobe.com/security/products/connect/apsb21-66.html

【3】複数のIntel製品に脆弱性

情報源
CISA Current Activity
Intel Releases Multiple Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/08/10/intel-releases-multiple-security-updates

Japan Vulnerability Notes JVNVU#91826524
Intel製品に複数の脆弱性（2021年8月）
https://jvn.jp/vu/JVNVU91826524/

JPCERT/CC CyberNewsFlash
Intel製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2021081102.html

概要
Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security
Center Advisoriesが公開されました。

詳細は、Intelが提供する情報を参照してください。

関連文書 (英語)
Intel
Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html

【4】複数のMozilla製品に脆弱性

情報源
US-CERT Current Activity
Mozilla Releases Security Updates for Firefox
https://us-cert.cisa.gov/ncas/current-activity/2021/08/10/mozilla-releases-security-updates-firefox

US-CERT Current Activity
Mozilla Releases Security Updates for Thunderbird
https://us-cert.cisa.gov/ncas/current-activity/2021/08/12/mozilla-releases-security-updates-thunderbird

概要
複数のMozilla製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 91より前のバージョン
- Mozilla Firefox ESR 78.13より前のバージョン
- Mozilla Thunderbird 91より前のバージョン
- Mozilla Thunderbird 78.13より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 91
https://www.mozilla.org/en-US/security/advisories/mfsa2021-33/

Mozilla
Security Vulnerabilities fixed in Firefox ESR 78.13
https://www.mozilla.org/en-US/security/advisories/mfsa2021-34/

Mozilla
Security Vulnerabilities fixed in Thunderbird 91
https://www.mozilla.org/en-US/security/advisories/mfsa2021-36/

Mozilla
Security Vulnerabilities fixed in Thunderbird 78.13
https://www.mozilla.org/en-US/security/advisories/mfsa2021-35/

【5】複数のSAP製品に脆弱性

情報源
CISA Current Activity
SAP Releases August 2021 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/08/10/sap-releases-august-2021-security-updates

概要
複数のSAP製品には、脆弱性があります。

対象となる製品は、多岐にわたります。詳細はSAPが提供するアドバイザリ情
報を参照してください。

この問題は、該当する製品をSAPが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、SAPが提供する情報を参照してください。

関連文書 (英語)
SAP
SAP Security Patch Day August 2021
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=582222806

【6】NicheStack TCP/IPスタックに複数の脆弱性

情報源
CERT/CC Vulnerability Note VU#608209
NicheStack embedded TCP/IP has vulnerabilities
https://kb.cert.org/vuls/id/608209

概要
HCC Embeddedが開発したTCP/IPプロトコルスタックであるNicheStackには、複
数の脆弱性があります。結果として、遠隔の第三者が任意のコードを実行する
などの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- NicheStack 4.3より前のすべてのバージョン
- NicheLite 4.3より前のすべてのバージョン

この問題は、該当する製品をHCC Embeddedが提供する修正済みのバージョン
に更新することで解決します。詳細は、HCC Embeddedが提供する情報を参照
してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#98488549
NicheStack TCP/IP スタックに複数の脆弱性
https://jvn.jp/vu/JVNVU98488549/

関連文書 (英語)
HCC Embedded
Security Advisories
https://www.hcc-embedded.com/support/security-advisories

【7】複数のApple製品に脆弱性

情報源
Apple
iTunes for Windows 12.11.4 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212609

Apple
Windows 用 iCloud 12.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212607

概要
Appleから複数の製品に関するセキュリティアドバイザリが公開されました。

対象となる製品およびバージョンは次のとおりです。

- iTunes for Windows 12.11.4より前のバージョン
- iCloud for Windows 12.5より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Apple製品のアップデートについて（2021年8月）
https://www.jpcert.or.jp/newsflash/2021081103.html

【8】Citrix ShareFile storage zones controllerに脆弱性

情報源
CISA Current Activity
Citrix Releases Security Update for ShareFile Storage Zones Controller
https://us-cert.cisa.gov/ncas/current-activity/2021/08/10/citrix-releases-security-update-sharefile-storage-zones-controller

概要
Citrix ShareFile storage zones controllerには、ファイル暗号化オプション
が意図せずに無効化される脆弱性があります。

対象となるバージョンは次のとおりです。

- Citrix ShareFile storage zones controller 5.11.19より前のバージョン

この問題は、該当する製品をCitrixが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Citrixが提供する情報を参照してください。

関連文書 (英語)
Citrix
Citrix ShareFile storage zones controller security update
https://support.citrix.com/article/CTX322787

【9】Drupalのサードパーティライブラリに脆弱性

情報源
CISA Current Activity
Drupal Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/08/12/drupal-releases-security-updates

概要
Drupalが使用するCKEditorライブラリには、クロスサイトスクリプティング
の脆弱性があります。結果として、第三者が任意のスクリプトを実行する可
能性があります。

