ミニ・いんふぉめーしょん

目 次

【1】複数のマイクロソフト製品に脆弱性
【2】複数のアドビ製品に脆弱性
【3】Google Chromeに複数の脆弱性
【4】Citrix Workspace App for Windowsに権限昇格の脆弱性
【5】WordPressに複数の脆弱性
【6】複数のIntel製品に脆弱性
【7】複数のトレンドマイクロ製品に脆弱性
【8】EC-CUBEにクロスサイトスクリプティングの脆弱性
【9】RFNTPSにOSコマンドインジェクションの脆弱性
【10】KonaWiki2に複数の脆弱性
【11】mod_auth_openidcにサービス運用妨害（DoS）の脆弱性
【12】IEEE802.11規格のフレームアグリゲーションやフラグメンテーションに複数の脆弱性
【今週のひとくちメモ】NISCが「次期サイバーセキュリティ戦略の骨子」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr211901.html
https://www.jpcert.or.jp/wr/2021/wr211901.xml
============================================================================

【1】複数のマイクロソフト製品に脆弱性

情報源
CISA Current Activity
Microsoft Releases May 2021 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/05/11/microsoft-releases-may-2021-security-updates

概要
複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。

対象となる製品は、多岐に渡ります。詳細はマイクロソフトが提供するアドバ
イザリ情報を参照してください。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフトが提供する情報を参照してください。

関連文書 (日本語)
マイクロソフト株式会社
May 2021 Security Updates
https://msrc.microsoft.com/update-guide/releaseNote/2021-May

JPCERT/CC 注意喚起
2021年5月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2021/at210024.html

【2】複数のアドビ製品に脆弱性

情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/05/11/adobe-releases-security-updates-multiple-products

概要
複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe Experience Manager
- Adobe InDesign
- Adobe Illustrator
- Adobe InCopy
- Adobe Genuine Service
- Adobe Acrobat and Reader
- Magento
- Adobe Media Encoder
- Adobe After Effects
- Adobe Medium
- Adobe Animate

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
Adobe AcrobatおよびReaderの脆弱性（APSB21-29）に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210023.html

JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021051201.html

アドビ
Adobe Experience Manager に関するセキュリティアップデート公開 | APSB21-15
https://helpx.adobe.com/jp/security/products/experience-manager/apsb21-15.html

アドビ
Adobe InDesign に関するセキュリティアップデート公開 | APSB21-22
https://helpx.adobe.com/jp/security/products/indesign/apsb21-22.html

アドビ
Adobe Illustrator に関するセキュリティアップデート公開 | APSB21-24
https://helpx.adobe.com/jp/security/products/illustrator/apsb21-24.html

アドビ
Adobe InCopy に関するセキュリティアップデート公開 | APSB21-25
https://helpx.adobe.com/jp/security/products/incopy/apsb21-25.html

アドビ
アドビ正規品サービスに関するセキュリティアップデート公開 | APSB21-27
https://helpx.adobe.com/jp/security/products/integrity_service/apsb21-27.html

アドビ
Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB21-29
https://helpx.adobe.com/jp/security/products/acrobat/apsb21-29.html

アドビ
Magento に関するセキュリティアップデート公開 | APSB21-30
https://helpx.adobe.com/jp/security/products/magento/apsb21-30.html

アドビ
Adobe Creative Cloud デスクトップアプリケーションに関するセキュリティアップデート公開 | APSB21-31
https://helpx.adobe.com/jp/security/products/creative-cloud/apsb21-31.html

アドビ
Adobe Media Encoder に関するセキュリティアップデート公開 | APSB21-32
https://helpx.adobe.com/jp/security/products/media-encoder/apsb21-32.html

アドビ
Adobe After Effects に関するセキュリティアップデート公開 | APSB21-33
https://helpx.adobe.com/jp/security/products/after_effects/apsb21-33.html

アドビ
Medium by Adobe に関するセキュリティアップデート公開 | APSB21-34
https://helpx.adobe.com/jp/security/products/medium/apsb21-34.html

アドビ
Adobe Animate に関するセキュリティアップデート公開 | APSB35-21
https://helpx.adobe.com/jp/security/products/animate/apsb21-35.html

【3】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/05/11/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 90.0.4430.212より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/05/stable-channel-update-for-desktop.html

【4】Citrix Workspace App for Windowsに権限昇格の脆弱性

情報源
CISA Current Activity
Citrix Releases Security Updates for Workspace App for Windows
https://us-cert.cisa.gov/ncas/current-activity/2021/05/11/citrix-releases-security-updates-workspace-app-windows

概要
Citrix Workspace App for Windowsには、権限昇格の脆弱性があります。結果
として、ユーザーがユーザー権限でSYSTEM権限の操作をする可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Citrix Workspace App 2105以降
- Citrix Workspace App 1912 LTSR CU4以降

この問題は、Citrixが提供する修正済みのバージョンに更新することで解決し
ます。詳細は、Citrixが提供する情報を参照してください。

関連文書 (英語)
Citrix
Citrix Workspace App Security Update
https://support.citrix.com/article/CTX307794

【5】WordPressに複数の脆弱性

情報源
CISA Current Activity
WordPress Releases Security Update
https://us-cert.cisa.gov/ncas/current-activity/2021/05/13/wordpress-releases-security-update

概要
WordPressには、複数の脆弱性があります。結果として、第三者がシステムを
制御するなどの可能性があります。

対象となるバージョンは次のとおりです。

- WordPress 3.7から5.7

この問題は、WordPressをWordPressが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、WordPressが提供する情報を参照してください。

関連文書 (英語)
WordPress
WordPress 5.7.2 セキュリティリリース
https://ja.wordpress.org/2021/05/13/wordpress-5-7-2-security-release/

【6】複数のIntel製品に脆弱性

情報源
JPCERT/CC CyberNewsFlash
Intel製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2021051202.html

概要
Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security
Center Advisoriesが公開されました。

