2021年7月21日 (水)

■07/11(日)~07/17(土) のセキュリティ関連情報

目 次

【1】複数のマイクロソフト製品に脆弱性
【2】複数のアドビ製品に脆弱性
【3】Google Chromeに複数の脆弱性
【4】複数のMozilla製品に脆弱性
【5】複数のVMware製品に脆弱性
【6】複数のCitrix製品に脆弱性
【7】複数のSAP製品に脆弱性
【8】SolarWinds Serv-Uにリモートコード実行の脆弱性
【9】複数のJuniper製品に脆弱性
【10】複数のIntel製品に脆弱性
【11】複数のCisco製品に脆弱性
【12】Access Managementに任意のコード実行の脆弱性
【13】Apache Tomcatに複数の脆弱性
【14】Kaseya VSAに複数の脆弱性
【15】複数のSonicWall製品を狙うランサムウェアキャンペーン
【16】InterScan Web Securityシリーズにクロスサイトスクリプティングの脆弱性
【17】光BBユニット E-WMTA2.3にクロスサイトリクエストフォージェリの脆弱性
【18】スマートフォンアプリ「Retty」に複数の脆弱性
【今週のひとくちメモ】ISMAP運営委員会が「ISMAP 管理基準マニュアル」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr212801.html
https://www.jpcert.or.jp/wr/2021/wr212801.xml
============================================================================


【1】複数のマイクロソフト製品に脆弱性

情報源
CISA Current Activity
Microsoft Releases July 2021 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/07/13/microsoft-releases-july-2021-security-updates

概要
複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はマイクロソフトが提供するアド
バイザリ情報を参照してください。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフトが提供する情報を参照してください。

関連文書 (日本語)
マイクロソフト株式会社
2021 年 7 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2021-Jul

JPCERT/CC 注意喚起
2021年7月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2021/at210031.html

【2】複数のアドビ製品に脆弱性

情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/07/13/adobe-releases-security-updates-multiple-products

概要
複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe Dimension
- Adobe Illustrator
- Adobe Framemaker
- Adobe Acrobat and Reader
- Adobe Bridge

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
Adobe AcrobatおよびReaderの脆弱性(APSB21-51)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210030.html

JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021071401.html

アドビ
Dimension に関するセキュリティアップデート公開 | APSB21-40
https://helpx.adobe.com/jp/security/products/dimension/apsb21-40.html

アドビ
Adobe Illustrator に関するセキュリティアップデート公開 | APSB21-42
https://helpx.adobe.com/jp/security/products/illustrator/apsb21-42.html

アドビ
Adobe FrameMaker に関するセキュリティアップデート公開 | APSB21-45
https://helpx.adobe.com/jp/security/products/framemaker/apsb21-45.html

アドビ
Adobe Bridge に関するセキュリティアップデート公開 | APSB21-53
https://helpx.adobe.com/jp/security/products/bridge/apsb21-53.html

関連文書 (英語)
アドビ
Security update available for Adobe Acrobat and Reader | APSB21-51
https://helpx.adobe.com/security/products/acrobat/apsb21-51.html

【3】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/07/16/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 91.0.4472.164より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/07/stable-channel-update-for-desktop.html

【4】複数のMozilla製品に脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox, Thunderbird
https://us-cert.cisa.gov/ncas/current-activity/2021/07/13/mozilla-releases-security-updates-firefox-thunderbird

概要
複数のMozilla製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 90より前のバージョン
- Mozilla Firefox ESR 78.12より前のバージョン
- Mozilla Thunderbird 78.12より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 90
https://www.mozilla.org/en-US/security/advisories/mfsa2021-28/

Mozilla
Security Vulnerabilities fixed in Firefox ESR 78.12
https://www.mozilla.org/en-US/security/advisories/mfsa2021-29/

Mozilla
Security Vulnerabilities fixed in Thunderbird 78.12
https://www.mozilla.org/en-US/security/advisories/mfsa2021-30/

【5】複数のVMware製品に脆弱性

情報源
CISA Current Activity
VMware Releases Security Update
https://us-cert.cisa.gov/ncas/current-activity/2021/07/13/vmware-releases-security-update

概要
複数のVMware製品には、脆弱性があります。結果として、遠隔の第三者が、認
証を回避したり、サービス運用妨害(DoS)攻撃を行ったりするなどの可能性
があります。

対象となる製品およびバージョンは次のとおりです。

- VMware ESXi 7.0
- VMware ESXi 6.7
- VMware ESXi 6.5
- Cloud Foundation(ESXi)4系
- Cloud Foundation(ESXi)3系
- VMware ThinApp 5系

この問題は、VMwareが提供するパッチを適用することで解決します。パッチ未
提供の製品は、回避策を適用することで本脆弱性の影響を軽減できます。詳細
は、VMwareが提供する情報を参照してください。

関連文書 (英語)
VMware Security Advisories
VMSA-2021-0014
https://www.vmware.com/security/advisories/VMSA-2021-0014.html

VMware Security Advisories
VMSA-2021-0015
https://www.vmware.com/security/advisories/VMSA-2021-0015.html

【6】複数のCitrix製品に脆弱性

情報源
CISA Current Activity
Citrix Releases Security Updates for Virtual Apps and Desktops
https://us-cert.cisa.gov/ncas/current-activity/2021/07/13/citrix-releases-security-updates-virtual-apps-and-desktops

概要
複数のCitrix製品には、脆弱性があります。結果として、Citrix Profile
ManagementもしくはCitrix Profile ManagementWMIプラグインがインストール
されたWindows VDAのユーザーが、SYSTEM権限を取得する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Citrix Virtual Apps and Desktops 2106およびそれ以前
- Citrix Virtual Apps and Desktops 1912 LTSR CU3およびそれ以前
- Citrix XenApp / XenDesktop 7.15 LTSR CU7およびそれ以前

この問題は、Citrixが提供する修正済みのバージョンに更新することで解決し
ます。詳細は、Citrixが提供する情報を参照してください。

関連文書 (英語)
Citrix
Citrix Virtual Apps and Desktops Security Update
https://support.citrix.com/article/CTX319750

【7】複数のSAP製品に脆弱性

情報源
CISA Current Activity
SAP Releases July 2021 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/07/13/sap-releases-july-2021-security-updates

概要
複数のSAP製品には、脆弱性があります。結果として、遠隔の第三者がサービ
ス運用妨害(DoS)攻撃を行うなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はSAPが提供するアドバイザリ情
報を参照してください。

この問題は、該当する製品をSAPが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、SAPが提供する情報を参照してください。

関連文書 (英語)
SAP
SAP Security Patch Day July 2021
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=580617506

【8】SolarWinds Serv-Uにリモートコード実行の脆弱性

情報源
CISA Current Activity
SolarWinds Releases Advisory for Serv-U Vulnerability
https://us-cert.cisa.gov/ncas/current-activity/2021/07/13/solarwinds-releases-advisory-serv-u-vulnerability

概要
SolarWindsが提供するServ-Uには、リモートコード実行の脆弱性があります。
結果として、遠隔の第三者が任意のコードを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Serv-U 15.2.3 HF2より前のバージョン

この問題は、該当する製品をSolarWindsが提供する修正済みのバージョンに更
新することで解決します。詳細は、SolarWindsが提供する情報を参照してくだ
さい。

関連文書 (英語)
SolarWinds
Serv-U Remote Memory Escape Vulnerability
https://www.solarwinds.com/trust-center/security-advisories/cve-2021-35211

【9】複数のJuniper製品に脆弱性

情報源
CISA Current Activity
Juniper Networks Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/07/15/juniper-networks-releases-security-updates-multiple-products

概要
複数のJuniper製品には、脆弱性があります。結果として、第三者がサービス
運用妨害(DoS)攻撃を行うなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はJuniperが提供するアドバイザ
リ情報を参照してください。

この問題は、該当する製品をJuniperが提供する修正済みのバージョンに更新
することで解決します。詳細は、Juniperが提供する情報を参照してください。


関連文書 (英語)
Juniper Networks
Security Advisories
https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES

【10】複数のIntel製品に脆弱性

情報源
Japan Vulnerability Notes JVNVU#96708815
Intel製BIOSのテスト設計機能に権限昇格の脆弱性
https://jvn.jp/vu/JVNVU96708815/

概要
複数のIntel製品には脆弱性があります。結果として、ローカル環境からアク
セス可能な特権ユーザーが権限昇格する可能性があります。

対象となる製品は、多岐にわたります。詳細は、Intelが提供する情報を参照
してください。

関連文書 (英語)
Intel
Intel BSSA DFT Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00525.html

【11】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/07/16/cisco-releases-security-updates

概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害(DoS)攻撃を行う可能性があります。

対象となる製品は次のとおりです。

- Firepower 2100 Series
- Firepower NGFW Virtual
- Adaptive Security Virtual Appliance (ASAv)

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Adaptive Security Appliance Software Release 9.16.1 and Cisco Firepower Threat Defense Software Release 7.0.0 IPsec Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-ftd-ipsec-dos-TFKQbgWC

【12】Access Managementに任意のコード実行の脆弱性

情報源
CISA Current Activity
Critical ForgeRock Access Management Vulnerability
https://us-cert.cisa.gov/ncas/current-activity/2021/07/12/critical-forgerock-access-management-vulnerability

概要
ForgeRockが提供するAccess Managementには、脆弱性があります。結果として、
遠隔の第三者が任意のコードを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Access Management(AM)6.5.3およびそれ以前の6.5系
- Access Management(AM)6.0.0系

また、サポートの終了したバージョンも本脆弱性の影響を受ける可能性がある
とのことです。

ForgeRockが提供する7系のバージョン以降では脆弱性が解消されています。詳
細は、ForgeRockが提供する情報を参照してください。

関連文書 (英語)
ForgeRock
AM Security Advisory #202104
https://backstage.forgerock.com/knowledge/kb/article/a47894244

【13】Apache Tomcatに複数の脆弱性

情報源
CISA Current Activity
Apache Releases Security Advisory for Tomcat
https://us-cert.cisa.gov/ncas/current-activity/2021/07/13/apache-releases-security-advisory-tomcat

Japan Vulnerability Notes JVNVU#91880022
Apache Tomcatにおける複数の脆弱性
https://jvn.jp/vu/JVNVU91880022/

概要
Apache Tomcatには、複数の脆弱性があります。結果として、遠隔の第三者が
サービス運用妨害(DoS)攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- Apache Tomcat 10.0.0-M1から10.0.6まで
- Apache Tomcat 9.0.0.M1から9.0.46まで
- Apache Tomcat 8.5.0から8.5.66まで
- Apache Tomcat 7.0.0から7.0.108まで

この問題は、該当する製品をThe Apache Software Foundationが提供する修正
済みのバージョンに更新することで解決します。詳細は、The Apache Software
Foundationが提供する情報を参照してください。

