目 次
【1】複数のマイクロソフト製品に脆弱性
【2】複数のアドビ製品に脆弱性
【3】複数のCisco製品に脆弱性
【4】複数のJuniper製品に脆弱性
【5】複数のSAP製品に脆弱性
【6】Apache Tomcatに情報漏えいの脆弱性
【7】Mozilla Thunderbirdに解放済みメモリ使用(use-after-free)の脆弱性
【8】SKYSEA Client ViewにDLL読み込みに関する脆弱性
【9】acmailerに複数の脆弱性
【10】ウイルスバスタービジネスセキュリティシリーズに複数の脆弱性
【11】Apex One およびウイルスバスター コーポレートエディションに複数の脆弱性
【今週のひとくちメモ】アドビはFlash PlayerにおけるFlashコンテンツの実行をブロックしました
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr210301.html
https://www.jpcert.or.jp/wr/2021/wr210301.xml
============================================================================
【1】複数のマイクロソフト製品に脆弱性
情報源
CISA Current Activity
Microsoft Releases January 2021 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/01/12/microsoft-releases-january-2021-security-updates
CISA Current Activity
RCE Vulnerability Affecting Microsoft Defender
https://us-cert.cisa.gov/ncas/current-activity/2021/01/14/rce-vulnerability-affecting-microsoft-defender
CISA Current Activity
Microsoft Releases Security Updates for Edge
https://us-cert.cisa.gov/ncas/current-activity/2021/01/11/microsoft-releases-security-updates-edge
概要
複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。
対象となる製品は次のとおりです。
- Microsoft Windows
- Microsoft Edge(EdgeHTMLベース)
- Microsoft Edge(Chromiumベース)
- Microsoft Office、Microsoft Office Services、およびWeb Apps
- Microsoft Windows Codecs Library
- Visual Studio
- SQL Server
- Microsoft Malware Protection Engine
- .NET Core
- .NET Repository
- ASP .NET
- Azure
- Windows Defender
この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフトが提供する情報を参照してください。
関連文書 (日本語)
マイクロソフト株式会社
2021 年 1 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/2021-Jan
マイクロソフト株式会社
Microsoft Edge (Chromium ベース) 用の Chromium のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/vulnerability/ADV200002
マイクロソフト株式会社
Microsoft Defender のリモートでコードが実行される脆弱性
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1647
JPCERT/CC 注意喚起
2021年1月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2021/at210001.html
【2】複数のアドビ製品に脆弱性
情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/01/12/adobe-releases-security-updates-multiple-products
概要
複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。
対象となる製品は次のとおりです。
- Adobe Photoshop
- Adobe Illustrator
- Adobe Animate
- Adobe Campaign Classic
- Adobe InCopy
- Adobe Captivate
- Adobe Bridge
この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021011301.html
関連文書 (英語)
アドビ
Security Bulletins Posted
https://blogs.adobe.com/psirt/?p=1960
アドビ
Security updates available for Adobe Photoshop | APSB21-01
https://helpx.adobe.com/security/products/photoshop/apsb21-01.html
アドビ
Security Updates Available for Adobe Illustrator | APSB21-02
https://helpx.adobe.com/security/products/illustrator/apsb21-02.html
アドビ
Security updates available for Adobe Animate | APSB21-03
https://helpx.adobe.com/security/products/animate/apsb21-03.html
アドビ
Security updates available for Adobe Campaign Classic | APSB21-04
https://helpx.adobe.com/security/products/campaign/apsb21-04.html
アドビ
Security Update Available for Adobe InCopy | APSB21-05
https://helpx.adobe.com/security/products/incopy/apsb21-05.html
アドビ
Security hotfix available for Adobe Captivate | APSB21-06
https://helpx.adobe.com/security/products/captivate/apsb21-06.html
アドビ
Security Updates Available for Adobe Bridge | APSB21-07
https://helpx.adobe.com/security/products/bridge/apsb21-07.html
【3】複数のCisco製品に脆弱性
情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/01/14/cisco-releases-security-updates-multiple-products