詳細は、Intelが提供する情報を参照してください。

関連文書 (英語)
Intel
Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html

【7】複数のトレンドマイクロ製品に脆弱性

情報源
Japan Vulnerability Notes JVNVU#97581596
トレンドマイクロ製 Apex One およびウイルスバスターシリーズにおける複数の脆弱性
https://jvn.jp/vu/JVNVU97581596/

概要
複数のトレンドマイクロ製品には、脆弱性があります。結果として、遠隔の第
三者が情報を窃取するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Apex One 2019、SaaS
- ウイルスバスターコーポレートエディション XG SP1
- ウイルスバスタービジネスセキュリティ 9.5および10 SP1
- ウイルスバスタービジネスセキュリティサービス 6.7

この問題は、該当する製品にトレンドマイクロ株式会社が提供するパッチを適
用するか、修正済みのバージョンに更新することで解決します。詳細は、トレ
ンドマイクロ株式会社が提供する情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ：Trend Micro Apex Oneとウイルスバスターコーポレートエディションで 確認された複数の脆弱性について（2021年1月）
https://success.trendmicro.com/jp/solution/000284208

トレンドマイクロ株式会社
アラート/アドバイザリ：ウイルスバスタービジネスセキュリティとウイルスバスタービジネスセキュリティサービスで確認された複数の脆弱性について（2021年1月）
https://success.trendmicro.com/jp/solution/000284234

【8】EC-CUBEにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#97554111
EC-CUBE におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN97554111/

概要
EC-CUBEには、クロスサイトスクリプティングの脆弱性があります。結果とし
て、遠隔の第三者がユーザーのブラウザー上で任意のスクリプトを実行する可
能性があります。

対象となるバージョンは次のとおりです。

- EC-CUBE 4.0.0から4.0.5までのバージョン

この問題は、EC-CUBEに株式会社イーシーキューブが提供するパッチを適用す
るか、修正済みのバージョンに更新することで解決します。詳細は、株式会社
イーシーキューブが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
EC-CUBEのクロスサイトスクリプティングの脆弱性（CVE-2021-20717）に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210022.html

株式会社イーシーキューブ
【重要】EC-CUBE 4.0系における緊急度「高」の脆弱性(JVN#97554111)発覚と対応のお願い(2021/5/13 19:00 更新)（2021/05/13）
https://www.ec-cube.net/news/detail.php?news_id=383

株式会社イーシーキューブ
脆弱性対応版「EC-CUBE 4.0.5-p1」をリリース（2021/05/10）
https://www.ec-cube.net/news/detail.php?news_id=384

【9】RFNTPSにOSコマンドインジェクションの脆弱性

情報源
Japan Vulnerability Notes JVN#13076220
RFNTPS における OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN13076220/

概要
RFNTPSには、OSコマンドインジェクションの脆弱性があります。結果として、
同一LANにアクセス可能な第三者が任意のOSコマンドを実行する可能性があり
ます。

対象となるバージョンは次のとおりです。

- System_01000005、Web_01000005より前のバージョン

この問題は、日本アンテナ株式会社が提供する最新版にファームウェアをアッ
プデートすることで解決します。詳細は、日本アンテナ株式会社が提供する情
報を参照してください。

関連文書 (日本語)
日本アンテナ株式会社
【重要なお知らせ】地上波受信型NTPサーバーのご使用時におけるセキュリティに関する注意
https://www.nippon-antenna.co.jp/ja/news/news/news8217702780390204428.html

【10】KonaWiki2に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#34232719
KonaWiki2 における複数の脆弱性
https://jvn.jp/jp/JVN34232719/

概要
KonaWiki2には、複数の脆弱性があります。結果として、遠隔の第三者が、情
報を窃取したり、任意のコードを実行したりするなどの可能性があります。

対象となるバージョンは次のとおりです。

- KonaWiki2.2.4より前のバージョン

この問題は、KonaWiki2をくじらはんどが提供する修正済みのバージョンに更
新することで解決します。詳細は、くじらはんどが提供する情報を参照してだ
さい。

関連文書 (日本語)
くじらはんど
KonaWiki
https://kujirahand.com/konawiki/

【11】mod_auth_openidcにサービス運用妨害（DoS）の脆弱性

情報源
Japan Vulnerability Notes JVN#49704918
mod_auth_openidc におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN49704918/

概要
mod_auth_openidcには、脆弱性があります。結果として、遠隔の第三者が、サー
ビス運用妨害（DoS）攻撃を行う可能性があります。

対象となるバージョンは次のとおりです。

- mod_auth_openidc 2.4.0から2.4.7

この問題は、mod_auth_openidcをZmartZoneが提供する修正済みのバージョン
に更新することで解決します。詳細は、ZmartZoneが提供する情報を参照して
ください。

関連文書 (英語)
ZmartZone
mod_auth_openidc
https://github.com/zmartzone/mod_auth_openidc

【12】IEEE802.11規格のフレームアグリゲーションやフラグメンテーションに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#93485736
IEEE802.11 規格のフレームアグリゲーションやフラグメンテーションに関する複数の問題（FragAttack）
https://jvn.jp/vu/JVNVU93485736/

概要
IEEE802.11規格のフレームアグリゲーションやフラグメンテーションには、複
数の脆弱性があります。結果として、遠隔の第三者が、通信内容を窃取したり、
不正なパケットを挿入したりする可能性があります。

対象となる製品は次のとおりです。

- IEEE802.11規格のフレームアグリゲーションやフラグメンテーションを実装している製品

製品の開発者が提供する情報を注視し、可能な限り最新版にアップデートし
てください。

関連文書 (英語)
FragAttack
FragAttack
https://www.fragattacks.com/

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○NISCが「次期サイバーセキュリティ戦略の骨子」を公開