対象となるバージョンは次のとおりです。

- Drupal 9.2.4より前の9.2系のバージョン
- Drupal 9.1.12より前の9.1系のバージョン
- Drupal 8.9.18より前の8.9系のバージョン

なお、Drupal 9.1系より前の9系およびDrupal 8.9系より前の8系のバージョン
はサポートが終了しており、今回のセキュリティに関する情報は提供されてい
ません。

この問題は、Drupalが提供する修正済みのバージョンに更新することで解決し
ます。詳細は、Drupalが提供する情報を参照してください。

関連文書 (英語)
Drupal
Drupal core - Moderately critical - Third-party libraries - SA-CORE-2021-005
https://www.drupal.org/sa-core-2021-005

CKSource
CKEditor 4.16.2 with browser improvements and security fixes
https://ckeditor.com/blog/ckeditor-4.16.2-with-browser-improvements-and-security-fixes/

【10】HTTP WebプロキシやWebアクセラレータのHTTP/2実装不備によるHTTPリクエストスマグリングの脆弱性

情報源
CERT/CC Vulnerability Note VU#357312
HTTP Request Smuggling in Web Proxies
https://kb.cert.org/vuls/id/357312

概要
HTTP/2をサポートするHTTP WebプロキシやWebアクセラレータには、HTTP/1へ
の変換処理の実装不備に起因した、HTTPリクエストスマグリング攻撃が可能に
なる脆弱性があります。結果として、細工したHTTPリクエストを送信した第三
者が、機微な情報を窃取するなどの可能性があります。

対象となる製品は次のとおりです。

- HTTP/2からHTTP/1への変換を行うシステム

詳細についてはCERT/CCが提供する情報を参照してください。

この問題に対して、複数のベンダーから対策に関する情報が公開されています。
各製品のベンダーから提供される修正済みのバージョンに更新するなどの対応
を実施してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#99039870
HTTP WebプロキシやWebアクセラレータのHTTP/2実装不備によるHTTPリクエストスマグリングの脆弱性
https://jvn.jp/vu/JVNVU99039870/

関連文書 (英語)
Portswigger Research
HTTP/2: The Sequel is Always Worse
https://portswigger.net/research/http2

【11】WordPress用プラグインQuiz And Survey Masterにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#65388002
WordPress 用プラグイン Quiz And Survey Master におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN65388002/

概要
ExpressTechが提供するWordPress用プラグインQuiz And Survey Masterには、
クロスサイトスクリプティングの脆弱性があります。結果として、第三者が任
意のスクリプトを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Quiz And Survey Master 7.1.14より前のバージョン

この問題は、本プラグインをExpressTechが提供する修正済みのバージョンに
更新することで解決します。詳細は、ExpressTechが提供する情報を参照して
ください。

関連文書 (英語)
ExpressTech
Quiz And Survey Master - Best Quiz, Exam and Survey Plugin for WordPress
https://ja.wordpress.org/plugins/quiz-master-next/

【12】Ploneにオープンリダイレクトの脆弱性

情報源
Japan Vulnerability Notes JVN#50804280
Plone におけるオープンリダイレクトの脆弱性
https://jvn.jp/jp/JVN50804280/

概要
Plone Foundationが提供するPloneには、オープンリダイレクトの脆弱性があ
ります。結果として、遠隔の第三者が、細工したURLにユーザーをアクセスさ
せることで、任意のwebサイトにリダイレクトさせる可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Plone 5.2.5より前のバージョンで、パッケージProducts.isurlinportalが1.2.0より前の製品

この問題は、本製品にPlone Foundationが提供するパッチを適用することで解
決します。詳細は、Plone Foundationが提供する情報を参照してください。

関連文書 (英語)
Plone Foundation
URL Redirection to Untrusted Site ('Open Redirect') in Products.isurlinportal
https://github.com/plone/Products.isurlinportal/security/advisories/GHSA-q3m9-9fj2-mfwr

Plone Foundation
Security fix: Products.isurlinportal 1.2.0
https://community.plone.org/t/security-fix-products-isurlinportal-1-2-0/14152

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CCがとりまとめた「サイバー攻撃被害情報の共有と公表のあり方」に係る調査報告書の公表

2021年7月、総務省が開催するサイバーセキュリティタスクフォース（第33回）
の会合において、JPCERT/CCは、サイバー攻撃被害情報の共有と公表のあり方
に係る調査検討の結果を報告し、後日、報告書が公表されました。

社会全体におけるサイバー攻撃対処のベースとなる情報共有活動が円滑に行わ
れるためには、どのようにサイバー攻撃被害情報の共有や公表が行われるべき
か、JPCERT/CCにおけるこれまでのインシデント対応支援の経験を踏まえた問
題意識をもとに検討したものです。

参考文献 (日本語)
総務省
サイバーセキュリティタスクフォース（第33回）
https://www.soumu.go.jp/main_sosiki/kenkyu/cybersecurity_taskforce/02cyber01_04000001_00191.html