概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。
影響度CriticalおよびHighの脆弱性情報に記載されている製品は次のとおりで
す。
- Cisco AnyConnect Secure Mobility Client for Windows 4.9.04043より前のバージョン
- Cisco Small Business routers
RV110W Wireless-N VPN Firewall
RV130 VPN Router
RV130W Wireless-N Multifunction VPN Router
RV215W Wireless-N VPN Router
- Cisco CMX releases 10.6.0、10.6.1、および10.6.2
※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、
影響度Mediumの複数の脆弱性情報が公開されています。詳細は、Ciscoが提
供する情報を参照してください。
この問題の解決策は次の通りです。該当する製品のうちサポート対象の製品は
Ciscoが提供する修正済みのバージョンに更新してください。EOL製品は代替品
への置き換えを検討してください。
関連文書 (英語)
Cisco
Cisco Small Business RV110W, RV130, RV130W, and RV215W Routers Management Interface Remote Command Execution and Denial of Service Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-overflow-WUnUgv4U
Cisco
Cisco AnyConnect Secure Mobility Client for Windows DLL Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-anyconnect-dll-injec-pQnryXLf
Cisco
Cisco Small Business RV110W, RV130, RV130W, and RV215W Routers Management Interface Command Injection Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-command-inject-LBdQ2KRN
Cisco
Cisco Connected Mobile Experiences Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cmxpe-75Asy9k
【4】複数のJuniper製品に脆弱性
情報源
CISA Current Activity
Juniper Networks Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/01/14/juniper-networks-releases-security-updates-multiple-products
概要
複数のJuniper製品には、脆弱性があります。結果として、遠隔の第三者が
サービス運用妨害(DoS)攻撃を行ったりするなどの可能性があります。
対象となる製品は、多岐に渡ります。詳細は、Juniperが提供する情報を参照
してください。
関連文書 (英語)
Juniper Networks
Security Advisories
https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES
【5】複数のSAP製品に脆弱性
情報源
CISA Current Activity
SAP Releases January 2021 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/01/12/sap-releases-january-2021-security-updates
概要
複数のSAP製品には、脆弱性があります。結果として、遠隔の第三者がSQLイン
ジェクション攻撃を実施するなどの可能性があります。
対象となる製品は、多岐に渡ります。詳細はSAPが提供するアドバイザリ情報
を参照してください。
この問題は、該当する製品を SAPが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、SAPが提供する情報を参照してください。
関連文書 (英語)
SAP
SAP Security Patch Day - January 2021
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=564760476
【6】Apache Tomcatに情報漏えいの脆弱性
情報源
CISA Current Activity
Apache Releases Security Advisory for Tomcat
https://us-cert.cisa.gov/ncas/current-activity/2021/01/15/apache-releases-security-advisory-tomcat
概要
Apache Tomcatには、情報漏えいの脆弱性があります。結果としてJSPのソース
コードが漏えいするなどの可能性があります。
対象となる製品は以下のとおりです。
- Apache Tomcat 10.0.0-M1から10.0.0-M9
- Apache Tomcat 9.0.0.M1から9.0.39
- Apache Tomcat 8.5.0から8.5.59
- Apache Tomcat 7.0.0から7.0.106
この問題は、Apache Tomcatを開発者が提供する修正済みのバージョンに更新
することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#96136392
Apache Tomcat における Java API の実装不備に起因する情報漏えいの脆弱性
https://jvn.jp/vu/JVNVU96136392/
JPCERT/CC 注意喚起
Apache Tomcatの脆弱性(CVE-2021-24122)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210002.html
関連文書 (英語)
Apache Software Foundation
CVE-2021-24122 Apache Tomcat Information Disclosure
https://lists.apache.org/thread.html/r1595889b083e05986f42b944dc43060d6b083022260b6ea64d2cec52%40%3Cannounce.tomcat.apache.org%3E
Apache Software Foundation
Fixed in Apache Tomcat 10.0.0-M10
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M10
Apache Software Foundation
Fixed in Apache Tomcat 9.0.40
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.40
Apache Software Foundation
Fixed in Apache Tomcat 8.5.60
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.60