関連文書 (英語)
The Apache Software Foundation
Fixed in Apache Tomcat 10.0.7
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.7

The Apache Software Foundation
Fixed in Apache Tomcat 9.0.48
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.48

The Apache Software Foundation
Fixed in Apache Tomcat 8.5.68
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.68

The Apache Software Foundation
Fixed in Apache Tomcat 7.0.109
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.109

【14】Kaseya VSAに複数の脆弱性

情報源
CISA Current Activity
Kaseya Provides Security Updates for VSA On-Premises Software Vulnerabilities
https://us-cert.cisa.gov/ncas/current-activity/2021/07/12/kaseya-provides-security-updates-vsa-premises-software

概要
Kaseya VSAには、複数の脆弱性があります。結果として、遠隔の第三者が、認
証情報を窃取したり、Webブラウザー上で任意のスクリプトを実行したりする
などの可能性があります。

対象となるバージョンは次のとおりです。

- Kaseya VSA 9.5.7aより前のバージョン

この問題は、該当する製品をKaseyaが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Kaseyaが提供する情報を参照してください。

関連文書 (英語)
Kaseya
Release Notes
https://helpdesk.kaseya.com/hc/en-gb/sections/360001193517-Release-Notes

【15】複数のSonicWall製品を狙うランサムウェアキャンペーン

情報源
CISA Current Activity
Ransomware Risk in Unpatched, EOL SonicWall SRA and SMA 8.x Products
https://us-cert.cisa.gov/ncas/current-activity/2021/07/15/ransomware-risk-unpatched-eol-sonicwall-sra-and-sma-8x-products

概要
複数のSonicWall製品の既知の脆弱性を狙ったランサムウェアキャンペーンが
確認されています。

対象となる製品は、多岐にわたります。詳細はSonicWallが提供するアドバイ
ザリ情報を参照してください。

該当する製品のうちサポート対象の製品はSonicWallが提供する修正済みのバー
ジョンに更新してください。EOL製品は代替品への置き換えを検討してくださ
い。

関連文書 (英語)
SonicWall
Urgent Security Notice: Critical Risk to Unpatched End-of-Life SRA & SMA 8.x Remote Access Devices
https://www.sonicwall.com/support/product-notification/urgent-security-notice-critical-risk-to-unpatched-end-of-life-sra-sma-8-x-remote-access-devices/210713105333210/

【16】InterScan Web Securityシリーズにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVNVU#94115268
トレンドマイクロ製 InterScan Web Security シリーズにおけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/vu/JVNVU94115268/

概要
トレンドマイクロ株式会社が提供するInterScan Web Securityシリーズには、
クロスサイトスクリプティングの脆弱性があります。結果として、遠隔の第三
者が、当該製品が動作するWebブラウザー上で任意のスクリプトを実行する可
能性があります。

対象となるバージョンは次のとおりです。

- InterScan Web Security Virtual Appliance 6.5
- InterScan Web Security Suite 6.5 Linux版

この問題は、該当する製品をトレンドマイクロ株式会社が提供するパッチを適
用することで解決します。詳細は、トレンドマイクロ株式会社が提供する情報
を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ:InterScan Web Securityシリーズにおけるキャプティブポータル機能の脆弱性について
https://success.trendmicro.com/jp/solution/000286587

【17】光BBユニット E-WMTA2.3にクロスサイトリクエストフォージェリの脆弱性

情報源
Japan Vulnerability Notes JVN#34364599
光BBユニット E-WMTA2.3 におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN34364599/

概要
ソフトバンク株式会社が提供する光BBユニット E-WMTA2.3には、クロスサイト
リクエストフォージェリの脆弱性があります。結果として、当該製品にログイ
ンした状態のユーザーが、細工されたページにアクセスした場合、意図しない
操作をさせられる可能性があります。

対象となる製品は次のとおりです。

- 光BBユニット E-WMTA2.3

この問題は、2020年12月にリリースされたファームウェアへのアップデートが
自動的に適用されることで解決します。詳細は、ソフトバンク株式会社が提供
する情報を参照してください。

関連文書 (日本語)
ソフトバンク株式会社
SoftBankからの情報
https://jvn.jp/jp/JVN34364599/397327/

【18】スマートフォンアプリ「Retty」に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#26891339
スマートフォンアプリ「Retty」における複数の脆弱性
https://jvn.jp/jp/JVN26891339/

概要
スマートフォンアプリ「Retty」には、複数の脆弱性があります。結果として、
遠隔の第三者によって、当該製品を経由し任意のWebサイトにアクセスさせら
れたり、アプリ内のデータを解析され、外部サービスと連携するためのAPIキー
が不正に窃取されたりする可能性があります。

対象となるバージョンは次のとおりです。

- Androidアプリ「Retty」バージョン4.8.13より前のバージョン
- iOSアプリ「Retty」バージョン4.11.14より前のバージョン

この問題は、当該アプリをRetty株式会社が提供する修正済みのバージョンに
更新することで解決します。詳細は、Retty株式会社が提供する情報を参照し
てください。

関連文書 (日本語)
Retty株式会社
「Retty」のアプリで発生した不具合に関するお詫びと対応完了に関するご報告(最新版へのアップデートをお願いします)
https://drive.google.com/file/d/1PBYqIsK8QxEEhGJ4SEgpY7iZw3RTTDho/view


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○ISMAP運営委員会が「ISMAP 管理基準マニュアル」を公開

2021年7月12日、ISMAP運営委員会は「ISMAP 管理基準マニュアル」を公開しま
した。当マニュアルは、クラウドサービス事業者がISMAPクラウドサービスリ
ストへの登録を行うにあたり、クラウドサービスに対するセキュリティ対策の
進め方および管理基準の理解の一助となるよう、「ISMAP 管理基準」の補足資
料の位置付けとして公開されました。

参考文献 (日本語)
ISMAP運営委員会
ISMAP 管理基準マニュアル
https://www.ismap.go.jp/sys_attachment.do?sys_id=90eee16c1b5d701013a78665cc4bcbf8

2021年7月14日 (水)

■07/04(日)~07/10(土) のセキュリティ関連情報

目 次

【1】複数のCisco製品に脆弱性
【2】トレンドマイクロ製パスワードマネージャーに複数の脆弱性
【3】エレコム製ルーターに認証不備およびOSコマンドインジェクションの脆弱性
【4】GitLabに任意のファイルを読み取り可能な脆弱性
【5】複数のWordPress用プラグインにクロスサイトリクエストフォージェリの脆弱性
【6】Androidアプリ「ジーユー」にアクセス制限不備の脆弱性
【7】株式会社A-Stage製SCT-40CM01SRおよびAT-40CM01SRに認証不備の脆弱性
【8】EverythingにHTTPヘッダーインジェクションの脆弱性
【今週のひとくちメモ】JPCERT/CCが「2021年4月から6月を振り返って」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr212701.html
https://www.jpcert.or.jp/wr/2021/wr212701.xml
============================================================================


【1】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/07/08/cisco-releases-security-updates-multiple-products

概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が権限
を昇格するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ
情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【2】トレンドマイクロ製パスワードマネージャーに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#93149000
トレンドマイクロ製パスワードマネージャーにおける複数の脆弱性
https://jvn.jp/vu/JVNVU93149000/

概要
トレンドマイクロ製パスワードマネージャーには、複数の脆弱性があります。
結果として、第三者が権限昇格を行う可能性があります。

対象となるバージョンは次のとおりです。

- パスワードマネージャー 5.x Windows 版(5.0.0.1223 より前のバージョン)

この問題は、当該製品をトレンドマイクロ株式会社が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、トレンドマイクロ株式会社が提
供する情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラートアドバイザリ:パスワードマネージャーの脆弱性について (CVE-2021-32461, CVE-2021-32462)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10392

【3】エレコム製ルーターに認証不備およびOSコマンドインジェクションの脆弱性

情報源
Japan Vulnerability Notes JVNVU#94260088
エレコム製ルータにおける認証不備およびOSコマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU94260088/

概要
エレコム株式会社が提供する複数のルーター製品には、認証不備およびOSコマン
ドインジェクションの脆弱性があります。結果として、隣接するネットワーク
上の第三者が、機器内の機微な情報を窃取するなどの可能性があります。

対象となる製品は次のとおりです。

- WRC-1167FS-W
- WRC-1167FS-B
- WRC-300FEBK
- WRC-F300NF
- WRC-733FEBK
- WRH-300RD
- WRH-300BK
- WRH-300SV
- WRH-300WH
- WRH-H300WH
- WRH-H300BK
- WRC-1167FSA
- WRH-300BK-S
- WRH-300WH-S

この問題について、エレコム株式会社は後継製品への移行やワークアラウンド
の実施を推奨しています。詳細は、エレコム株式会社が提供する情報を参照し
てください。

関連文書 (日本語)
エレコム株式会社
無線LANルーターなどネットワーク製品の一部における脆弱性に関して
https://www.elecom.co.jp/news/security/20210706-01/

【4】GitLabに任意のファイルを読み取り可能な脆弱性

情報源
GitLab
GitLab Critical Security Release: 14.0.4, 13.12.8, and 13.11.7
https://about.gitlab.com/releases/2021/07/07/critical-security-release-gitlab-14-0-4-released/

概要
GitLabには、任意のファイルを読み取り可能な脆弱性があります。結果として、
第三者がサーバー上の任意のファイルを窃取する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- GitLab Community EditionおよびEnterprise Edition 14.0.4より前の14.0系バージョン
- GitLab Community EditionおよびEnterprise Edition 13.12.8より前の13.12系バージョン
- GitLab Community EditionおよびEnterprise Edition 13.11.7より前の13.11系バージョン

この問題は、該当する製品をGitLabが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、GitLabが提供する情報を参照してください。

【5】複数のWordPress用プラグインにクロスサイトリクエストフォージェリの脆弱性

情報源
Japan Vulnerability Notes JVN#91372527
WordPress 用プラグイン WPCS - WordPress Currency Switcher におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN91372527/

Japan Vulnerability Notes JVN#42880365
WordPress 用プラグイン WordPress Email Template Designer - WP HTML Mail におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN42880365/

Japan Vulnerability Notes JVN#89054582
WordPress 用プラグイン Software License Manager におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN89054582/

概要
複数のWordPress用プラグインには、クロスサイトリクエストフォージェリの
脆弱性があります。結果として、当該製品に管理者権限でログインした状態の
ユーザーが、細工されたページにアクセスした場合、意図しない操作をさせら
れる可能性があります。

対象となる製品およびバージョンは次のとおりです。

- WPCS - WordPress Currency Switcher 1.1.6およびそれ以前
- WordPress Email Template Designer - WP HTML Mail 3.0.8より前のバージョン
- Software License Manager 4.4.6より前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
realmag777
WPCS - WordPress Currency Switcher
https://wordpress.org/plugins/currency-switcher/

codemiq
WordPress Email Template Designer - WP HTML Mail
https://wordpress.org/plugins/wp-html-mail/