総務省（JPCERT/CC資料）
サイバー攻撃被害情報の共有と公表のあり方について（公開版）＜概要＞
https://www.soumu.go.jp/main_content/000762950.pdf

総務省（JPCERT/CC資料）
サイバー攻撃被害情報の共有と公表のあり方について （公開版）
https://www.soumu.go.jp/main_content/000762951.pdf

目 次

【1】Pulse Connect Secureに複数の脆弱性
【2】Google Chromeに複数の脆弱性
【3】複数のVMware製品に脆弱性
【4】複数のCisco製品に脆弱性
【5】サイボウズ Garoonに複数の脆弱性
【6】Swisslog Healthcare製Translogic PTSにおける複数の脆弱性
【7】三菱電機製 MELSEC iQ-R シリーズ CPUユニットにおける複数の脆弱性
【今週のひとくちメモ】制御システムセキュリティカンファレンス2022講演募集

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr213101.html
https://www.jpcert.or.jp/wr/2021/wr213101.xml
============================================================================

【1】Pulse Connect Secureに複数の脆弱性

情報源
CISA Current Activity
Ivanti Releases Security Update for Pulse Connect Secure
https://us-cert.cisa.gov/ncas/current-activity/2021/08/06/ivanti-releases-security-update-pulse-connect-secure

概要
Pulse Connect Secureには、複数の脆弱性があります。結果として、第三者が
ファイルを書き込んだり、任意のコマンドを実行したりするなどの可能性があ
ります。

対象となるバージョンは次のとおりです。

- Pulse Connect Secure 9.1R12より前のバージョン

この問題は、Pulse Connect SecureをPulse Secureが提供する修正済みのバー
ジョンに更新することで解決します。詳細は、Pulse Secureが提供する情報を
参照してください。

関連文書 (英語)
Pulse Secure
SA44858 - 9.1R12 Security Fixes
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44858

【2】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/08/04/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 92.0.4515.131より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/08/the-stable-channel-has-been-updated-to.html

【3】複数のVMware製品に脆弱性

情報源
CISA Current Activity
VMware Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/08/05/vmware-releases-security-updates-multiple-products

概要
複数のVMware製品には、脆弱性があります。結果として、第三者が機微な情報
を取得するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- VMware Workspace ONE Access (Access) 20.10、20.10.01（Linux版）
- VMware Identity Manager (vIDM) 3.3.2、3.3.3、3.3.4、3.3.5（Linux版）
- VMware vRealize Automation (vRA) 7.6（Linux版）
- VMware Cloud Foundation 4系のバージョン
- vRealize Suite Lifecycle Manager 8系のバージョン

この問題は、該当する製品にVMwareが提供するパッチを適用することで解決し
ます。詳細は、VMwareが提供する情報を参照してください。

関連文書 (英語)
VMware
VMSA-2021-0016
https://www.vmware.com/security/advisories/VMSA-2021-0016.html

【4】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/08/05/cisco-releases-security-updates

概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ
情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【5】サイボウズ Garoonに複数の脆弱性

情報源
Japan Vulnerability Notes JVN#54794245
サイボウズ Garoon に複数の脆弱性
https://jvn.jp/jp/JVN54794245/

概要
サイボウズ Garoonには、複数の脆弱性があります。結果として、ログイン
可能なユーザーが、本来閲覧権限のない情報を取得したりするなどの可能性があ
ります。

対象となるバージョンは、多岐にわたります。詳細はサイボウズ株式会社が提
供するアドバイザリ情報を参照してください。

この問題は、該当する製品をサイボウズ株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、サイボウズ株式会社が提供する情報を
参照してください。

関連文書 (日本語)
サイボウズ株式会社
パッケージ版 Garoon 脆弱性に関するお知らせ
https://cs.cybozu.co.jp/2021/007206.html

【6】Swisslog Healthcare製Translogic PTSにおける複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#96157296
Swisslog Healthcare製Translogic PTSにおける複数の脆弱性
https://jvn.jp/vu/JVNVU96157296/

概要
Swisslog Healthcareが提供するTranslogic PTS（Pneumatic Tube Systems）
には、複数の脆弱性があります。結果として、遠隔の第三者が権限昇格や任意
のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Nexus Control Panel 7.2.5.7より前のバージョン

この問題は、該当する製品をSwisslog Healthcareが提供する修正済みのバー
ジョンに更新することで解決します。詳細は、Swisslog Healthcareが提供す
る情報を参照してください。

関連文書 (英語)
ICS Medical Advisory (ICSMA-21-215-01)
Swisslog Healthcare Translogic PTS
https://us-cert.cisa.gov/ics/advisories/icsma-21-215-01

CISA Current Activity
CISA Releases Security Advisory for Swisslog Healthcare
https://us-cert.cisa.gov/ncas/current-activity/2021/08/03/cisa-releases-security-advisory-swisslog-healthcare