Apache Software Foundation
Fixed in Apache Tomcat 7.0.107
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.107
【7】Mozilla Thunderbirdに解放済みメモリ使用(use-after-free)の脆弱性
情報源
CISA Current Activity
Mozilla Releases Security Update for Thunderbird
https://us-cert.cisa.gov/ncas/current-activity/2021/01/12/mozilla-releases-security-update-thunderbird
概要
Mozilla Thunderbirdには、解放済みメモリ使用(use-after-free)の脆弱性
があります。結果として、第三者が任意のコードを実行するなどの可能性があ
ります。
対象となるバージョンは次のとおりです。
- Mozilla Thunderbird 78.6.1より前のバージョン
この問題は、Mozilla ThunderbirdをMozillaが提供する修正済みのバージョン
に更新することで解決します。詳細は、Mozillaが提供する情報を参照してく
ださい。
関連文書 (英語)
Mozilla
Mozilla Foundation Security Advisory 2021-02
https://www.mozilla.org/en-US/security/advisories/mfsa2021-02/
【8】SKYSEA Client ViewにDLL読み込みに関する脆弱性
情報源
Japan Vulnerability Notes JVN#69635538
SKYSEA Client View のインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN69635538/
概要
Sky株式会社が提供するSKYSEA Client Viewには、DLL読み込みに関する脆弱性
があります。結果として、第三者がインストーラを実行している権限で任意の
コードを実行する可能性があります。
対象となるバージョンは次のとおりです。
- SKYSEA Client View Ver.1.020.05bから16.001.01gまで
この問題は最新のインストーラを使用することで解決します。詳細はSky株式
会社が提供する情報を参照してください。
関連文書 (日本語)
Sky株式会社
【重要】DLLプリロードの脆弱性に関する注意喚起(CVE-2021-20616)
https://www.skyseaclientview.net/news/210112_01/
【9】acmailerに複数の脆弱性
情報源
Japan Vulnerability Notes JVN#35906450
acmailer における複数の脆弱性
https://jvn.jp/jp/JVN35906450/
概要
株式会社シーズが提供するacmailerには、複数の脆弱性があります。結果とし
て第三者が管理者権限を取得し、サーバ上の機微な情報を窃取するなどの可能
性があります。
対象となる製品は以下のとおりです。
- acmailer ver. 4.0.2およびそれ以前
- acmailer DB ver. 1.1.4およびそれ以前
この問題は、該当する製品を株式会社シーズが提供する修正済みのバージョン
に更新することで解決します。詳細は、株式会社シーズが提供する情報を参照
してください。
関連文書 (日本語)
株式会社シーズ
acmailerおよびacmailer DBの脆弱性につきまして
https://www.acmailer.jp/info/de.cgi?id=98
株式会社シーズ
acmailerおよびacmailer DBの脆弱性につきまして(2)
https://www.acmailer.jp/info/de.cgi?id=101
【10】ウイルスバスタービジネスセキュリティシリーズに複数の脆弱性
情報源
Japan Vulnerability Notes JVNVU#99904867
ウイルスバスタービジネスセキュリティシリーズにおける複数の脆弱性
https://jvn.jp/vu/JVNVU99904867/
概要
ウイルスバスタービジネスセキュリティシリーズには、複数の脆弱性がありま
す。結果として遠隔の第三者が認証を回避し、管理サーバ上の任意のファイル
を変更や削除するなどの可能性があります。
対象となる製品は以下のとおりです。
- ウイルスバスタービジネスセキュリティ 9.5および10.0SP1
- ウイルスバスタービジネスセキュリティサービス 6.7
この問題は、該当する製品をトレンドマイクロ株式会社が提供するパッチを適
用する、または最新版にアップグレードすることで解決します。なお、ウイル
スバスタービジネスセキュリティサービスは2020年8月15日のメンテナンスで
修正されています。詳細は開発者のサイトを確認してください。
関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスタービジネスセキュリティとウイルスバスタービジネスセキュリティサービスで 確認された複数の脆弱性について(2020年11月)
https://success.trendmicro.com/jp/solution/000281958
【11】Apex One およびウイルスバスター コーポレートエディションに複数の脆弱性
情報源
Japan Vulnerability Notes JVNVU#92683420
Apex One およびウイルスバスター コーポレートエディションにおける複数の脆弱性
https://jvn.jp/vu/JVNVU92683420/
概要
Apex Oneおよびウイルスバスター コーポレートエディションには、複数の脆
弱性があります。結果として管理者権限を持たない第三者が管理サーバ上で任
意のコードを実行するなどの可能性があります。
対象となる製品は以下のとおりです。
- Apex One 2019 CP8422(Build 8400)より前のバージョン
- Apex One SaaS
- ウイルスバスター コーポレートエディション XG SP1 CP 5702より前のバージョン
この問題は、該当する製品を開発者が提供するパッチを適用することで解決し
ます。なお、Apex One SaaSは2020年8月Updateで修正されています。詳細は開
発者のサイトを確認してください。
関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ:Trend Micro Apex Oneとウイルスバスターコーポレートエディションで 確認された複数の脆弱性について(2020年11月)
https://success.trendmicro.com/jp/solution/000273338
――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――
○アドビはFlash PlayerにおけるFlashコンテンツの実行をブロックしました
アドビは2020年12月31日でFlash Playerのサポートを終了したため、2021年1
月12日以降、Flash PlayerにおけるFlashコンテンツの実行をブロックしまし
た。アドビはすべてのユーザーにFlash Playerを直ちにアンインストールする
ことを推奨しています。
参考文献 (日本語)
アドビ
Adobe Flash Playerサポート終了情報ページ
https://www.adobe.com/jp/products/flashplayer/end-of-life.html