Tips and Tricks HQ
Software License Manager
https://wordpress.org/plugins/software-license-manager/

【6】Androidアプリ「ジーユー」にアクセス制限不備の脆弱性

情報源
Japan Vulnerability Notes JVN#25850723
Android アプリ「ジーユー」におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN25850723/

概要
Androidアプリ「ジーユー」には、アクセス制限不備の脆弱性があります。結
果として、遠隔の第三者が当該製品を経由して、ユーザーを任意のウェブサイ
トにアクセスさせる可能性があります。

対象となるバージョンは次のとおりです。

- Androidアプリ「ジーユー」バージョン4.8.0から5.0.2まで

この問題は、当該製品を株式会社ジーユーが提供する修正済みのバージョンに
更新することで解決します。詳細は、株式会社ジーユーが提供する情報を参照
してください。

関連文書 (日本語)
株式会社ジーユー
株式会社ジーユーからの情報
https://jvn.jp/jp/JVN25850723/996415/

【7】株式会社A-Stage製SCT-40CM01SRおよびAT-40CM01SRに認証不備の脆弱性

情報源
Japan Vulnerability Notes JVN#21636825
株式会社A-Stage 製 SCT-40CM01SR および AT-40CM01SR における認証不備の脆弱性
https://jvn.jp/jp/JVN21636825/

概要
株式会社A-Stageが提供するSCT-40CM01SRおよびAT-40CM01SRには、認証不備の
脆弱性があります。結果として、当該製品にアクセス可能な第三者が、認証な
しでtelnetログインし、任意のコマンドを実行する可能性があります。

対象となる製品は次のとおりです。

- SCT-40CM01SRおよびAT-40CM01SR

なお、開発者によると、任意のコマンドが実行されても、製品の機能に関する
プログラムは変更・削除できないとのことです。

この問題は、当該製品を株式会社A-Stageが提供する修正済みのバージョンに
更新することで解決します。開発者によると、アップデートには修理対応が必
要とのことです。詳細は開発者のサポート窓口にご連絡ください。

関連文書 (日本語)
株式会社A-Stage
株式会社A-Stageからの情報
https://jvn.jp/jp/JVN21636825/996347/

【8】EverythingにHTTPヘッダーインジェクションの脆弱性

情報源
Japan Vulnerability Notes JVN#68971465
Everything における HTTP ヘッダインジェクションの脆弱性
https://jvn.jp/jp/JVN68971465/

概要
voidtoolsが提供するEverythingには、HTTPヘッダーインジェクションの脆弱
性があります。結果として、当該製品を使用しているサイトにアクセスしたユー
ザーのウェブブラウザー上で、表示されるページが改ざんされたり任意のスク
リプトが実行されたりする可能性があります。

対象となるバージョンは次のとおりです。

- Everything Liteバージョン以外のすべてのバージョン

この問題について、開発者は、本脆弱性の影響を受けるHTTPサーバーを含まな
いEverything Liteバージョンの使用を推奨しています。

関連文書 (英語)
voidtools
Download Everything
https://www.voidtools.com/downloads/


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CCが「2021年4月から6月を振り返って」を公開

2021年7月8日、JPCERT/CCは「2021年4月から6月を振り返って」を公開しまし
た。2021年4月以降に確認された影響範囲の広い脆弱性情報や脅威情報など
をまとめました。

前四半期に引き続き、2021年4月から6月にかけてもSSL-VPN製品の脆弱性の悪
用に関する報告が寄せられ、オープンソースのCMSであるEC-CUBEの脆弱性を悪
用した攻撃が観測されています。自組織の対応状況の確認にご活用ください。

参考文献 (日本語)
JPCERT/CC CyberNewsFlash
2021年4月から6月を振り返って
https://www.jpcert.or.jp/newsflash/2021070801.html

2021年7月 7日 (水)

■06/27(日)~07/03(土) のセキュリティ関連情報

目 次

【1】Windows印刷スプーラーのリモートコード実行の脆弱性
【2】EC-CUBEにアクセス制限不備の脆弱性
【3】boastMachineにクロスサイトスクリプティングの脆弱性
【4】IKaIKa RSSリーダーにクロスサイトスクリプティングの脆弱性
【5】三菱電機製空調管理システムのWEB機能に認証アルゴリズムの不適切な実装に関する脆弱性
【6】三菱電機製空調管理システムにXML外部実体参照(XXE)の不適切な制限に関する脆弱性
【今週のひとくちメモ】金融庁が「ゼロトラストの現状調査と事例分析に関する調査報告書」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr212601.html
https://www.jpcert.or.jp/wr/2021/wr212601.xml
============================================================================


【1】Windows印刷スプーラーのリモートコード実行の脆弱性

情報源
CERT/CC Vulnerability Note VU#383432
Microsoft Windows Print Spooler allows for RCE via AddPrinterDriverEx()
https://www.kb.cert.org/vuls/id/383432

概要
Microsoft WindowsのPrint Spoolerサービスには、アクセス制限の不備に起因
したリモートコード実行の脆弱性があります。その結果、遠隔の第三者がSYSTEM
権限で任意のコードを実行する可能性があります。

対象となる製品は次のとおりです。

- Windows Server 2008
- Windows Server 2008 R2
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Windows Server
- Windows 7
- Windows 8.1
- Windows RT 8.1
- Windows 10

この問題は、マイクロソフト株式会社が提供する更新プログラムを適用するこ
とで解決します。詳しくはマイクロソフト株式会社が提供する情報を参照して
ください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#96262037
Microsoft Windowsの印刷スプーラーにリモートコード実行の脆弱性
https://jvn.jp/vu/JVNVU96262037/

関連文書 (英語)
マイクロソフト株式会社
Windows Print Spooler Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

マイクロソフト株式会社
KB5005010: Restricting installation of new printer drivers after applying the July 6, 2021 updates
https://support.microsoft.com/en-US/topic/kb5005010-restricting-installation-of-new-printer-drivers-after-applying-the-july-6-2021-updates-31b91c02-05bc-4ada-a7ea-183b129578a7

【2】EC-CUBEにアクセス制限不備の脆弱性

情報源
Japan Vulnerability Notes JVN#57942445
EC-CUBE におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN57942445/

概要
EC-CUBEには、アクセス制限不備の脆弱性があります。結果として、遠隔の第
三者が機微な情報を取得する可能性があります。

対象となるバージョンは次のとおりです。

- EC-CUBE 4.0.6(EC-CUBE 4系)

この問題は、株式会社イーシーキューブが提供する修正済みのバージョンに更
新するか、パッチを適用することで解決します。詳細は、株式会社イーシーキュー
ブが提供する情報を参照してください。

関連文書 (日本語)
株式会社イーシーキューブ
EC-CUBE 4.0.6 におけるアクセス制限不備の脆弱性
https://www.ec-cube.net/info/weakness/weakness.php?id=80

【3】boastMachineにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#65660590
boastMachine におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN65660590/

概要
boastMachineには、クロスサイトスクリプティングの脆弱性があります。結果
として、遠隔の第三者が、当該製品を使用しているサイトにアクセスしたユー
ザーのWebブラウザー上で、任意のスクリプトを実行する可能性があります。

対象となるバージョンは次のとおりです。

- boastMachineすべてのバージョン

当該製品のサポートはすでに終了しています。当該製品の使用を停止してくだ
さい。

関連文書 (英語)
knadh
boastmachine
https://github.com/knadh/boastmachine

【4】IKaIKa RSSリーダーにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#15185184
IKaIKa RSSリーダーにおけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN15185184/

概要
IKaIKa RSSリーダーには、クロスサイトスクリプティングの脆弱性があります。
結果として、遠隔の第三者が、当該製品が動作するWebブラウザー上で任意の
スクリプトを実行する可能性があります。

対象となるバージョンは次のとおりです。

- IKaIKa RSSリーダーすべてのバージョン

当該製品のサポートはすでに終了しています。当該製品の使用を停止してくだ
さい。

【5】三菱電機製空調管理システムのWEB機能に認証アルゴリズムの不適切な実装に関する脆弱性

情報源
Japan Vulnerability Notes JVNVU#96046575
三菱電機製空調管理システムの WEB 機能における認証アルゴリズムの不適切な実装に関する脆弱性
https://jvn.jp/vu/JVNVU96046575/

概要
三菱電機製空調管理システムのWEB機能には、認証アルゴリズムの不適切な実
装に関する脆弱性があります。結果として、当該製品のWEB機能にログイン可
能な遠隔の第三者が、当該空調管理システムの運転操作や設定情報を改ざんす
るなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- G-50 Ver.2.50から3.35まで
- G-50-W Ver.2.50から3.35まで
- GB-50 Ver.2.50から3.35まで
- G-150AD Ver.3.20およびそれ以前
- GB-50AD Ver.3.20およびそれ以前
- AE-200J Ver.7.93およびそれ以前
- AE-50J Ver.7.93およびそれ以前
- EW-50J Ver.7.93およびそれ以前
- PAC-YG50EC Ver.2.20およびそれ以前

この問題は、三菱電機株式会社が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、三菱電機株式会社が提供する情報を参照してくださ
い。

関連文書 (日本語)
三菱電機株式会社
空調管理システムのWEB機能における権限昇格の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-004.pdf

三菱電機エンジニアリング株式会社
CB型空調システム制御ボックスにおける権限昇格の脆弱性
http://www.mee.co.jp/psirt/vulnerability/pdf/2021-001.pdf

【6】三菱電機製空調管理システムにXML外部実体参照(XXE)の不適切な制限に関する脆弱性

情報源
Japan Vulnerability Notes JVNVU#93086468
三菱電機製空調管理システムにおける XML 外部実体参照 (XXE) の不適切な制限に関する脆弱性
https://jvn.jp/vu/JVNVU93086468/

概要
三菱電機製空調管理システムには、XML外部実体参照(XXE)の不適切な制限に
関する脆弱性があります。結果として、遠隔の第三者が、当該機器内部の一部
の情報を窃取したり、当該機器がサービス運用妨害(DoS)状態になったりす
る可能性があります。

対象となる製品およびバージョンは次のとおりです。

- G-50 Ver.3.35およびそれ以前
- G-50-W Ver.3.35およびそれ以前
- GB-50 Ver.3.35およびそれ以前
- G-150AD Ver.3.20およびそれ以前
- GB-50AD Ver.3.20およびそれ以前
- AE-200J Ver.7.93およびそれ以前
- AE-50J Ver.7.93およびそれ以前
- EW-50J Ver.7.93およびそれ以前
- PAC-YG50EC Ver.2.20およびそれ以前
- PAC-YW01BAC Ver.5.13およびそれ以前
- PAC-YW51BAC Ver.8.11およびそれ以前

この問題は、三菱電機株式会社が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、三菱電機株式会社が提供する情報を参照してくださ
い。