【7】三菱電機製 MELSEC iQ-R シリーズ CPUユニットにおける複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#98578731
三菱電機製 MELSEC iQ-R シリーズ CPU ユニットにおける複数の脆弱性
https://jvn.jp/vu/JVNVU98578731/

概要
三菱電機製 MELSEC iQ-R シリーズ CPU ユニットには、複数の脆弱性がありま
す。結果として、遠隔の第三者が認証情報を窃取するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- R08/16/32/120SFCPU 全ファームウェアバージョン
- R08/16/32/120PSFCPU 全ファームウェアバージョン

2021年8月11日現在、本脆弱性に対するアップデートは提供されていません。
なお、一部の脆弱性に関する対策済みバージョンは、近日中にリリースする予
定とのことです。また、この問題について、三菱電機株式会社から、脆弱性の
影響を軽減するための回避策に関する情報も公開されています。詳細は、三菱
電機株式会社が提供する情報を参照してください。

関連文書 (日本語)
三菱電機株式会社
MELSEC iQ-R シリーズCPU ユニットにおける情報漏えいの脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-008.pdf

三菱電機株式会社
MELSEC iQ-R シリーズCPU ユニットにおける不正ログインの脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-009.pdf

三菱電機株式会社
MELSEC iQ-R シリーズにおけるサービス拒否(DoS)の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-010.pdf

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○制御システムセキュリティカンファレンス2022講演募集

2021年8月4日、JPCERT/CCは、制御システムセキュリティカンファレンス2022
の講演を募集する案内を掲載しました。

2022年2月3日にオンライン開催が予定される本カンファレンスは、国内外の
ICSにおける脅威の現状認識や、ICS関係者のセキュリティに関する先進的な取
り組みを共有する場となります。講演をご希望の方は、募集要項をお読みいた
だき、講演概要とともに必要事項をカンファレンス事務局までお送りください。
応募締切は2021年9月17日（金）必着です。

参考文献 (日本語)
JPCERT/CC
制御システムセキュリティカンファレンス2022講演募集(Call for Presentation)
https://www.jpcert.or.jp/event/ics-conf-cfp2022/

目 次

【1】複数のApple製品に脆弱性
【2】複数のアドビ製品に脆弱性
【3】Active Directory証明書サービス（AD CS）にNTLMリレー攻撃の脆弱性
【4】複数のトレンドマイクロ製企業向けエンドポイントセキュリティ製品に脆弱性
【5】三菱電機製GOTのMODBUS/TCPスレーブ通信機能にアクセス同期不備の脆弱性
【今週のひとくちメモ】JAIPA Cloud Conference 2021開催のお知らせ

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr213001.html
https://www.jpcert.or.jp/wr/2021/wr213001.xml
============================================================================

【1】複数のApple製品に脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/07/27/apple-releases-security-updates

概要
複数のApple製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行する可能性があります。

対象となる製品は次のとおりです。

- macOS Big Sur
- iOSおよびiPadOS
- watchOS

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数のApple製品のアップデートについて（2021年7月）
https://www.jpcert.or.jp/newsflash/2021072602.html

Apple
iOS 14.7 および iPadOS 14.7 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212601

Apple
macOS Big Sur 11.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212602

Apple
watchOS 7.6.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212713

【2】複数のアドビ製品に脆弱性

情報源
JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021072601.html

概要
複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe Media Encoder
- Adobe After Effects
- Adobe Premiere Pro
- Adobe Prelude
- Adobe Character Animator
- Adobe Audition
- Adobe Photoshop

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)
アドビ
Adobe Media Encoder に関するセキュリティアップデート公開 | APSB21-43
https://helpx.adobe.com/jp/security/products/media-encoder/apsb21-43.html

アドビ
Adobe After Effects に関するセキュリティアップデート公開 | APSB21-54
https://helpx.adobe.com/jp/security/products/after_effects/apsb21-54.html

アドビ
Adobe Premiere Pro に関するセキュリティアップデート公開 | APSB21-56
https://helpx.adobe.com/jp/security/products/premiere_pro/apsb21-56.html

アドビ
Adobe Prelude に関するセキュリティアップデート公開 | APSB21-58
https://helpx.adobe.com/jp/security/products/prelude/apsb21-58.html

アドビ
Adobe Character Animator に関するセキュリティアップデート公開 | APSB21-59
https://helpx.adobe.com/jp/security/products/character_animator/apsb21-59.html

アドビ
Adobe Audition に関するセキュリティアップデート公開 | APSB21-62
https://helpx.adobe.com/jp/security/products/audition/apsb21-62.html

アドビ
Adobe Photoshop に関するセキュリティアップデート公開 | APSB21-63
https://helpx.adobe.com/jp/security/products/photoshop/apsb21-63.html

【3】Active Directory証明書サービス（AD CS）にNTLMリレー攻撃の脆弱性

情報源
CISA Current Activity
Microsoft Releases Guidance for Mitigating PetitPotam NTLM Relay Attacks
https://us-cert.cisa.gov/ncas/current-activity/2021/07/27/microsoft-releases-guidance-mitigating-petitpotam-ntlm-relay