2021年5月13日、内閣サイバーセキュリティセンター（NISC）は、「次期サイ
バーセキュリティ戦略の骨子」を公開しました。この骨子は、今後3年間にお
ける日本政府の目標や実施方針を示すものとなっており、次期サイバーセキュ
リティ戦略の課題と方向性を示しています。経済社会の活力の向上および持続
的発展、国民が安全で安心して暮らせるデジタル社会、国際社会の平和・安定
および日本の安全保障への寄与などについて記述しています。

参考文献 (日本語)
内閣サイバーセキュリティセンター（NISC）
次期サイバーセキュリティ戦略の骨子
https://www.nisc.go.jp/conference/cs/dai28/pdf/28shiryou01.pdf

目 次

【1】ISC BIND 9に複数の脆弱性
【2】複数のCisco製品に脆弱性
【3】Google Chromeに複数の脆弱性
【4】複数のApple製品に脆弱性
【5】複数のMozilla製品に脆弱性
【6】VMware vRealize Business for Cloudにリモートコード実行の脆弱性
【7】Sambaに境界外読み取りの脆弱性
【8】Eximに複数の脆弱性
【9】GitLabに複数の脆弱性
【10】スマートフォンアプリ「ホットペッパーグルメ」にアクセス制限不備の脆弱性
【11】バッファロー製の複数のネットワーク機器にデバッグ機能を有効化される問題
【12】バッファロー製ルーターに複数の脆弱性
【13】WordPress用プラグインWP Fastest Cacheにディレクトリトラバーサルの脆弱性
【今週のひとくちメモ】経済産業省が「サイバーセキュリティ体制構築・人材確保の手引き」（第1.1版）を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr211801.html
https://www.jpcert.or.jp/wr/2021/wr211801.xml
============================================================================

【1】ISC BIND 9に複数の脆弱性

情報源
CISA Current Activity
ISC Releases Security Advisory for BIND
https://us-cert.cisa.gov/ncas/current-activity/2021/04/29/isc-releases-security-advisory-bind

概要
ISC BIND 9には、複数の脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害（DoS）攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- BIND 9.16系9.16.0から9.16.13まで
- BIND 9.11系9.11.0から9.11.29まで
- BIND 9 Supported Preview Edition 9.16.8-S1から9.16.11-S3まで
- BIND 9 Supported Preview Edition 9.11.3-S1から9.11.29-S1まで

なお、すでにサポートが終了しているBIND 9.10系以前や9.12系、9.13系、
9.15系および開発版の9.17系についても本脆弱性の影響を受けます。

この問題は、ISC BINDをISCが提供する修正済みのバージョンに更新すること
で解決します。詳細は、ISCが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
ISC BIND 9の複数の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210021.html

株式会社日本レジストリサービス（JPRS）
BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2021-25214）- セカンダリサーバーのみ対象、バージョンアップを推奨 -
https://jprs.jp/tech/security/2021-04-30-bind9-vuln-ixfr.html

株式会社日本レジストリサービス（JPRS）
（緊急）BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2021-25215）- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2021-04-30-bind9-vuln-dname.html

株式会社日本レジストリサービス（JPRS）
（緊急）BIND 9.xの脆弱性（DNSサービスの停止・リモートコード実行）について（CVE-2021-25216）- GSS-TSIGが有効に設定されている場合のみ対象、バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2021-04-30-bind9-vuln-gsstsig.html

Japan Vulnerability Notes JVNVU#94179101
ISC BIND における複数の脆弱性
https://jvn.jp/vu/JVNVU94179101/

関連文書 (英語)
Internet Systems Consortium, Inc.（ISC）
CVE-2021-25214: A broken inbound incremental zone update (IXFR) can cause named to terminate unexpectedly
https://kb.isc.org/docs/cve-2021-25214

Internet Systems Consortium, Inc.（ISC）
CVE-2021-25215: An assertion check can fail while answering queries for DNAME records that require the DNAME to be processed to resolve itself
https://kb.isc.org/docs/cve-2021-25215

Internet Systems Consortium, Inc.（ISC）
CVE-2021-25216: A second vulnerability in BIND's GSSAPI security policy negotiation can be targeted by a buffer overflow attack
https://kb.isc.org/docs/cve-2021-25216

【2】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/04/29/cisco-releases-security-updates-multiple-products

CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/05/06/cisco-releases-security-updates-multiple-products

概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が、任
意のコードを実行したり、サービス運用妨害（DoS）攻撃を行ったりするなど
の可能性があります。

対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ
情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【3】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/04/27/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 90.0.4430.93より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/04/stable-channel-update-for-desktop_26.html

【4】複数のApple製品に脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/04/27/apple-releases-security-updates

CISA Current Activity
Apple Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/05/04/apple-releases-security-updates

概要
複数のApple製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- iTunes for Windows 12.11.3より前のバージョン
- Xcode 12.5より前のバージョン
- iCloud for Windows 12.3より前のバージョン
- tvOS 14.5より前のバージョン
- macOS Catalina（Security Update 2021-002 未適用）
- macOS Mojave（Security Update 2021-003 未適用）
- macOS Big Sur 11.3.1より前のバージョン
- iOS 14.5.1より前のバージョン
- iPadOS 14.5.1より前のバージョン
- watchOS 7.4.1より前のバージョン
- Safari 14.1より前のバージョン
- iOS 12.5.3より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数のApple製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021042701.html

JPCERT/CC CyberNewsFlash
複数のApple製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021050601.html

Apple
iTunes for Windows 12.11.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212319

Apple
Xcode 12.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212320

Apple
tvOS 14.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212323

Apple
セキュリティアップデート 2021-002 Catalina のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212326

Apple
セキュリティアップデート 2021-003 Mojave のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212327

Apple
macOS Big Sur 11.3.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212335

Apple
iOS 14.5.1 および iPadOS 14.5.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212336

Apple
watchOS 7.4.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212339

Apple
Safari 14.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212340

Apple
iOS 12.5.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212341

関連文書 (英語)
Apple
About the security content of iCloud for Windows 12.3
https://support.apple.com/en-us/HT212321