関連文書 (日本語)
三菱電機株式会社
空調管理システムにおける情報漏えい等の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-005.pdf

三菱電機エンジニアリング株式会社
CB型空調システム制御ボックスにおける情報漏えい等の脆弱性
http://www.mee.co.jp/psirt/vulnerability/pdf/2021-002.pdf


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○金融庁が「ゼロトラストの現状調査と事例分析に関する調査報告書」を公開

2021年6月30日、金融庁は「ゼロトラストの現状調査と事例分析に関する調査
報告書」を公開しました。本報告書は、ゼロトラストセキュリティモデルにつ
いて、国内・海外金融機関および国内企業における採用に向けた検討や取り組
みの事例などを調査しています。セキュリティ・アーキテクチャーの見直しや
高度化を行う上でのヒントとなるポイントや、ゼロトラストセキュリティモデ
ルの適用を進める上での考え方の考察を実施しています。

参考文献 (日本語)
金融庁
「ゼロトラストの現状調査と事例分析に関する調査報告書」の公表について
https://www.fsa.go.jp/common/about/research/20210630.html

2021年6月30日 (水)

■06/20(日)~06/26(土) のセキュリティ関連情報

目 次

【1】複数のVMware製品に脆弱性
【2】Citrix Hypervisorに複数の脆弱性
【3】EC-CUBEにクロスサイトスクリプティングの脆弱性
【4】WordPress用プラグインWordPress Popular Postsにクロスサイトスクリプティングの脆弱性
【5】WordPress用プラグイン「不動産プラグイン」シリーズにクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】日本発のIoT製品・システムを安全に実装するための国際規格について

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr212501.html
https://www.jpcert.or.jp/wr/2021/wr212501.xml
============================================================================


【1】複数のVMware製品に脆弱性

情報源
CISA Current Activity
VMware Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/06/23/vmware-releases-security-updates

概要
複数のVMware製品には、脆弱性があります。結果として、第三者が認証を経ず
に管理者権限を取得したり、管理者権限でコードを実行したりする可能性があ
ります。

対象となる製品およびバージョンは次のとおりです。
- VMware Carbon Black App Control 8.6.2より前のバージョン
- VMware Carbon Black App Control 8.5.8より前のバージョン
- VMware Carbon Black App Control 8.1系のバージョン
- VMware Carbon Black App Control 8.0系のバージョン
- VMware Tools for Windows 11.2.6より前のバージョン
- VMware Remote Console for Windows (VMRC for Windows) 12.0.1より前のバージョン
- VMware App Volumes for Windows 4系 2103より前のバージョン
- VMware App Volumes for Windows 2.18.10より前のバージョン

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、VMwareが提供する情報を参照してください。

関連文書 (英語)
VMware
VMSA-2021-0012
https://www.vmware.com/security/advisories/VMSA-2021-0012.html

VMware
VMSA-2021-0013
https://www.vmware.com/security/advisories/VMSA-2021-0013.html

【2】Citrix Hypervisorに複数の脆弱性

情報源
CISA Current Activity
Citrix Releases Security Updates for Hypervisor
https://us-cert.cisa.gov/ncas/current-activity/2021/06/25/citrix-releases-security-updates-hypervisor

概要
Citrix Hypervisorには、複数の脆弱性があります。結果として、第三者がサー
ビス運用妨害(DoS)攻撃を行う可能性があります。

対象となるバージョンは次のとおりです。

- Citrix Hypervisor 8.2 LTSR

この問題は、Citrixが提供する修正済みのバージョンに更新することで解決し
ます。詳細は、Citrixが提供する情報を参照してください。

関連文書 (英語)
Citrix
Citrix Hypervisor Security Update
https://support.citrix.com/article/CTX316325

【3】EC-CUBEにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#95292458
EC-CUBE における複数のクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN95292458/

概要
EC-CUBEには、クロスサイトスクリプティングの脆弱性があります。結果とし
て、遠隔の第三者が、管理者またはユーザーを細工したページに誘導し、特定
の操作を実行させることにより、管理者またはユーザーのWebブラウザー上で
任意のスクリプトを実行する可能性があります。

対象となるバージョンは次のとおりです。

- EC-CUBE 3.0.0から3.0.18-p2まで(EC-CUBE 3系)
- EC-CUBE 4.0.0から4.0.5-p1まで(EC-CUBE 4系)

この問題は、EC-CUBEを株式会社イーシーキューブが提供するアップデートや
パッチを適用することで解決します。詳細は、株式会社イーシーキューブが提
供する情報を参照してください。


関連文書 (日本語)
株式会社イーシーキューブ
EC-CUBE3.0におけるクロスサイトスクリプティングの脆弱性(JVN#95292458)
https://www.ec-cube.net/info/weakness/weakness.php?id=79

株式会社イーシーキューブ
EC-CUBE4.0におけるクロスサイトスクリプティングの脆弱性(JVN#95292458)
https://www.ec-cube.net/info/weakness/weakness.php?id=78

【4】WordPress用プラグインWordPress Popular Postsにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#63066062
WordPress 用プラグイン WordPress Popular Posts におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN63066062/

概要
WordPress用プラグインWordPress Popular Postsには、クロスサイトスクリプ
ティングの脆弱性があります。結果として、遠隔の第三者が、管理者権限を持
つユーザーのWebブラウザー上でスクリプトを実行する可能性があります。

対象となるバージョンは次のとおりです。

- WordPress Popular Posts 5.3.2およびそれ以前のバージョン

この問題は、本プラグインを開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
Word Press
WordPress Popular Posts
https://wordpress.org/plugins/wordpress-popular-posts/

【5】WordPress用プラグイン「不動産プラグイン」シリーズにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#93799513
WordPress 用プラグイン「不動産プラグイン」シリーズにおけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN93799513/

概要
WordPress用プラグイン「不動産プラグイン」シリーズの一部製品には、クロ
スサイトスクリプティングの脆弱性があります。結果として、遠隔の第三者が、
当該製品を使用しているサイトにアクセスしたユーザーのWebブラウザー上で、
任意のスクリプトを実行する可能性があります。

対象となるバージョンは次のとおりです。

- 不動産プラグイン(本体) ver5.7.0およびそれ以前のバージョン
- 不動産プラグインPro シングルユーザ ver5.7.0およびそれ以前のバージョン
- 不動産プラグインPro マルチユーザ ver5.7.0およびそれ以前のバージョン

この問題は、本プラグインを開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
nendeb biz Market
不動産プラグインシリーズ 6月のバージョンアップと脆弱性の対応を行いました
https://www.nendeb-biz.jp/2021-0617-1200/


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○日本発のIoT製品・システムを安全に実装するための国際規格について

日本からISO/IEC JTC 1/SC 41に提案していた、「ISO/IEC 30147:2021
Internet of Things (IoT) - Integration of IoT trustworthiness
activities in ISO/IEC/IEEE 15288 system engineering processes」が国際
標準規格として成立し、2021年5月に出版されました。

ISO/IEC 30147は、IoT製品やサービスにおけるトラストワージネスの実装・保
守のためのシステムライフサイクルプロセスを提供するものであり、一般的な
システムライフサイクルプロセスの国際規格ISO/IEC/IEEE 15288:2015を適用
・補完する内容となっています。

規格提案の背景や規格の内容について、経済産業省や独立行政法人情報処理推
進機構(IPA)が紹介しています。

参考文献 (日本語)
経済産業省
IoT製品・システムを安全に実装するための国際規格が発行されました
https://www.meti.go.jp/press/2021/06/20210621004/20210621004.html

独立行政法人 情報処理推進機構
IoT製品・サービスにセーフティ・セキュリティ等を実装するプロセスが国際標準として出版 ~日本提案の規格が国際標準化団体ISO/IECにて出版~
https://www.ipa.go.jp/ikc/info/20210621.html

参考文献 (英語)
国際電気標準会議(IEC)
ISO/IEC 30147:2021
https://webstore.iec.ch/publication/62644

2021年6月23日 (水)

■06/13(日)~06/19(土) のセキュリティ関連情報

目 次

【1】複数のEC-CUBE 3.0系用プラグインに複数のクロスサイトスクリプティングの脆弱性
【2】GROWIに複数の脆弱性
【3】複数のCisco製品に脆弱性
【4】Mozilla Firefoxに境界外読み取りの脆弱性
【5】Apache HTTP Web Serverに複数の脆弱性
【6】Google Chromeに複数の脆弱性
【7】myQNAPcloud Linkに重要な情報が安全に格納されていない脆弱性
【8】Apple iOSに複数の脆弱性
【9】Androidアプリ「あすけん」にアクセス制限不備の脆弱性
【10】Hitachi Application Serverヘルプにクロスサイトスクリプティングの脆弱性
【11】日立仮想ファイルプラットフォーム製品にOSコマンドインジェクションの脆弱性
【今週のひとくちメモ】「TRANSITS Workshop Online 2021 Summer」開催のお知らせ

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr212401.html
https://www.jpcert.or.jp/wr/2021/wr212401.xml
============================================================================


【1】複数のEC-CUBE 3.0系用プラグインに複数のクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#79254445
複数の ETUNA 製 EC-CUBE 用プラグインにおけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN79254445/

Japan Vulnerability Notes JVN#57524494
複数のイーシーキューブ製 EC-CUBE 用プラグインにおける複数のクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN57524494/

概要
複数のEC-CUBE 3.0系用プラグインには、複数のクロスサイトスクリプティン
グの脆弱性があります。結果として、遠隔の第三者がECサイトの管理者のWeb
ブラウザー上で、任意のスクリプトを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- 配送伝票番号プラグイン(3.0系) 1.0.10およびそれ以前のバージョン
- 配送伝票番号csv一括登録プラグイン(3.0系) 1.0.8およびそれ以前のバージョン
- 配送伝票番号メールプラグイン(3.0系) 1.0.8およびそれ以前のバージョン
- 帳票出力プラグイン バージョン1.0.1より前のバージョン
- メルマガ管理プラグイン バージョン1.0.4より前のバージョン
- カテゴリコンテンツプラグイン バージョン1.0.1より前のバージョン

この問題は、本プラグインを各開発者が提供する修正済みのバージョンに更新
することで解決します。詳細は、各開発者が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
複数のEC-CUBE 3.0系用プラグインにおけるクロスサイトスクリプティングの脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210028.html

ETUNA
配送伝票番号プラグイン(3.0系)における脆弱性発覚と対応のお願い(2021/06/11)
https://www.ec-cube.net/release/detail.php?release_id=5088

ETUNA
配送伝票番号csv一括登録プラグイン(3.0系)における脆弱性発覚と対応のお願い(2021/06/11)
https://www.ec-cube.net/release/detail.php?release_id=5087

ETUNA
配送伝票番号メールプラグイン(3.0系)における脆弱性発覚と対応のお願い(2021/06/11)
https://www.ec-cube.net/release/detail.php?release_id=5089