概要
Microsoft WindowsのActive Directory証明書サービス（AD CS）には、
PetitPotamと呼称されるNTLMリレー攻撃に対する脆弱性があります。結果とし
て、攻撃者がドメインコントローラを乗っ取る可能性があります。

対象となる製品およびバージョンは次の通りです。

- Windows Server, version 20H2
- Windows Server, version 2004
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
- Windows Server 2008 R2 SP1
- Windows Server 2008 SP2

マイクロソフト株式会社によると、Active Directory証明書サービスで次のサー
ビスを使用している場合に本脆弱性の影響を受けるとのことです。

- Certificate Authority Web Enrollment
- Certificate Enrollment Web Service

この問題について、マイクロソフト株式会社は回避策の実施を推奨しています。
詳細は、マイクロソフト株式会社が提供する情報を参照してください。

関連文書 (英語)
マイクロソフト株式会社
KB5005413: Mitigating NTLM Relay Attacks on Active Directory Certificate Services (AD CS)
https://support.microsoft.com/en-us/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429

マイクロソフト株式会社
ADV210003 Mitigating NTLM Relay Attacks on Active Directory Certificate Services (AD CS)
https://msrc.microsoft.com/update-guide/vulnerability/ADV210003

CERT/CC Vulnerability Note VU#405600
Microsoft Windows Active Directory Certificate Services can allow for AD compromise via PetitPotam NTLM relay attacks
https://kb.cert.org/vuls/id/405600

【4】複数のトレンドマイクロ製企業向けエンドポイントセキュリティ製品に脆弱性

情報源
Japan Vulnerability Notes JVNVU#93876919
複数のトレンドマイクロ製企業向けエンドポイントセキュリティ製品における複数の脆弱性
https://jvn.jp/vu/JVNVU93876919

概要
トレンドマイクロ株式会社が提供する複数の企業向けエンドポイントセキュリ
ティ製品には脆弱性があります。結果として、第三者が権限昇格を行うなどの
可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Apex One 2019
- Apex One SaaS
- ウイルスバスタービジネスセキュリティサービス 6.7
- ウイルスバスターコーポレートエディション XG SP1
- ウイルスバスタービジネスセキュリティ 10 SP1

この問題は、該当する製品をトレンドマイクロ株式会社が提供するパッチを適
用することで解決します。詳細は、トレンドマイクロ株式会社が提供する情報
を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
複数のトレンドマイクロ製企業向けエンドポイントセキュリティ製品の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210033.html

トレンドマイクロ株式会社
アラート/アドバイザリ：ウイルスバスター コーポレートエディション、Trend Micro Apex OneとTrend Micro Apex One SaaS の脆弱性について（2021年7月）
https://success.trendmicro.com/jp/solution/000287796

トレンドマイクロ株式会社
アラート/アドバイザリ：ウイルスバスター ビジネスセキュリティで確認された複数の脆弱性について（2021年7月）
https://success.trendmicro.com/jp/solution/000287815

トレンドマイクロ株式会社
アラート/アドバイザリ：ウイルスバスター ビジネスセキュリティサービスにおける不適切なパーミッション割り当てによる権限昇格の脆弱性
https://success.trendmicro.com/jp/solution/000286884

トレンドマイクロ株式会社
【注意喚起】弊社製品の脆弱性 (CVE-2021-36741,CVE-2021-36742) を悪用した攻撃を確認したことによる修正プログラム適用のお願い
https://appweb.trendmicro.com/SupportNews/NewsDetail.aspx?id=4219

【5】三菱電機製GOTのMODBUS/TCPスレーブ通信機能にアクセス同期不備の脆弱性

情報源
Japan Vulnerability Notes JVNVU#92414172
三菱電機製 GOT の MODBUS/TCP スレーブ通信機能における共有リソースへのアクセス同期不備の脆弱性
https://jvn.jp/vu/JVNVU92414172

概要
三菱電機株式会社が提供するGOT2000シリーズおよびGT SoftGOT2000の
MODBUS/TCPスレーブ通信機能には、共有リソースへのアクセス同期不備の脆弱
性があります。結果として遠隔の第三者が、当該機器をサービス運用妨害（DoS）
状態にする可能性があります。

対象となる製品およびバージョンは次のとおりです。

- GOT2000 GT27モデル通信ドライババージョン01.19.000から01.39.010までのバージョン
- GOT2000 GT25モデル通信ドライババージョン01.19.000から01.39.010までのバージョン
- GOT2000 GT23モデル通信ドライババージョン01.19.000から01.39.010までのバージョン
- GT SoftGOT2000ソフトウェアバージョン1.170Cから1.256Sまでのバージョン

この問題は、該当する製品を三菱電機株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、三菱電機株式会社が提供する情報を参
照してください。