【5】複数のMozilla製品に脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox
https://us-cert.cisa.gov/ncas/current-activity/2021/05/06/mozilla-releases-security-updates-firefox

概要
複数のMozilla製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 88.0.1より前のバージョン
- Mozilla Firefox for Android 88.1.3より前のバージョン
- Mozilla Firefox ESR 78.10.1より前のバージョン
- Mozilla Thunderbird 78.10.1より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox ESR 78.10.1
https://www.mozilla.org/en-US/security/advisories/mfsa2021-18/

Mozilla
Security Vulnerabilities fixed in Thunderbird 78.10.1
https://www.mozilla.org/en-US/security/advisories/mfsa2021-19/

Mozilla
Security Vulnerabilities fixed in Firefox 88.0.1, Firefox for Android 88.1.3
https://www.mozilla.org/en-US/security/advisories/mfsa2021-20/

【6】VMware vRealize Business for Cloudにリモートコード実行の脆弱性

情報源
CISA Current Activity
VMware Releases Security Update
https://us-cert.cisa.gov/ncas/current-activity/2021/05/06/vmware-releases-security-update

概要
VMware vRealize Business for Cloudには、リモートコード実行の脆弱性があ
ります。結果として、遠隔の第三者が任意のコードを実行する可能性がありま
す。

対象となるバージョンは次のとおりです。

- VMware vRealize Business for Cloud 7.6より前のバージョン

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、VMwareが提供する情報を参照してください。

関連文書 (英語)
VMware Security Advisories
VMSA-2021-0007
https://www.vmware.com/security/advisories/VMSA-2021-0007.html

【7】Sambaに境界外読み取りの脆弱性

情報源
CISA Current Activity
Samba Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/04/30/samba-releases-security-updates

概要
Sambaには、境界外読み取りの脆弱性があります。結果として、第三者が許可
されていないファイルへアクセスするなどの可能性があります。

対象となるバージョンは次のとおりです。

- Samba 4.14.4より前の4.14系バージョン
- Samba 4.13.8より前の4.13系バージョン
- Samba 4.12.15より前の4.12系バージョン

この問題は、SambaをThe Samba Teamが提供する修正済みのバージョンに更新
することで解決します。詳細は、The Samba Teamが提供する情報を参照してく
ださい。

関連文書 (英語)
The Samba Team
Negative idmap cache entries can cause incorrect group entries in the Samba file server process token
https://www.samba.org/samba/security/CVE-2021-20254.html

【8】Eximに複数の脆弱性

情報源
CISA Current Activity
Exim Releases Security Update
https://us-cert.cisa.gov/ncas/current-activity/2021/05/07/exim-releases-security-update

概要
Eximには、複数の脆弱性があります。結果として、遠隔の第三者がroot権限で
任意のコマンドを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Exim 4.94.2より前のバージョン

この問題は、Eximを開発者や配布元が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ
さい。

関連文書 (英語)
Center for Internet Security
Multiple Vulnerabilities in Exim Could Allow for Remote Code Execution
https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-exim-could-allow-for-remote-code-execution_2021-064/

Exim
[exim] Exim 4.94.2 - security update released
https://lists.exim.org/lurker/message/20210504.134007.ce022df3.en.html

【9】GitLabに複数の脆弱性

情報源
GitLab
GitLab Security Release: 13.11.2, 13.10.4, and 13.9.7
https://about.gitlab.com/releases/2021/04/28/security-release-gitlab-13-11-2-released/

概要
GitLabには、複数の脆弱性があります。結果として、遠隔の第三者が、認証情
報を窃取したり、サービス運用妨害（DoS）攻撃を行ったりするなどの可能性
があります。

対象となるバージョンは次のとおりです。

- GitLab Community EditionおよびEnterprise Edition 13.11.2より前の13.11系バージョン
- GitLab Community EditionおよびEnterprise Edition 13.10.4より前の13.10系バージョン
- GitLab Community EditionおよびEnterprise Edition 13.9.7より前の13.9系バージョン

なお、GitLabによると、上記に記載されていないバージョンも影響を受けると
のことです。

この問題は、該当する製品をGitLabが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、GitLabが提供する情報を参照してください。

【10】スマートフォンアプリ「ホットペッパーグルメ」にアクセス制限不備の脆弱性

情報源
Japan Vulnerability Notes JVN#97434260
スマートフォンアプリ「ホットペッパーグルメ」におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN97434260/

概要
スマートフォンアプリ「ホットペッパーグルメ」には、アクセス制限不備の脆
弱性があります。結果として、遠隔の第三者が、当該製品を経由してユーザー
を任意のWebサイトにアクセスさせる可能性があります。

対象となるバージョンは次のとおりです。

- Androidアプリ「ホットペッパーグルメ」 ver.4.111.0およびそれ以前
- iOSアプリ「ホットペッパーグルメ」 ver.4.111.0およびそれ以前

この問題は、該当する製品を株式会社リクルートが提供する修正済みのバー
ジョンに更新することで解決します。詳細は、株式会社リクルートが提供する
情報を参照してください。

関連文書 (日本語)
株式会社リクルート
株式会社リクルートからの情報
https://jvn.jp/jp/JVN97434260/995838/

【11】バッファロー製の複数のネットワーク機器にデバッグ機能を有効化される問題

情報源
Japan Vulnerability Notes JVNVU#90274525
バッファロー製の複数のネットワーク機器においてデバッグ機能を有効化される問題
https://jvn.jp/vu/JVNVU90274525/

概要
株式会社バッファローが提供する複数のネットワーク機器には、第三者により
デバッグ機能を有効化される問題があります。結果として、隣接するネットワー
ク上の第三者が、任意のOSコマンドを実行したり、サービス運用妨害（DoS）
攻撃を行ったりするなどの可能性があります。

対象となる製品は多岐にわたります。詳細は株式会社バッファローが提供する
情報を参照してください。

当該製品のサポートは終了しており、修正アップデートは提供されません。株
式会社バッファローは製品の使用を停止し、代替製品へ移行することを推奨し
ています。詳細は、株式会社バッファローが提供する情報を参照してください。