株式会社イーシーキューブ
帳票出力プラグイン バージョン1.0.1をリリースしました。(2021/06/14)
https://www.ec-cube.net/release/detail.php?release_id=5091

株式会社イーシーキューブ
メルマガ管理プラグイン バージョン1.0.4をリリースしました。(2021/06/14)
https://www.ec-cube.net/release/detail.php?release_id=5090

株式会社イーシーキューブ
カテゴリコンテンツプラグイン バージョン1.0.1をリリースしました。(2021/06/14)
https://www.ec-cube.net/release/detail.php?release_id=5092

【2】GROWIに複数の脆弱性

情報源
Japan Vulnerability Notes JVN#95457785
GROWI における複数の脆弱性
https://jvn.jp/jp/JVN95457785/

概要
GROWIには、複数の脆弱性があります。結果として、当該製品にアクセス可能
なユーザーが、データベース内の情報を窃取したり、改ざんしたりするなどの
可能性があります。

対象となるバージョンは次のとおりです。

- GROWI v4.2.20より前のバージョン

この問題は、該当する製品を株式会社WESEEKが提供する修正済みのバージョン
に更新することで解決します。詳細は、株式会社WESEEKが提供する情報を参照
してください。

関連文書 (日本語)
株式会社WESEEK
GROWI 脆弱性対応のお知らせ (JVN#95457785)
https://weseek.co.jp/security/2021/06/14/vulnerability/growi-nosql-ingection/

【3】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/06/17/cisco-releases-security-updates-multiple-products

概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコマンドを実行するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ
情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【4】Mozilla Firefoxに境界外読み取りの脆弱性

情報源
Mozilla
Security Vulnerabilities fixed in Firefox 89.0.1
https://www.mozilla.org/en-US/security/advisories/mfsa2021-27/

概要
Mozilla Firefoxには、境界外読み取りの脆弱性があります。

対象となるバージョンは次のとおりです。

- Firefox 89.0.1より前のバージョン(Windows版)

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

【5】Apache HTTP Web Serverに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#96037838
Apache HTTP Web Server 2.4 における複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU96037838/

概要
Apache HTTP Web Serverには、複数の脆弱性があります。結果として、第三者
がサービス運用妨害(DoS)攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- Apache HTTP Web Server 2.4.48より前のバージョン

この問題は、該当する製品をThe Apache Software Foundationが提供する修正
済みのバージョンに更新することで解決します。詳細は、The Apache Software
Foundationが提供する情報を参照してください。

関連文書 (英語)
The Apache Software Foundation
Apache HTTP Server 2.4.48 Released
https://downloads.apache.org/httpd/Announcement2.4.html

The Apache Software Foundation
Fixed in Apache HTTP Server 2.4.48
https://httpd.apache.org/security/vulnerabilities_24.html#2.4.48

【6】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/06/18/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 91.0.4472.114より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/06/stable-channel-update-for-desktop_17.html

【7】myQNAPcloud Linkに重要な情報が安全に格納されていない脆弱性

情報源
QNAP
Insecure Storage of Sensitive Information in myQNAPcloud Link
https://www.qnap.com/en/security-advisory/qsa-21-26

概要
myQNAPcloud Linkには、重要な情報が安全に格納されていない脆弱性がありま
す。結果として、遠隔の第三者が機密情報を窃取する可能性があります。

対象となるバージョンは次のとおりです。

- QTS 4.5.3: myQNAPcloud Link 2.2.21およびそれ以前
- QuTS hero h4.5.2: myQNAPcloud Link 2.2.21およびそれ以前
- QuTScloud c4.5.4: myQNAPcloud Link 2.2.21およびそれ以前

この問題は、myQNAPcloud LinkをQNAP Systemsが提供する修正済みのバージョン
に更新することで解決します。詳細は、QNAP Systemsが提供する情報を参照し
てください。

【8】Apple iOSに複数の脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates for iOS 12.5.4
https://us-cert.cisa.gov/ncas/current-activity/2021/06/15/apple-releases-security-updates-ios-1254

概要
iOSには、複数の脆弱性があります。結果として、第三者が任意のコードを実
行する可能性があります。

対象となるバージョンは次のとおりです。

- iOS 12.5.4より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
iOSに関するアップデートについて
https://www.jpcert.or.jp/newsflash/2021061601.html

Apple
iOS 12.5.4 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212548

【9】Androidアプリ「あすけん」にアクセス制限不備の脆弱性

情報源
Japan Vulnerability Notes JVN#38034268
Android アプリ「あすけん」におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN38034268/

概要
Androidアプリ「あすけん」には、アクセス制限不備の脆弱性があります。結
果として、遠隔の第三者が当該製品を経由し任意のWebサイトにアクセスさせ
る可能性があります。

対象となるバージョンは次のとおりです。

- Androidアプリ「あすけん」 v.3.0.0からv.4.2.xまでのバージョン

この問題は、該当する製品を株式会社 askenが提供する修正済みのバージョン
に更新することで解決します。詳細は、株式会社 askenが提供する情報を参照
してください。

関連文書 (日本語)
株式会社 asken
お知らせ (要ログイン)
https://www.asken.jp/s/information

【10】Hitachi Application Serverヘルプにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#03776901
Hitachi Application Server ヘルプにおけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN03776901

概要
Hitachi Application Serverヘルプには、クロスサイトスクリプティングの脆
弱性があります。結果として、遠隔の第三者が当該製品にアクセスしているユー
ザーのWebブラウザー上で、任意のスクリプトを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Hitachi Application Server V10 マニュアル (Windows用) バージョン10-11-01およびそれ以前
- Hitachi Application Server V10 マニュアル (UNIX用) バージョン10-11-01およびそれ以前

この問題は、該当する製品を日立が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、日立が提供する情報を参照してください。

関連文書 (日本語)
日立
Hitachi Application Server ヘルプにおけるクロスサイトスクリプティングの脆弱性
https://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/hitachi-sec-2021-104/

【11】日立仮想ファイルプラットフォーム製品にOSコマンドインジェクションの脆弱性

情報源
Japan Vulnerability Notes JVN#21298724
日立仮想ファイルプラットフォーム製品における OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN21298724

概要
日立仮想ファイルプラットフォーム製品には、OSコマンドインジェクションの
脆弱性があります。結果として、当該製品にログイン可能な第三者がroot権限
で任意のOSコマンドを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Hitachi Virtual File Platform 5.5.3-09より前のバージョン
- Hitachi Virtual File Platform 6.4.3-09より前のバージョン

また、当該製品を使用している以下の製品も本脆弱性の影響を受けます。
- 日本電気株式会社製 iStorage Mシリーズ NASオプション Nh4a/Nh8a FOS 5.5.3-08(NEC2.5.4a)より前のバージョン
- 日本電気株式会社製 iStorage Mシリーズ NASオプション Nh4b/Nh8b、Nh4c/Nh8c FOS 6.4.3-08(NEC3.4.2)より前のバージョン

この問題は、該当する製品を各開発者が提供する修正済みのバージョンに更新
することで解決します。詳細は、各開発者が提供する情報を参照してください。

関連文書 (日本語)
日立
日立仮想ファイルプラットフォーム製品における脆弱性について
https://www.hitachi.co.jp/products/it/storage-solutions/techsupport/sec_info/sec_2021_306.html

日本電気株式会社
iStorage Mシリーズ NASオプションにおける OS コマンドインジェクションの脆弱性
https://jpn.nec.com/security-info/secinfo/nv21-011.html


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○「TRANSITS Workshop Online 2021 Summer」開催のお知らせ

2021年8月19日(木)、8月20日(金)の2日間にわたり、「TRANSITS Workshop
Online 2021 Summer」がオンライン上で開催されます。日本シーサート協議会
が主催する本イベントは、CSIRTの設立の促進、既存のCSIRTの対応能力向上を
目的としたプロジェクト「TRANSITS」によるトレーニングを行い、CSIRT業務
に必要な知識を身につけることを目的としています。JPCERT/CCは本イベント
での講演、および運営に協力しています。

参加には事前申し込みが必要です。参加登録は申込先着順で、定員になり次第
締め切りとなります。詳しくはWebを参照してください。


参考文献 (日本語)
日本シーサート協議会(日本コンピュータセキュリティインシデント対応チーム協議会)
TRANSITS Workshop Online 2021 Summer開催
https://www.nca.gr.jp/2021/transits-summer/

2021年6月16日 (水)

■06/06(日)~06/12(土) のセキュリティ関連情報

目 次

【1】複数のマイクロソフト製品に脆弱性
【2】複数のアドビ製品に脆弱性
【3】複数のSAP製品に脆弱性
【4】Google Chromeに複数の脆弱性
【5】複数のIntel製品に脆弱性
【6】トレンドマイクロ製ウイルスバスター for Home Networkに複数の脆弱性
【7】urllib3に正規表現を用いたサービス運用妨害(ReDoS)の脆弱性
【8】WordPress用プラグインWelcart e-Commerceにクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】Japan Security Analyst Conference 2022のCFP募集開始

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr212301.html
https://www.jpcert.or.jp/wr/2021/wr212301.xml
============================================================================


【1】複数のマイクロソフト製品に脆弱性

情報源
CISA Current Activity
Microsoft Releases June 2021 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/06/08/microsoft-releases-june-2021-security-updates

概要
複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はマイクロソフトが提供するアド
バイザリ情報を参照してください。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフトが提供する情報を参照してください。

関連文書 (日本語)
マイクロソフト株式会社
2021 年 6 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2021-Jun

JPCERT/CC 注意喚起
2021年6月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2021/at210027.html

【2】複数のアドビ製品に脆弱性

情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/06/08/adobe-releases-security-updates-multiple-products

概要
複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe Connect
- Adobe Acrobat and Reader
- Adobe Photoshop
- Adobe Experience Manager
- Adobe Creative Cloud Desktop Application (Installer)
- RoboHelp Server
- Photoshop Elements (Installer)
- Adobe Premiere Elements (Installer)
- Adobe After Effects
- Adobe Animate

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
Adobe AcrobatおよびReaderの脆弱性(APSB21-37)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210026.html

JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021060901.html

アドビ
Adobe Connect に関するセキュリティアップデート | APSB21-36
https://helpx.adobe.com/jp/security/products/connect/apsb21-36.html

アドビ
Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB21-37
https://helpx.adobe.com/jp/security/products/acrobat/apsb21-37.html

アドビ
Adobe Photoshop に関するセキュリティアップデート公開 | APSB21-38
https://helpx.adobe.com/jp/security/products/photoshop/apsb21-38.html

アドビ
Adobe Experience Manager に関するセキュリティアップデート公開 | APSB21-39
https://helpx.adobe.com/jp/security/products/experience-manager/apsb21-39.html