関連文書 (日本語)
三菱電機株式会社
GOT の MODBUS/TCP スレーブ通信機能におけるサービス拒否(DoS)の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-007.pdf

関連文書 (英語)
ICS Advisory (ICSA-21-208-02)
Mitsubishi Electric GOT2000 series and GT SoftGOT2000
https://us-cert.cisa.gov/ics/advisories/icsa-21-208-02

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JAIPA Cloud Conference 2021開催のお知らせ

2021年9月2日、一般社団法人 日本インターネットプロバイダー協会 クラウド
部会は「JAIPA Cloud Conference 2021」をオンラインで開催します。クラウ
ドサービスプロバイダ（IaaS/PaaS/SaaS）、システムインテグレータ、ソリュー
ションベンダーなどが参加し、クラウド業界の未来について知見を深めるイベ
ントです。JPCERT/CCは本カンファレンスを後援しています。
参加費は無料、参加には事前の申し込みが必要です。

参考文献 (日本語)
JAIPA Cloud Conference
JAIPA Cloud Conference 2021
https://cloudconference.jaipa.or.jp/

JAIPA Cloud Conference
Facebookページ
https://www.facebook.com/cloudconference.jaipa/

JAIPA Cloud Conference
事前登録ページ
https://cloudcon-stream.jaipa.or.jp/register

目 次

【1】複数のFotinet製品にuse-after-freeの脆弱性
【2】複数のCitrix製品に脆弱性
【3】2021年7月Oracle Critical Patch Updateについて
【4】複数のApple製品に脆弱性
【5】Google Chromeに複数の脆弱性
【6】複数のアドビ製品に脆弱性
【7】Drupalのサードパーティライブラリに脆弱性
【8】複数のCisco製品に脆弱性
【9】Microsoft WindowsにシステムフォルダーのACL設定不備による権限昇格の脆弱性
【10】Arcadyan製ソフトウェアを使用するルーターにディレクトリトラバーサルの脆弱性
【11】Minecraft Java Editionにディレクトリトラバーサルの脆弱性
【12】GroupSessionに複数の脆弱性
【13】三菱電機製MELSEC FシリーズEthernetインタフェースブロックにNULLポインター参照の脆弱性
【今週のひとくちメモ】経済産業省および総務省が「DX時代における企業のプライバシーガバナンスガイドブックver1.1」を策定

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr212901.html
https://www.jpcert.or.jp/wr/2021/wr212901.xml
============================================================================

【1】複数のFotinet製品にuse-after-freeの脆弱性

情報源
CISA Current Activity
Fortinet Releases Security Updates for FortiManager and FortiAnalyzer
https://us-cert.cisa.gov/ncas/current-activity/2021/07/19/fortinet-releases-security-updates-fortimanager-and-fortianalyzer

概要
複数のFortinet製品には、use-after-freeの脆弱性があります。結果として、
遠隔の第三者が任意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- FortiManager versions 5.6.10およびそれ以前
- FortiManager versions 6.0.10およびそれ以前
- FortiManager versions 6.2.7およびそれ以前
- FortiManager versions 6.4.5およびそれ以前
- FortiManager version 7.0.0
- FortiManager versions 5.4.x
- FortiAnalyzer versions 5.6.10およびそれ以前
- FortiAnalyzer versions 6.0.10およびそれ以前
- FortiAnalyzer versions 6.2.7およびそれ以前
- FortiAnalyzer versions 6.4.5およびそれ以前
- FortiAnalyzer version 7.0.0

この問題は、該当する製品をFortinetが提供する修正済みのバージョンに更新
することで解決します。詳細は、Fortinetが提供する情報を参照してください。

関連文書 (英語)
Fortinet
FortiManager and FortiAnalyzer - Use after free vulnerability in fgfmsd daemon
https://www.fortiguard.com/psirt/FG-IR-21-067

【2】複数のCitrix製品に脆弱性

情報源
CISA Current Activity
Citrix Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/07/20/citrix-releases-security-updates

概要
複数のCitrix製品には、脆弱性があります。結果として、第三者がSAML認証を
ハイジャックする等などしてシステムを制御する可能性があります。

対象となる製品は、多岐にわたります。

詳細はCitrixが提供する情報を参照してください。

関連文書 (英語)
Citrix
Citrix Application Delivery Controller, Citrix Gateway, and Citrix SD-WAN WANOP Edition appliance Security Update
https://support.citrix.com/article/CTX319135

【3】2021年7月Oracle Critical Patch Updateについて

情報源
CISA Current Activity
Oracle Releases July 2021 Critical Patch Update
https://us-cert.cisa.gov/ncas/current-activity/2021/07/20/oracle-releases-july-2021-critical-patch-update

概要
Oracleから複数の製品およびコンポーネントに含まれる脆弱性に対応したOracle
Critical Patch Update Advisoryが公開されました。脆弱性が悪用された場合、
リモートからの攻撃によって、不正な操作が実行されたり、機微な情報を不正
に削除や改ざんされたりする可能性があります。