関連文書 (日本語)
株式会社バッファロー
【更新】ルーター等の一部商品におけるデバッグオプションの脆弱性とその対処方法
https://www.buffalo.jp/news/detail/20210427-02.html

【12】バッファロー製ルーターに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#99235714
バッファロー製ルータにおける複数の脆弱性
https://jvn.jp/vu/JVNVU99235714/

概要
株式会社バッファローが提供するルーター製品には、複数の脆弱性があります。
結果として、隣接するネットワーク上の第三者が、当該機器の設定情報などを
窃取したり、root権限で任意のOSコマンドを実行したりするなどの可能性があ
ります。

対象となる製品は多岐にわたります。詳細は株式会社バッファローが提供する
情報を参照してください。

この問題は、該当する製品を株式会社バッファローが提供する修正済みのバー
ジョンに更新することで解決します。詳細は、株式会社バッファローが提供す
る情報を参照してください。

関連文書 (日本語)
株式会社バッファロー
一部ルーター商品における複数の脆弱性とその対処方法
https://www.buffalo.jp/news/detail/20210427-01.html

【13】WordPress用プラグインWP Fastest Cacheにディレクトリトラバーサルの脆弱性

情報源
Japan Vulnerability Notes JVN#35240327
WordPress 用プラグイン WP Fastest Cache におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN35240327/

概要
WordPress用プラグインWP Fastest Cacheには、ディレクトリトラバーサルの
脆弱性があります。結果として、当該製品に管理者権限でログイン可能な第三
者が、任意のファイルを削除する可能性があります。

対象となるバージョンは次のとおりです。

- WP Fastest Cache 0.9.1.7より前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
Emre Vona
WP Fastest Cache
https://wordpress.org/plugins/wp-fastest-cache/

Emre Vona
WP Fastest Cache Premium | The Fastest WordPress Cache Plugin
https://www.wpfastestcache.com/

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○経済産業省が「サイバーセキュリティ体制構築・人材確保の手引き」（第1.1版）を公開

2021年4月26日、経済産業省は「サイバーセキュリティ体制構築・人材確保の
手引き」（第1.1版）を公開しました。本手引きは企業がサイバーセキュリティ
経営ガイドラインに基づいてサイバーセキュリティの体制を構築し、人材を確
保するための要点がまとめられています。第1.1版では、サイバーセキュリティ
対策に従事する人材の確保方法、ユーザー企業で必要となるスキルの習得に活
用可能な資格制度、ユーザー企業でサイバーセキュリティ対策に従事する人材
育成のイメージなどが追加されています。

参考文献 (日本語)
経済産業省
「サイバーセキュリティ体制構築・人材確保の手引き」（第1.1版）を取りまとめました
https://www.meti.go.jp/press/2021/04/20210426002/20210426002.html

目 次

【1】Pulse Connect Secureに任意コード実行の脆弱性
【2】複数のトレンドマイクロ製品に脆弱性
【3】SonicWall Email Securityに複数の脆弱性
【4】2021年4月Oracle Critical Patch Updateについて
【5】Drupalにクロスサイトスクリプティングの脆弱性
【6】Google Chromeに複数の脆弱性
【7】複数のMozilla製品に脆弱性
【8】VMware NSX-Tに権限昇格の脆弱性
【9】三菱電機製GOTのVNCサーバー機能にパスワード認証回避の脆弱性
【今週のひとくちメモ】経済産業省が「OSSの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr211701.html
https://www.jpcert.or.jp/wr/2021/wr211701.xml
============================================================================

【1】Pulse Connect Secureに任意コード実行の脆弱性

情報源
CISA Current Activity
CISA Releases Alert on Exploitation of Pulse Connect Secure Vulnerabilities
https://us-cert.cisa.gov/ncas/current-activity/2021/04/20/cisa-releases-alert-exploitation-pulse-connect-secure

概要
Pulse Connect Secureには、任意コード実行の脆弱性があります。結果として、
遠隔の第三者が認証を回避し、当該製品上で任意のコードを実行する可能性が
あります。

対象となるバージョンは次のとおりです。

- Pulse Connect Secure (PCS) 9.0R3およびそれ以降
- Pulse Connect Secure (PCS) 9.1R1およびそれ以降

2021年4月27日現在、本脆弱性の修正パッチおよびアップデートは提供されて
いません。脆弱性を悪用した攻撃による影響を軽減するため、開発者から回避
策が提示されています。また、当該製品で不審なファイル設置やファイルの改
ざんが行われていないか確認するためのツールが公開されています。詳細は、
Pulse Secureが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC注意喚起
Pulse Connect Secureの脆弱性（CVE-2021-22893）に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210019.html

Japan Vulnerability Notes JVNVU#94842247
Pulse Connect Secure に任意コード実行の脆弱性
https://jvn.jp/vu/JVNVU94842247/

Ivanti
Pulse Connect Secureセキュリティアップデート
https://www.ivanti.co.jp/blog/pulse-connect-secure-security-update

関連文書 (英語)
Pulse Secure
SA44784 - 2021-04: Out-of-Cycle Advisory: Pulse Connect Secure RCE Vulnerability (CVE-2021-22893)
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784/

Pulse Secure
KB44755 - Pulse Connect Secure (PCS) Integrity Assurance
https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB44755/

【2】複数のトレンドマイクロ製品に脆弱性

情報源
Japan Vulnerability Notes JVNVU#93491927
Apex One、Apex One SaaS およびウイルスバスター コーポレートエディションにおける複数の脆弱性
https://jvn.jp/vu/JVNVU93491927/

Japan Vulnerability Notes JVNVU#92208501
ウイルスバスター ビジネスセキュリティおよび Trend Micro Security (for Mac) における複数の脆弱性
https://jvn.jp/vu/JVNVU92208501/