アドビ
Adobe Creative Cloud デスクトップアプリケーションに関するセキュリティアップデート公開 | APSB21-41
https://helpx.adobe.com/jp/security/products/creative-cloud/apsb21-41.html

アドビ
Security updates available for Adobe RoboHelp Server | APSB21-44
https://helpx.adobe.com/jp/security/products/robohelp-server/apsb21-44.html

アドビ
Adobe Photoshop Elements に関するセキュリティアップデート公開 | APSB21-46
https://helpx.adobe.com/jp/security/products/photoshop_elements/apsb21-46.html

アドビ
Adobe Premiere Elements に関するセキュリティアップデート公開 | APSB21-47
https://helpx.adobe.com/jp/security/products/premiere_elements/apsb21-47.html

アドビ
Adobe After Effects に関するセキュリティアップデート公開 | APSB21-49
https://helpx.adobe.com/jp/security/products/after_effects/apsb21-49.html

アドビ
Adobe Animate に関するセキュリティアップデート公開 | APSB50-21
https://helpx.adobe.com/jp/security/products/animate/apsb21-50.html

【3】複数のSAP製品に脆弱性

情報源
CISA Current Activity
SAP Releases June 2021 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/06/08/sap-releases-june-2021-security-updates

概要
複数のSAP製品には、脆弱性があります。結果として、遠隔の第三者が任意の
コードを実行するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はSAPが提供するアドバイザリ情
報を参照してください。

この問題は、該当する製品をSAPが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、SAPが提供する情報を参照してください。

関連文書 (英語)
SAP
SAP Security Patch Day June 2021
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=578125999

【4】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/06/10/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 91.0.4472.101より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/06/stable-channel-update-for-desktop.html

【5】複数のIntel製品に脆弱性

情報源
Japan Vulnerability Notes JVNVU#99965981
Intel 製品に複数の脆弱性 (2021年6月)
https://jvn.jp/vu/JVNVU99965981/

JPCERT/CC CyberNewsFlash
Intel製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2021060902.html

概要
Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security
Center Advisoriesが公開されました。

詳細は、Intelが提供する情報を参照してください。

関連文書 (英語)
Intel
Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html

【6】トレンドマイクロ製ウイルスバスター for Home Networkに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#92417259
トレンドマイクロ製ウイルスバスター for Home Network における複数の脆弱性
https://jvn.jp/vu/JVNVU92417259/

概要
トレンドマイクロ製ウイルスバスター for Home Networkには、複数の脆弱性
があります。結果として、第三者が権限昇格を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- ウイルスバスター for Home Network ファームウェアバージョン6.6.604およびそれ以前

この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正済みの
バージョンに更新することで解決します。詳細はトレンドマイクロ株式会社が
提供する情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスター for Home Network の脆弱性について(CVE-2021-32457,CVE-2021-32458,CVE-2021-32459)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10323

【7】urllib3に正規表現を用いたサービス運用妨害(ReDoS)の脆弱性

情報源
Japan Vulnerability Notes JVNVU#92413403
urllib3 における、正規表現を用いたサービス運用妨害 (ReDoS) の脆弱性
https://jvn.jp/vu/JVNVU92413403/

概要
urllib3には、不正なURLを評価する正規表現の処理中に、サービス運用妨害
(DoS)状態となる脆弱性があります。結果として、遠隔の第三者がサービス
運用妨害(DoS)攻撃を行う可能性があります。

対象となるバージョンは次のとおりです。

- urllib3 v1.26.5より前のバージョン

この問題は、urllib3を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
urllib3
Catastrophic backtracking in URL authority parser when passed URL containing many @ characters
https://github.com/urllib3/urllib3/security/advisories/GHSA-q2q7-5pp4-w6pg

【8】WordPress用プラグインWelcart e-Commerceにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#70566757
WordPress 用プラグイン Welcart e-Commerce におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN70566757/

概要
WordPress用プラグインWelcart e-Commerceには、クロスサイトスクリプティ
ングの脆弱性があります。結果として、遠隔の第三者がユーザーのブラウザー
上で任意のスクリプトを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Welcart e-Commerce 2.2.4より前のバージョン

この問題は、Welcart e-Commerceをコルネ株式会社が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、コルネ株式会社が提供する情報
を参照してください。

関連文書 (日本語)
コルネ株式会社
Welcart 2.2.4 をリリースしました
https://www.welcart.com/archives/14039.html


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○Japan Security Analyst Conference 2022のCFP募集開始

2021年6月7日、JPCERT/CCは、Japan Security Analyst Conference(JSAC)2022
の講演およびWorkshopの募集(CFP)を開始しました。応募締切は2021年10月
4日です。JSACは、現場のセキュリティアナリストが集い、高度化するサイバー
攻撃に対抗するための情報を共有することを目的とした技術情報共有カンファ
レンスです。JSAC 2022の開催は2022年1月27日、28日を予定しています。今回
は、オンライン・オフラインの併催を予定していますが、最終的な開催方式に
ついては、2021年10月上旬までにアナウンスする予定です。

参考文献 (日本語)
JPCERT/CC JSAC2022
Call for Presentation & Workshop
https://jsac.jpcert.or.jp/cfp.html

2021年6月 9日 (水)

■05/30(日)~06/05(土) のセキュリティ関連情報

目 次

【1】複数のMozilla製品に脆弱性
【2】複数のCisco製品に脆弱性
【3】複数のトレンドマイクロ株式会社製品の脆弱性に対するアップデート
【4】GitLabに複数の脆弱性
【5】バッファロー製ルータWSR-1166DHP3およびWSR-1166DHP4に複数の脆弱性
【6】スマートフォンアプリ「ATOM - スマートライフ」にサーバ証明書の検証不備の脆弱性
【7】スマートフォンアプリ「goo blog(gooブログ)」にアクセス制限不備の脆弱性
【8】Zettlrにクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】総務省が「テレワークセキュリティガイドライン(第5版)」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr212201.html
https://www.jpcert.or.jp/wr/2021/wr212201.xml
============================================================================


【1】複数のMozilla製品に脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox
https://us-cert.cisa.gov/ncas/current-activity/2021/06/02/mozilla-releases-security-updates-firefox

概要
複数のMozilla製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 89より前のバージョン
- Mozilla Firefox ESR 78.11より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 89
https://www.mozilla.org/en-US/security/advisories/mfsa2021-23/

Mozilla
Security Vulnerabilities fixed in Firefox ESR 78.11
https://www.mozilla.org/en-US/security/advisories/mfsa2021-24/

【2】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/06/02/cisco-releases-security-updates-multiple-products

CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/06/03/cisco-releases-security-updates-multiple-products

概要
複数のCisco製品には、脆弱性があります。結果として、第三者が、任意のコー
ドを実行したり、権限を昇格したりするなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ
情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【3】複数のトレンドマイクロ株式会社製品の脆弱性に対するアップデート

情報源
Japan Vulnerability Notes JVNVU#93332929
複数のトレンドマイクロ株式会社製品の脆弱性に対するアップデート (2021年5月)
https://jvn.jp/vu/JVNVU93332929/

概要
トレンドマイクロ株式会社から、複数の製品向けのアップデートが公開されま
した。

対象となる製品は、多岐にわたります。詳細はトレンドマイクロ株式会社が提
供するアドバイザリ情報を参照してください。

この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正済みの
バージョンに更新することで解決します。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ:Trend Micro Apex One、Apex One SaaS、ウイルスバスターコーポレートエディションで確認された複数の脆弱性について(2021年3月)
https://success.trendmicro.com/jp/solution/000285985

トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスター for Mac の脆弱性について(CVE-2021-28648)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10281

トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスター for Home Networkの脆弱性について(CVE-2021-31517, CVE-2021-31518)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10311

トレンドマイクロ株式会社
アラート/アドバイザリ:スマートホームスキャナー(Windows版)の脆弱性について (CVE-2021-28649, CVE-2021-31519)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10286

トレンドマイクロ株式会社
アラート/アドバイザリ:InterScan Web Securityシリーズにおける管理画面の複数の脆弱性について
https://success.trendmicro.com/jp/solution/000285581

【4】GitLabに複数の脆弱性

情報源
GitLab
GitLab Security Release: 13.12.2, 13.11.5, and 13.10.5
https://about.gitlab.com/releases/2021/06/01/security-release-gitlab-13-12-2-released/

概要
GitLabには、複数の脆弱性があります。結果として、第三者が認証情報を窃取
したり、サービス運用妨害(DoS)攻撃を行なったりするなどの可能性があり
ます。

対象となるバージョンは次のとおりです。

- GitLab Community EditionおよびEnterprise Edition 13.12.2より前の13.12系バージョン
- GitLab Community EditionおよびEnterprise Edition 13.11.5より前の13.11系バージョン
- GitLab Community EditionおよびEnterprise Edition 13.10.5より前の13.10系バージョン

なお、GitLabによると、上記に記載されていないバージョンも影響を受けると
のことです。

この問題は、該当する製品をGitLabが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、GitLabが提供する情報を参照してください。

【5】バッファロー製ルータWSR-1166DHP3およびWSR-1166DHP4に複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#92862829
バッファロー製ルータ WSR-1166DHP3 および WSR-1166DHP4 における複数の脆弱性
https://jvn.jp/vu/JVNVU92862829/

概要
株式会社バッファローが提供するWSR-1166DHP3およびWSR-1166DHP4には、複数
の脆弱性があります。結果として、隣接するネットワーク上の第三者が、機器
の設定情報を窃取したり、機器のroot権限で一部のOSコマンドを実行したりす
る可能性があります。

対象となるバージョンは次のとおりです。

- WSR-1166DHP3 ファームウェア Ver.1.16およびそれ以前
- WSR-1166DHP4 ファームウェア Ver.1.02およびそれ以前

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
株式会社バッファロー
WSR-1166DHP4/WSR-1166DHP3 における複数の脆弱性とその対策方法
https://www.buffalo.jp/news/detail/20210531-01.html

【6】スマートフォンアプリ「ATOM - スマートライフ」にサーバ証明書の検証不備の脆弱性

情報源
Japan Vulnerability Notes JVN#64064138
スマートフォンアプリ「ATOM - スマートライフ」におけるサーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN64064138/

概要
スマートフォンアプリ「ATOM - スマートライフ」には、サーバ証明書の検証
不備の脆弱性があります。結果として、第三者が中間者攻撃による暗号通信の
盗聴などを行う可能性があります。

対象となるバージョンは次のとおりです。

- Android アプリ「ATOM - スマートライフ」 1.8.1より前のバージョン
- iOS アプリ「ATOM - スマートライフ」 1.8.2より前のバージョン

この問題は、当該アプリを開発者が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
アトムテック株式会社
「ATOM - スマートライフ」アプリの不具合(脆弱性)について
https://www.atomtech.co.jp/news/news/2055/

【7】スマートフォンアプリ「goo blog(gooブログ)」にアクセス制限不備の脆弱性

情報源
Japan Vulnerability Notes JVN#91691168
スマートフォンアプリ「goo blog(gooブログ)」におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN91691168/