詳細は、Oracleが提供する情報を参照してください

関連文書 (日本語)
JPCERT/CC注意喚起
2021年7月Oracle製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2021/at210032.html

関連文書 (英語)
Oracle
Oracle Critical Patch Update Advisory - July 2021
https://www.oracle.com/security-alerts/cpujul2021.html

【4】複数のApple製品に脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/07/21/apple-releases-security-updates

概要
Appleの製品には、複数の脆弱性があります。

対象となる製品およびバージョンは次のとおりです。

- macOS Big Sur 11.5.1
- macOS Catalina
- macOS Mojave
- iPadOS 14.7.1
- iOS 14.7.1

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数のApple製品のアップデートについて（2021年7月）
https://www.jpcert.or.jp/newsflash/2021072602.html

Apple
macOS Big Sur 11.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212602

Apple
セキュリティアップデート 2021-004 Catalina のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212600

Apple
セキュリティアップデート 2021-005 Mojave のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212603

Apple
iOS 14.7 および iPadOS 14.7 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212601

Apple
macOS Big Sur 11.5.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212622

Apple
iOS 14.7.1 および iPadOS 14.7.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212623

【5】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/07/21/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 92.0.4515.107より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/07/stable-channel-update-for-desktop_20.html

【6】複数のアドビ製品に脆弱性

情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/07/21/adobe-releases-security-updates-multiple-products

概要
複数のアドビ製品には、脆弱性があります。結果として、第三者が影響を受け
るシステムを制御するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe Photoshop
- Adobe Audition
- Adobe Character Animator
- Adobe Prelude
- Adobe Premiere Pro
- Adobe After Effects
- Adobe Media Encoder

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021072601.html

アドビ
Adobe Photoshop に関するセキュリティアップデート公開 | APSB21-63
https://helpx.adobe.com/jp/security/products/photoshop/apsb21-63.html

アドビ
Adobe Audition に関するセキュリティアップデート公開 | APSB21-62
https://helpx.adobe.com/jp/security/products/audition/apsb21-62.html

アドビ
Adobe Character Animator に関するセキュリティアップデート公開 | APSB21-59
https://helpx.adobe.com/jp/security/products/character_animator/apsb21-59.html

アドビ
Adobe Prelude に関するセキュリティアップデート公開 | APSB21-58
https://helpx.adobe.com/jp/security/products/prelude/apsb21-58.html

アドビ
Adobe Premiere Pro に関するセキュリティアップデート公開 | APSB21-56
https://helpx.adobe.com/jp/security/products/premiere_pro/apsb21-56.html

アドビ
Adobe After Effects に関するセキュリティアップデート公開 | APSB21-54
https://helpx.adobe.com/jp/security/products/after_effects/apsb21-54.html

アドビ
Adobe Media Encoder に関するセキュリティアップデート公開 | APSB21-43
https://helpx.adobe.com/jp/security/products/media-encoder/apsb21-43.html

【7】Drupalのサードパーティライブラリに脆弱性

情報源
CISA Current Activity
Drupal Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/07/22/drupal-releases-security-updates

概要
Drupalが使用するライブラリは、圧縮されたファイルのシンボリックリンクを
確認しない脆弱性があります。結果として、第三者が影響を受けるシステムを
制御する可能性があります。

対象となるバージョンは次のとおりです。

- Drupal 9.2.2より前の9.2系のバージョン
- Drupal 9.1.11より前の9.1系のバージョン
- Drupal 8.9.17より前の8.9系のバージョン
- Drupal 7.82より前の7系のバージョン

なお、Drupal 8.9系より前の8系と9.1系より前の9系のバージョンも影響を受
けますが、サポートが終了しており、今回のセキュリティに関する情報は提供
されていません。

この問題は、Drupalが提供する修正済みのバージョンに更新することで解決し
ます。詳細は、Drupalが提供する情報を参照してください。

関連文書 (英語)
Drupal
Drupal core - Critical - Drupal core - Critical - Third-party libraries - SA-CORE-2021-004
https://www.drupal.org/sa-core-2021-004

【8】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/07/22/cisco-releases-security-updates

概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ
情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【9】Microsoft WindowsにシステムフォルダーのACL設定不備による権限昇格の脆弱性

情報源
CERT/CC Vulnerability Note VU#506989
Microsoft Windows gives unprivileged user access to system32\config files
https://kb.cert.org/vuls/id/506989

概要
Microsoft Windowsには、システムフォルダーにおいてACLが適切に設定されな
いことに起因する権限昇格の脆弱性があります。結果として、第三者がSYSTEM
権限で任意のコードを実行する可能性があります。

対象となる製品は次のとおりです。

- Windows Server 2004
- Windows Server 2019
- Windows 10

この問題について、マイクロソフト株式会社はワークアラウンドの実施を推奨
しています。詳しくはマイクロソフト株式会社が提供する情報を参照してくだ
さい。

関連文書 (日本語)
マイクロソフト株式会社
Windows Elevation of Privilege Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934