Japan Vulnerability Notes JVNVU#97680506
ウイルスバスター ビジネスセキュリティサービスにおける複数の脆弱性
https://jvn.jp/vu/JVNVU97680506/

Japan Vulnerability Notes JVNVU#93009588
トレンドマイクロ製品に搭載された検索エンジンにおけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU93009588/

Japan Vulnerability Notes JVNVU#98074915
トレンドマイクロ株式会社製パスワードマネージャーにおける DLL 読み込みに関する脆弱性
https://jvn.jp/vu/JVNVU98074915/

概要
複数のトレンドマイクロ製品には、脆弱性があります。結果として、第三者が
任意のコードを実行するなどの可能性があります。

対象となる製品は、多岐に渡ります。詳細はトレンドマイクロ株式会社が提供
するアドバイザリ情報を参照してください。

この問題は、該当する製品をトレンドマイクロ株式会社が提供するパッチを適
用するか、修正済みのバージョンに更新するなどで解決します。詳細は、トレン
ドマイクロ株式会社が提供する情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ：Apex One、Apex One SaaSとウイルスバスター コーポレートエディションで確認された複数の脆弱性について（2020年9月）
https://success.trendmicro.com/jp/solution/000264540

トレンドマイクロ株式会社
【注意喚起】Trend Micro Apex One、Apex One SaaSおよびウイルスバスター コーポレートエディションの既知の脆弱性(CVE-2020-24557)を悪用した攻撃を確認したことによる最新修正プログラム適用のお願い
https://appweb.trendmicro.com/SupportNews/NewsDetail.aspx?id=4126

トレンドマイクロ株式会社
アラート/アドバイザリ：ウイルスバスター ビジネスセキュリティで確認された複数の脆弱性について（2020年8月）
https://success.trendmicro.com/jp/solution/000265546

トレンドマイクロ株式会社
アラート/アドバイザリ：弊社トレンドマイクロの検索エンジンに大量のメモリを消費させることにより DoS（denial-of-service）またはシステムの停止を誘発する攻撃を行える可能性のある脆弱性について
https://success.trendmicro.com/jp/solution/000285575

トレンドマイクロ株式会社
アラート/アドバイザリ：ServerProtect for Linux に大量のメモリを消費させることにより DoS（denial-of-service）攻撃を行える可能性のある脆弱性（CVE-2021-25224, 25225 および 25226）
https://success.trendmicro.com/jp/solution/000284232

トレンドマイクロ株式会社
アラート/アドバイザリ：ウイルスバスター for Mac の脆弱性について(CVE-2021-25227)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10189

トレンドマイクロ株式会社
アラート/アドバイザリ：ウイルスバスター クラウドの脆弱性について(CVE-2021-25252)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10190

トレンドマイクロ株式会社
アラート/アドバイザリ：パスワードマネージャーのセキュリティ情報（CVE-2021-28647)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10277

JPCERT/CC 注意喚起
Trend Micro Apex One,Apex One SaaSおよびウイルスバスター コーポレートエディションの脆弱性（CVE-2020-24557）に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210020.html

【3】SonicWall Email Securityに複数の脆弱性

情報源
CISA Current Activity
SonicWall Releases Patches for Email Security Products
https://us-cert.cisa.gov/ncas/current-activity/2021/04/21/sonicwall-releases-patches-email-security-products

概要
SonicWall Email Securityには、複数の脆弱性があります。結果として、遠隔
の第三者が管理者アカウントを作成するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Email Security 10.0.9.6173より前のバージョン（Windows）
- Email Security 10.0.9.6177より前のバージョン（HardwareおよびESXi Virtual Appliance）
- Hosted Email Security 10.0.9.6173より前のバージョン

なお、すでにサポートが終了しているEmail Security 7.0.0から9.2.2までの
バージョンも本脆弱性の影響を受けるとのことです。

この問題は、該当する製品をSonicWallが提供する修正済みのバージョンに更
新することで解決します。なお、Hosted Email Securityについては自動的に
パッチが適用されるとのことです。詳細は、SonicWallが提供する情報を参照
してください。

関連文書 (英語)
SonicWall
Security Notice: SonicWall Email Security Zero-Day Vulnerabilities
https://www.sonicwall.com/support/product-notification/security-notice-sonicwall-email-security-zero-day-vulnerabilities/210416112932360/

SonicWall
SonicWall Email Security pre-authentication administrative account creation vulnerability
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0007

SonicWall
SonicWall Email Security post-authentication arbitrary file creation vulnerability
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0008

SonicWall
SonicWall Email Security post-authentication arbitrary file read vulnerability
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0010

【4】2021年4月Oracle Critical Patch Updateについて

情報源
CISA Current Activity
Oracle Releases April 2021 Critical Patch Update
https://us-cert.cisa.gov/ncas/current-activity/2021/04/20/oracle-releases-april-2021-critical-patch-update

概要
Oracleから複数の製品およびコンポーネントに含まれる脆弱性に対応した
Oracle Critical Patch Update Advisoryが公開されました。

詳細は、Oracleが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC注意喚起
2021年4月Oracle製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2021/at210018.html

Japan Vulnerability Notes JVNVU#92599577
Windows 版 MySQL に権限昇格の脆弱性
https://jvn.jp/vu/JVNVU92599577/

関連文書 (英語)
Oracle
Oracle Critical Patch Update Advisory - April 2021
https://www.oracle.com/security-alerts/cpuapr2021.html

CERT/CC Vulnerability Note VU#567764
MySQL for Windows is vulnerable to privilege escalation due to OPENSSLDIR location
https://kb.cert.org/vuls/id/567764

【5】Drupalにクロスサイトスクリプティングの脆弱性

情報源
CISA Current Activity
Drupal Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/04/22/drupal-releases-security-updates

概要
Drupalには、クロスサイトスクリプティングの脆弱性があります。結果として、
遠隔の第三者がユーザーのブラウザー上で任意のコードを実行する可能性があ
ります。