概要
スマートフォンアプリ「goo blog(gooブログ)」には、アクセス制限不備の
脆弱性があります。結果として、遠隔の第三者が当該製品のユーザーを任意の
ウェブサイトにアクセスさせる可能性があります。

対象となるバージョンは次のとおりです。

- Androidアプリ「goo blog(gooブログ)」 バージョン 1.2.25 およびそれ以前
- iOSアプリ「goo blog(gooブログ)」 バージョン 1.3.3 およびそれ以前

この問題は、当該アプリを開発者が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
エヌ・ティ・ティレゾナント株式会社
アプリ「goo blog」Android端末、iOS端末における不具合内容の詳細報告
https://blog.goo.ne.jp/staffblog/e/d84a6b220222462094728301782885db

【8】Zettlrにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#98239374
Zettlr におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN98239374/

概要
Zettlrには、クロスサイトスクリプティングの脆弱性があります。結果として、
不正なiframeを含むファイルやコード断片を当該製品に読み込ませた場合、製
品が動作するシステム上で任意のスクリプトが実行される可能性があります。

対象となるバージョンは次のとおりです。

- Zettlr 0.20.0から1.8.8まで

この問題は、Zettlrを開発者が提供する修正済みのバージョンに更新すること
で解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
Hendrik Erz
Zettlr: A Markdown editor for the 21st century
https://www.zettlr.com/


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○総務省が「テレワークセキュリティガイドライン(第5版)」を公開

総務省は、「テレワークセキュリティガイドライン(第5版)」を公開しまし
た。総務省は、企業等がテレワークを実施する際のセキュリティ上の不安を払
拭し、安心してテレワークを導入・活用するための指針として公開されたガイ
ドラインについて、テレワークを取り巻く環境やセキュリティ動向の変化に対
応するため全面的に改定を行ったとのことです。また、「中小企業等担当者向
けテレワークセキュリティの手引き(チェックリスト)」も合わせて改定されて
いますので、自組織のテレワーク環境のチェックにご活用ください。

参考文献 (日本語)
総務省
「テレワークセキュリティガイドライン(第5版)」(案)に対する意見募集の結果及び当該ガイドラインの公表
https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00111.html

2021年6月 2日 (水)

■05/23(日)~05/29(土) のセキュリティ関連情報

目 次

【1】VMware vCenter Serverに複数の脆弱性
【2】複数のApple製品に脆弱性
【3】Google Chromeに複数の脆弱性
【4】Drupalにクロスサイトスクリプティングの脆弱性
【5】ISC DHCPにバッファーオーバーフローの脆弱性
【6】Bluetoothコア仕様およびメッシュ仕様に複数の脆弱性
【7】Checkbox Surveyに安全でないデシリアライゼーションの脆弱性
【8】Zettlrにクロスサイトスクリプティングの脆弱性
【9】三菱電機製 MELSEC iQ-RシリーズのMELSOFT交信ポートにリソース枯渇の脆弱性
【今週のひとくちメモ】JNSAが「セキュリティ業務職種のキャリア展望について」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr212101.html
https://www.jpcert.or.jp/wr/2021/wr212101.xml
============================================================================


【1】VMware vCenter Serverに複数の脆弱性

情報源
CISA Current Activity
VMware Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/05/26/vmware-releases-security-updates

概要
VMware vCenter Serverには、複数の脆弱性があります。結果として、ポート
443に接続可能な第三者がvCenter Serverが稼働するシステム上で任意のコマ
ンドを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- vCenter Server 7.0系 7.0 U2bより前のバージョン
- vCenter Server 6.7系 6.7 U3nより前のバージョン
- vCenter Server 6.5系 6.5 U3pより前のバージョン
- Cloud Foundation (vCenter Server) 4系 4.2.1より前のバージョン
- Cloud Foundation (vCenter Server) 3系 3.10.2.1より前のバージョン

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、VMwareが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
VMware vCenter Serverの複数の脆弱性(CVE-2021-21985、CVE-2021-21986)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210025.html

関連文書 (英語)
VMware
VMSA-2021-0010
https://www.vmware.com/security/advisories/VMSA-2021-0010.html

【2】複数のApple製品に脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/05/25/apple-releases-security-updates

概要
複数のApple製品には、複数の脆弱性があります。結果として、遠隔の第三者
が任意のコマンドを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Safari 14.1.1より前のバージョン
- watchOS 7.5より前のバージョン
- tvOS 14.6より前のバージョン
- macOS Catalina(Security Update 2021-003 未適用)
- macOS Mojave(Security Update 2021-004 未適用)
- macOS Big Sur 11.4より前のバージョン
- iOS 14.6より前のバージョン
- iPadOS 14.6より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数のApple製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021052501.html

Apple
Safari 14.1.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212534

Apple
watchOS 7.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212533

Apple
tvOS 14.6 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212532

Apple
セキュリティアップデート 2021-003 Catalina のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212530

Apple
セキュリティアップデート 2021-004 Mojave のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212531

Apple
macOS Big Sur 11.4 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212529

Apple
iOS 14.6 および iPadOS 14.6 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212528

【3】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/05/26/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 91.0.4472.77より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/05/stable-channel-update-for-desktop_25.html

【4】Drupalにクロスサイトスクリプティングの脆弱性

情報源
CISA Current Activity
Drupal Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/05/27/drupal-releases-security-updates

概要
Drupalには、使用しているサードパーティライブラリに起因するクロスサイト
スクリプティングの脆弱性があります。結果として、ユーザーのブラウザー上
で任意のスクリプトが実行される可能性があります。

対象となるバージョンは次のとおりです。

- Drupal 9.1.9より前の9.1系バージョン
- Drupal 9.0.14より前の9.0系バージョン
- Drupal 8.9.16より前の8.9系バージョン

この問題は、該当する製品をDrupalが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Drupalが提供する情報を参照してください。

関連文書 (英語)
Drupal
Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2021-003
https://www.drupal.org/sa-core-2021-003

【5】ISC DHCPにバッファーオーバーフローの脆弱性

情報源
Japan Vulnerability Notes JVNVU#95111565
ISC DHCP におけるバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU95111565/

概要
ISC DHCPには、バッファーオーバーフローの脆弱性があります。結果として、第
三者が、当該システムをサービス運用妨害(DoS)状態にするなどの可能性が
あります。

対象となるバージョンは次のとおりです。

- ISC DHCP 4.1-ESV-R1から4.1-ESV-R16までのバージョン
- ISC DHCP 4.4.0から4.4.2までのバージョン

この問題は、開発者が提供する修正済みのバージョンに更新することで解決し
ます。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
Internet Systems Consortium
CVE-2021-25217: A buffer overrun in lease file parsing code can be used to exploit a common vulnerability shared by dhcpd and dhclient
https://kb.isc.org/docs/cve-2021-25217

【6】Bluetoothコア仕様およびメッシュ仕様に複数の脆弱性

情報源
CERT/CC Vulnerability Note VU#799380
Devices supporting Bluetooth Core and Mesh Specifications are vulnerable to impersonation attacks and AuthValue disclosure
https://kb.cert.org/vuls/id/799380

概要
Bluetoothコア仕様およびメッシュ仕様には、複数の脆弱性があります。結果
として、Bluetoothの電波到達範囲にいる第三者が、端末と機器の意図しない
ペアリングをするなどの可能性があります。

対象となる製品は次のとおりです。

- BR/EDR Secure Simple Pairing(SSP)コア仕様2.1から5.2までに対応する機器
- BR/EDR Secure Connections(SC)コア仕様4.1から5.2までに対応する機器
- BLE Secure Connections(LESC)コア仕様4.2から5.2までに対応する機器
- BR/EDR Secure Simple Pairing(SSP)コア仕様 1.0Bから5.2までに対応する機器
- Bluetooth メッシュプロファイル仕様 1.0から1.0.1までに対応する機器

この問題は、各機器のベンダーから提供される最新のファームウェアへアップ
デートするなどの対応を実施してください。詳細は、ベンダーが提供する情報
を参照してください。


関連文書 (日本語)
Japan Vulnerability Notes JVNVU#99594334
Bluetooth コア仕様およびメッシュ仕様に複数の脆弱性
https://jvn.jp/vu/JVNVU99594334/

関連文書 (英語)
Bluetooth SIG
Bluetooth SIG Statement Regarding the ‘Authentication of the LE Legacy Pairing’ Vulnerability
https://www.bluetooth.com/learn-about-bluetooth/key-attributes/bluetooth-security/legacy-pairing/

【7】Checkbox Surveyに安全でないデシリアライゼーションの脆弱性

情報源
CERT/CC Vulnerability Note VU#706695
Checkbox Survey insecurely deserializes ASP.NET View State data
https://kb.cert.org/vuls/id/706695

概要
Checkbox Surveyには、安全でないデシリアライゼーションの脆弱性がありま
す。結果として、遠隔の第三者が細工したリクエストを送信し、サーバー上で
任意のコードを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Checkbox Survey 7.0より前のバージョン

この問題は、該当する製品をCheckboxが提供する修正済みのバージョンに更新
することで解決します。詳細は、Checkboxが提供する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#99816551
Checkbox Survey に安全でないデシリアライゼーションの脆弱性
https://jvn.jp/vu/JVNVU99816551/

【8】Zettlrにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#98239374
Zettlr におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN98239374/

概要
Zettlrには、クロスサイトスクリプティングの脆弱性があります。結果として
製品が動作するシステム上で任意のスクリプトが実行される可能性があります。

対象となるバージョンは次のとおりです。

- Zettlr 0.20.0から1.8.8までのバージョン

この問題は、開発者が提供する修正済みのバージョンに更新することで解決し
ます。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
Zettlr
Postmortem: Zettlr’s first Security Incident
https://www.zettlr.com/post/postmortem-zettlr-first-security-incident

【9】三菱電機製 MELSEC iQ-RシリーズのMELSOFT交信ポートにリソース枯渇の脆弱性

情報源
Japan Vulnerability Notes JVN#98060539
三菱電機製 MELSEC iQ-R シリーズの MELSOFT 交信ポートにおけるリソース枯渇の脆弱性
https://jvn.jp/vu/JVNVU98060539/

概要
三菱電機製MELSEC iQ-RシリーズCPUユニットのMELSOFT交信ポート(TCP/IP)
には、リソース枯渇の脆弱性があります。結果として、遠隔の第三者が当該機
器をサービス運用妨害 (DoS) 状態にする可能性があります。

対象となる製品およびバージョンは次のとおりです。

- R00/01/02CPU 全バージョン
- R04/08/16/32/120 (EN) CPU 全バージョン
- R08/16/32/120SFCPU 全バージョン
- R08/16/32/120PCPU 全バージョン
- R08/16/32/120PSFCPU 全バージョン