関連文書 (英語)
マイクロソフト株式会社
KB5005357- Delete Volume Shadow Copies
https://support.microsoft.com/en-us/topic/kb5005357-delete-volume-shadow-copies-1ceaa637-aaa3-4b58-a48b-baf72a2fa9e7

【10】Arcadyan製ソフトウェアを使用するルーターにディレクトリトラバーサルの脆弱性

情報源
CERT/CC Vulnerability Note VU#914124
Arcadyan-based routers and modems vulnerable to authentication bypass
https://kb.cert.org/vuls/id/914124

概要
Arcadyan製ソフトウェアを使用するルーターには、ディレクトリトラバーサル
の脆弱性があります。結果として、遠隔の第三者がルーターの設定を改ざんす
る可能性があります。

対象となる製品は次のとおりです。

- Arcadyan製ソフトウェアを使用するルーター

また、詳細についてはCERT/CCが提供する情報を参照してください。

この問題は、各機器のベンダーから提供される最新のファームウェアへアップ
デートするなどの対応を実施してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#92877673
Arcadyan製ソフトウェアを使用するルーターにディレクトリトラバーサルの脆弱性
https://jvn.jp/vu/JVNVU92877673/

【11】Minecraft Java Editionにディレクトリトラバーサルの脆弱性

情報源
Japan Vulnerability Notes JVN#53278122
Minecraft Java Edition におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN53278122/

概要
Minecraft Java Editionには、ディレクトリトラバーサルの脆弱性があります。
結果として、遠隔の第三者が、当該製品を使用しているシステム上の任意のJSON
ファイルを削除する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Minecraft 1.17およびそれ以前

この問題は、MinecraftをMojang Studiosが提供する修正済みのバージョンに
更新することで解決します。詳細は、Mojang Studiosが提供する情報を参照し
てください。

関連文書 (英語)
Mojang Studios
MINECRAFT 1.17.1 PRE-RELEASE 1
https://www.minecraft.net/en-us/article/minecraft-1-17-1-pre-release-1

【12】GroupSessionに複数の脆弱性

情報源
Japan Vulnerability Notes JVN#86026700
GroupSession における複数の脆弱性
https://jvn.jp/jp/JVN86026700/

概要
GroupSessionには、複数の脆弱性があります。結果として、遠隔の第三者が、
任意のスクリプト実行や、製品の設定変更をするなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- GroupSession 無料版 ver2.2.0からver5.1.0より前のバージョン
- GroupSession byCloud ver3.0.3からver5.1.0より前のバージョン
- GroupSession ZION ver3.0.3からver5.1.0より前のバージョン

この問題は、GroupSessionを日本トータルシステム株式会社が提供する修正済
みのバージョンに更新することで解決します。詳細は、日本トータルシステム
株式会社が提供する情報を参照してください。

関連文書 (日本語)
日本トータルシステム株式会社
GroupSessionにおける脆弱性に関して(2021-07)
https://groupsession.jp/info/info-news/security202107

【13】三菱電機製MELSEC FシリーズEthernetインタフェースブロックにNULLポインター参照の脆弱性

情報源
Japan Vulnerability Notes JVNVU#94348759
三菱電機製 MELSEC F シリーズ Ethernet インタフェースブロックにおける NULL ポインタ参照の脆弱性
https://jvn.jp/vu/JVNVU94348759/

概要
三菱電機製MELSEC FシリーズEthernetインタフェースブロックには、NULLポイン
ター参照の脆弱性があります。結果として、遠隔の第三者が当該機器をサービ
ス運用妨害 (DoS) 状態にする可能性があります。

対象となる製品およびバージョンは次のとおりです。

- FX3U-ENETファームウェアバージョン1.14 およびそれ以前
- FX3U-ENET-Lファームウェアバージョン1.14 およびそれ以前
- FX3U-ENET-P502ファームウェアバージョン1.14 およびそれ以前

この問題は、該当する製品を三菱電機株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、三菱電機株式会社が提供する情報を参
照してください。

関連文書 (日本語)
三菱電機株式会社
MELSEC FシリーズEthernetインタフェースブロックにおけるサービス拒否（DoS）の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-006.pdf

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○経済産業省および総務省が「DX時代における企業のプライバシーガバナンスガイドブックver1.1」を策定

2021年7月19日、経済産業省および総務省は「DX時代における企業のプライバ
シーガバナンスガイドブックver1.1」を策定しました。本ガイドブックは、企
業がプライバシーガバナンスの構築のために取り組むべきことを取りまとめて
おり、その実践にあたって、参考となる具体的事例を掲載しています。ver1.1
では、企業がプライバシーガバナンスを構築する上で参考となる具体的な事例
が更新されています。

参考文献 (日本語)
経済産業省
「DX時代における企業のプライバシーガバナンスガイドブックver1.1」を策定しました
https://www.meti.go.jp/press/2021/07/20210719001/20210715009.html