対象となるバージョンは次のとおりです。

- Drupal 9.1.7より前の9.1系のバージョン
- Drupal 9.0.12より前の9.0系のバージョン
- Drupal 8.9.14より前の8.9系のバージョン
- Drupal 7.80より前の7系のバージョン

なお、Drupal 8.9系より前の8系のバージョンはサポートが終了しており、今
回のセキュリティに関する情報は提供されていません。

この問題は、DrupalをDrupalが提供する修正済みのバージョンに更新すること
で解決します。詳細は、Drupalが提供する情報を参照してください。

関連文書 (英語)
Drupal
Drupal core - Critical - Cross-site scripting - SA-CORE-2021-002
https://www.drupal.org/sa-core-2021-002

【6】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/04/21/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 90.0.4430.85より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/04/stable-channel-update-for-desktop_20.html

【7】複数のMozilla製品に脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Update for Firefox, Firefox ESR, and Thunderbird
https://us-cert.cisa.gov/ncas/current-activity/2021/04/20/mozilla-releases-security-update-firefox-firefox-esr-and

概要
複数のMozilla製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 88より前のバージョン
- Mozilla Firefox ESR 78.10より前のバージョン
- Mozilla Thunderbird 78.10より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 88
https://www.mozilla.org/en-US/security/advisories/mfsa2021-16/

Mozilla
Security Vulnerabilities fixed in Firefox ESR 78.10
https://www.mozilla.org/en-US/security/advisories/mfsa2021-15/

Mozilla
Security Vulnerabilities fixed in Thunderbird 78.10
https://www.mozilla.org/en-US/security/advisories/mfsa2021-14/

【8】VMware NSX-Tに権限昇格の脆弱性

情報源
CISA Current Activity
VMware Releases Security Update
https://us-cert.cisa.gov/ncas/current-activity/2021/04/20/vmware-releases-security-update

概要
VMware NSX-Tには、権限昇格の脆弱性があります。結果として、ローカルのゲ
ストユーザーの権限を有する第三者が権限を昇格する可能性があります。

対象となるバージョンは次のとおりです。

- VMware NSX-T 3.1.1

この問題は、VMware NSX-TをVMwareが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、VMwareが提供する情報を参照してください。

関連文書 (英語)
VMware Security Advisories
VMSA-2021-0006
https://www.vmware.com/security/advisories/VMSA-2021-0006.html

【9】三菱電機製GOTのVNCサーバー機能にパスワード認証回避の脆弱性

情報源
Japan Vulnerability Notes JVNVU#97615777
三菱電機製 GOT の VNC サーバ機能におけるパスワード認証回避の脆弱性
https://jvn.jp/vu/JVNVU97615777/

概要
三菱電機株式会社が提供するGOT2000シリーズ、GOT SIMPLEシリーズのVNCサー
バー機能には、パスワード認証回避の脆弱性があります。結果として、遠隔の
第三者が、細工した不正なパケットを送信することで、パスワード認証を回避
する可能性があります。

対象となる製品およびバージョンは次のとおりです。

VNC サーバー機能を有効化している次の製品
- GOT2000 GT27 モデル
- GOT2000 GT25 モデル
- GOT2000 GT21 モデル GT2107-WTBD
- GOT2000 GT21 モデル GT2107-WTSD
- GOT SIMPLE GS21 モデル GS2110-WTBD-N
- GOT SIMPLE GS21 モデル GS2107-WTBD-N

2021年4月27日現在、本脆弱性に対するアップデートは提供されていません。
なお、対策済みバージョンは、近日中にリリースする予定とのことです。この
問題について、該当する製品に対して次の回避策を適用することで、本脆弱性
の影響を軽減できます。

- 当該製品へのVNCによるアクセスを、信頼できるネットワークやホストからのアクセスのみに制限する

詳細は、三菱電機株式会社が提供する情報を参照してください。

関連文書 (日本語)
三菱電機株式会社
GOTのVNCサーバ機能におけるパスワード認証回避の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-001.pdf

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○経済産業省が「OSSの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集」を公開

2021年4月21日、経済産業省は、オープンソースソフトウェア（OSS）を利活用
するに当たって留意すべきポイントを整理し、そのポイントごとに参考となる
取組を実施している企業の事例などをとりまとめた「OSSの利活用及びそのセキュ
リティ確保に向けた管理手法に関する事例集」を公開しました。

産業界におけるOSSの利活用の重要性が高まる中、多くの企業がOSSを含むソフ
トウェアの管理手法、脆弱性対応などに課題を抱えている現状を踏まえ、参考
になる取組を実施している企業に対するヒアリングなどによる調査の結果が取
りまとめられています。

参考文献 (日本語)
経済産業省
オープンソースソフトウェアの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集を取りまとめました
https://www.meti.go.jp/press/2021/04/20210421001/20210421001.html

目 次

【1】複数のマイクロソフト製品に脆弱性
【2】複数のアドビ製品に脆弱性
【3】複数のSAP製品に脆弱性
【4】Google Chromeに複数の脆弱性
【5】WordPressに複数の脆弱性
【6】複数のJuniper製品に脆弱性
【7】Apple GarageBandに情報窃取の脆弱性
【8】スマートフォンアプリ「ぐるなび」にアクセス制限不備の脆弱性
【今週のひとくちメモ】JPCERT/CCが「2021年1月から3月を振り返って」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr211601.html
https://www.jpcert.or.jp/wr/2021/wr211601.xml
============================================================================

【1】複数のマイクロソフト製品に脆弱性

情報源
CISA Current Activity
Apply Microsoft April 2021 Security Update to Mitigate Newly Disclosed Microsoft Exchange Vulnerabilities
https://us-cert.cisa.gov/ncas/current-activity/2021/04/13/apply-microsoft-april-2021-security-update-mitigate-newly

概要
複数のマイクロソフト製品には、複数の脆弱性があります。結果として、遠隔
の第三者が任意のコードを実行するなどの可能性があります。

対象となる製品は、多岐に渡ります。詳細はマイクロソフトが提供するアドバ
イザリ情報を参照してください。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフトが提供する情報を参照してください。