この問題は、三菱電機株式会社が提供するワークアラウンドを適用することで
影響が軽減します。詳細は、三菱電機株式会社が提供する情報を参照してくだ
さい。

関連文書 (日本語)
三菱電機株式会社
MELSOFT交信ポート(TCP/IP)におけるサービス拒否(DoS)の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-003.pdf


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JNSAが「セキュリティ業務職種のキャリア展望について」を公開

日本ネットワークセキュリティ協会 (JNSA) は、「セキュリティ業務職種のキ
ャリア展望について」を公開しました。本資料は、セキュリティ人材不足の解
消やセキュリティ人材の働き方の多様化に向けた「JTAG活動」の一環です。
本書は、JTAG財団が定めたプロファイルと「個人のキャリアの8割は、偶然の
出来事によって決定される」という計画的偶発性理論を用いて、特性の考察を
行い、さまざまなセキュリティ人材の長期的な指標やキャリアパスの検討時の
参考として活用することを目的としています。

参考文献 (日本語)
日本ネットワークセキュリティ協会 (JNSA)
セキュリティ業務職種のキャリア展望について
https://www.jnsa.org/isepa/images/outputs/JTAG-CD_20210520_rep.pdf

2021年6月 1日 (火)

メールの新規設定(手動設定) Outlook2019

Outlook 2019新バージョンの設定方法をご案内します。

両毛インターネットサービス登録書の当該項目を参照してください。

Outlook2019.pdfをダウンロード

2021年5月26日 (水)

■05/16(日)~05/22(土) のセキュリティ関連情報

目 次

【1】QNDに権限昇格の脆弱性
【2】Pulse Connect Secureにバッファーオーバーフローの脆弱性
【3】複数のCisco製品に脆弱性
【4】Apple Boot Campにメモリ破損の脆弱性
【5】QNAP QTSおよびQuTS heroにディレクトリトラバーサルの脆弱性
【6】複数のPHP工房製品に複数のクロスサイトスクリプティングの脆弱性
【7】OverwolfインストーラーにDLL読み込みに関する脆弱性
【8】ScanSnap ManagerのインストーラーにDLL読み込みに関する脆弱性
【9】JNSAが「セキュリティ知識分野(SecBoK)人材スキルマップ2021年版」を公開
【今週のひとくちメモ】Internet Explorer 11 デスクトップアプリが2022年6月15日にサポート終了

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr212001.html
https://www.jpcert.or.jp/wr/2021/wr212001.xml
============================================================================


【1】QNDに権限昇格の脆弱性

情報源
Japan Vulnerability Notes JVN#74686032
QND における権限昇格の脆弱性
https://jvn.jp/jp/JVN74686032/

概要
QNDには、権限昇格の脆弱性があります。結果として、ユーザーが、情報を窃
取したり、任意の操作を実行したりするなどの可能性があります。

対象となるバージョンは次のとおりです。

- QND Premium/Advance/Standard Ver.11.0.4iおよびそれ以前

この問題は、該当する製品をクオリティソフト株式会社が提供する修正済みの
バージョンに更新することで解決します。詳細は、クオリティソフト株式会社
が提供する情報を参照してださい。

関連文書 (日本語)
クオリティソフト株式会社
QND Windows クライアントの脆弱性について
https://www.qualitysoft.com/product/qnd_vulnerabilities_2021/

【2】Pulse Connect Secureにバッファーオーバーフローの脆弱性

情報源
CERT/CC Vulnerability Note VU#667933
Pulse Connect Secure Samba buffer overflow
https://kb.cert.org/vuls/id/667933

概要
Pulse Connect Secureには、バッファーオーバーフローの脆弱性があります。
結果として、遠隔の第三者が、当該製品上で管理者権限で任意のコードを実行
する可能性があります。

対象となるバージョンは次のとおりです。

- Pulse Connect Secure (PCS) 9.1系の9.1R11.5より前のバージョン
- Pulse Connect Secure (PCS) 9.0系

2021年5月26日現在、本脆弱性の修正パッチおよびアップデートは提供されて
いません。脆弱性を悪用した攻撃による影響を軽減するため、開発者から回避
策が提示されています。詳細は、Pulse Secureが提供する情報を参照してくだ
さい。

関連文書 (英語)
Pulse Secure
SA44800 - 2021-05: Out-of-Cycle Advisory: Pulse Connect Secure Buffer Overflow Vulnerability
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44800/

【3】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/05/20/cisco-releases-security-updates-multiple-products

概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が、任
意のコマンドを実行したりするなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ
情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【4】Apple Boot Campにメモリ破損の脆弱性

情報源
Apple
Boot Camp 6.1.14 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212517

概要
複数のApple製品のBoot Campには、メモリ破損の脆弱性があります。結果とし
て、遠隔の第三者が、権限昇格する可能性があります。

対象となる製品は次のとおりです。

- Mac Pro(Late 2013およびそれ以降のモデル)
- MacBook Pro(Late 2013およびそれ以降のモデル)
- MacBook Air(Mid 2013およびそれ以降のモデル)
- Mac mini(Mid 2014およびそれ以降のモデル)
- iMac(mid 2014およびそれ以降のモデル)
- MacBook(Early 2015およびそれ以降のモデル)
- iMac Pro(Late 2017モデル)

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Boot Campに関するアップデートについて
https://www.jpcert.or.jp/newsflash/2021051901.html

【5】QNAP QTSおよびQuTS heroにディレクトリトラバーサルの脆弱性

情報源
QNAP
Relative Path Traversal Vulnerability in QTS and QuTS hero
https://www.qnap.com/en/security-advisory/qsa-21-14

概要
QNAP QTSおよびQuTS heroには、ディレクトリトラバーサルの脆弱性がありま
す。結果として、遠隔の第三者が、任意のファイルを改ざんするなどの可能性
があります。

対象となるバージョンは次のとおりです。

- QTS 4.5.2.1630 Build 20210406およびそれ以前
- QTS 4.3.6.1663 Build 20210504およびそれ以前
- QTS 4.3.3.1624 Build 20210416およびそれ以前
- QuTS hero h4.5.2.1638 Build 20210414およびそれ以前

この問題は、QTSおよびQuTS heroをQNAP Systemsが提供する修正済みのバージョン
に更新することで解決します。詳細は、QNAP Systemsが提供する情報を参照し
てください。

【6】複数のPHP工房製品に複数のクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#53910556
複数の PHP工房製品における複数のクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN53910556/

概要
複数のPHP工房製品には、複数のクロスサイトスクリプティングの脆弱性があ
ります。結果として、当該製品の管理者画面にアクセスしたユーザーのWebブ
ラウザー上で、任意のスクリプトを実行される可能性があります。

対象となるバージョンは次のとおりです。

- 【MailForm01】PHP多機能メールフォームフリー(無料)版 プログラムファイル上部記載の最終更新日が2014年12月12日から2018年7月27日までのバージョン
- 【Telop01】PHPテロップ・ニュースティッカー・ヘッドラインCMSフリー(無料)版 ver1.0.1およびそれ以前
- 【Calendar01】(3デバイス対応)PHP営業日・スケジュールカレンダーフリー(無料)版 ver1.0.1およびそれ以前

この問題は、該当する製品をPHP工房が提供する修正済みのバージョンに更新
することで解決します。詳細は、PHP工房が提供する情報を参照してください。

関連文書 (日本語)
PHP工房
【MailForm01】PHP多機能メールフォーム フリー(無料)版
https://www.php-factory.net/mail/01.php

PHP工房
【Telop01】PHPテロップ・ニュースティッカー・ヘッドラインCMS フリー(無料)版
https://www.php-factory.net/telop/01.php

PHP工房
【Calendar01】(3デバイス対応)PHP営業日・スケジュールカレンダーフリー(無料)版
https://www.php-factory.net/calendar/01.php

【7】OverwolfインストーラーにDLL読み込みに関する脆弱性

情報源
Japan Vulnerability Notes JVN#78254777
Overwolf インストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN78254777/

概要
Overwolfのインストーラーには、DLL読み込みに関する脆弱性があります。結
果として、第三者がインストーラーの実行権限で任意のコードを実行する可能
性があります。

対象となるバージョンは次のとおりです。

- Overwolfのインストーラー 2.168.0.nおよびそれ以前

この問題は、Overwolf Ltd.が提供する修正済みのインストーラーを利用する
ことで解決します。詳細は、Overwolf Ltd.が提供する情報を参照してくださ
い。

関連文書 (英語)
Overwolf Ltd.
Development of gaming apps made easy
https://www.overwolf.com/

【8】ScanSnap ManagerのインストーラーにDLL読み込みに関する脆弱性

情報源
Japan Vulnerability Notes JVN#65733194
ScanSnap Manager のインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN65733194/

概要
ScanSnap Managerのインストーラーには、DLL読み込みに関する脆弱性があり
ます。結果として、第三者がインストーラーの実行権限で任意のコードを実行
する可能性があります。

対象となるバージョンは次のとおりです。

- ScanSnap Manager V7.0L20よりも前のバージョンのインストーラー
- ソフトウェア ダウンロードインストーラー WinSSInst2JP.exeおよびWinSSInst2iX1500JP.exeよりも前のインストーラー

この問題は、富士通株式会社が提供する修正済みのインストーラーを利用する
ことで解決します。詳細は、富士通株式会社が提供する情報を参照してくださ
い。

関連文書 (日本語)
富士通株式会社
ScanSnap ドライバダウンロード
http://scansnap.fujitsu.com/jp/dl/

【9】JNSAが「セキュリティ知識分野(SecBoK)人材スキルマップ2021年版」を公開

情報源
日本ネットワークセキュリティ協会 (JNSA)
セキュリティ知識分野(SecBoK)人材スキルマップ2021年版
https://www.jnsa.org/result/skillmap/

概要
日本ネットワークセキュリティ協会 (JNSA) は、「セキュリティ知識分野(SecBoK)
人材スキルマップ2021年版」を公開しました。多くの企業でセキュリティ人材
育成の参考資料として活用されている本資料は、BoK(Body of Knowledge)で
あるとの原点に立ち返り、ディクショナリー的位置付けとして、より多くの方
が参照できることを目標に見直されているとのことです。


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○Internet Explorer 11 デスクトップアプリが2022年6月15日にサポート終了

Microsoftが提供するWindows 10のInternet Explorer 11 デスクトップアプリ
は2022年6月15日にサポートが終了します。Microsoftによると、Windows 10に
おけるInternet Explorerの後継はMicrosoft Edgeであるとのことです。Microsoft
Edgeへの移行を検討してください。

参考文献 (日本語)
Microsoft
Internet Explorer は Microsoft Edge へ - Windows 10 の Internet Explorer 11 デスクトップアプリは 2022 年 6 月 15 日にサポート終了
https://blogs.windows.com/japan/2021/05/19/the-future-of-internet-explorer-on-windows-10-is-in-microsoft-edge/