関連文書 (日本語)
マイクロソフト株式会社
2021 年 4 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/releaseNote/2021-Apr

JPCERT/CC 注意喚起
2021年4月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2021/at210017.html

【2】複数のアドビ製品に脆弱性

情報源
CISA Current Activity
Adobe Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/04/13/adobe-releases-security-updates

概要
複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe RoboHelp
- Adobe Bridge
- Adobe Digital Editions
- Adobe Photoshop 2020
- Adobe Photoshop 2021

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021041401.html

関連文書 (英語)
アドビ
Security update available for RoboHelp | APSB21-20
https://helpx.adobe.com/security/products/robohelp/apsb21-20.html

アドビ
Security Updates Available for Adobe Bridge | APSB21-23
https://helpx.adobe.com/security/products/bridge/apsb21-23.html

アドビ
Security Updates Available for Adobe Digital Editions | APSB21-26
https://helpx.adobe.com/security/products/Digital-Editions/apsb21-26.html

アドビ
Security updates available for Adobe Photoshop | APSB21-28
https://helpx.adobe.com/security/products/photoshop/apsb21-28.html

【3】複数のSAP製品に脆弱性

情報源
CISA Current Activity
SAP Releases April 2021 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/04/13/sap-releases-april-2021-security-updates

概要
複数のSAP製品には、脆弱性があります。結果として、遠隔の第三者が任意の
コードを実行するなどの可能性があります。

対象となる製品は、多岐に渡ります。詳細はSAPが提供するアドバイザリ情報
を参照してください。

この問題は、該当する製品をSAPが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、SAPが提供する情報を参照してください。

関連文書 (英語)
SAP
SAP Security Patch Day April 2021
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=573801649

【4】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/04/13/google-releases-security-updates-chrome

CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/04/15/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 90.0.4430.72より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/04/stable-channel-update-for-desktop.html

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/04/stable-channel-update-for-desktop_14.html

【5】WordPressに複数の脆弱性

情報源
CISA Current Activity
WordPress Releases Security and Maintenance Update
https://us-cert.cisa.gov/ncas/current-activity/2021/04/16/wordpress-releases-security-and-maintenance-update

概要
WordPressには、複数の脆弱性があります。結果として、遠隔の第三者が情報
窃取するなどの可能性があります。

対象となるバージョンは次のとおりです。

- WordPress 4.7から5.7までのすべてのバージョン

この問題は、WordPressをWordPressが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、WordPressが提供する情報を参照してください。

関連文書 (日本語)
WordPress
WordPress 5.7.1 セキュリティとメンテナンスのリリース
https://ja.wordpress.org/2021/04/15/wordpress-5-7-1-security-and-maintenance-release/

【6】複数のJuniper製品に脆弱性

情報源
CISA Current Activity
Juniper Networks Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/04/15/juniper-networks-releases-security-updates

概要
複数のJuniper製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害（DoS）攻撃を行ったりするな
どの可能性があります。

対象となる製品は次のとおりです。

- Junos OS
- Juniper Networks Paragon Active Assurance Control Center
- Juniper Networks AppFormix 3
- Junos Space
- Junos Space Security Director
- Juniper Secure Analytics
- Juniper Networks Session and Resource Control
- Junos OS Evolved

この問題は、該当する製品をJuniperが提供する修正済みのバージョンに更新
することで解決します。詳細は、Juniperが提供する情報を参照してください。

関連文書 (英語)
Juniper Networks
Security Advisories
https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES

【7】Apple GarageBandに情報窃取の脆弱性

情報源
Apple
About the security content of GarageBand 10.4.3
https://support.apple.com/en-us/HT212299

概要
GarageBandには、脆弱性があります。結果としてローカルの第三者が機密情報
を窃取する可能性があります。

対象となるバージョンは次のとおりです。

- GarageBand 10.4.3より前のバージョン

この問題は、GarageBandをAppleが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
GarageBandに関するアップデートについて
https://www.jpcert.or.jp/newsflash/2021041502.html

【8】スマートフォンアプリ「ぐるなび」にアクセス制限不備の脆弱性

情報源
Japan Vulnerability Notes JVN#54025691
スマートフォンアプリ「ぐるなび」におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN54025691/

概要
スマートフォンアプリ「ぐるなび」には、アクセス制限不備の脆弱性がありま
す。結果として遠隔の第三者が、当該製品を経由させユーザーを任意のウェブ
サイトにアクセスさせる可能性があります。

対象となるバージョンは次のとおりです。

- Androidアプリ「ぐるなび」ver.10.0.10およびそれ以前
- iOSアプリ「ぐるなび」ver.11.1.2およびそれ以前

この問題は、該当する製品を株式会社ぐるなびが提供する修正済みのバージョ
ンに更新することで解決します。

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CCが「2021年1月から3月を振り返って」を公開

2021年4月15日、JPCERT/CCは、「2021年1月から3月を振り返って」を公開しま
した。2021年1月以降に確認された利用数の多い製品に関する悪用された脆弱
性や、マルウェアEmotetの感染端末の通知を受けた際の対応などをまとめてい
ます。またゴールデンウィークの対応について記載しています。自組織の対応
状況のご確認にご活用ください。

参考文献 (日本語)
JPCERT/CC CyberNewsFlash
2021年1月から3月を振り返って
https://www.jpcert.or.jp/newsflash/2021041501.html

目 次

【1】複数のCisco製品に脆弱性
【2】D-Link製DAP-1880ACに複数の脆弱性
【3】複数のAterm製品に複数の脆弱性
【4】Mozilla Thunderbirdに複数の脆弱性
【5】Softing AG製OPC Toolboxに複数の脆弱性
【今週のひとくちメモ】IPAが「2020年度サイバーセキュリティ経営ガイドライン実践のためのプラクティスの在り方に関する調査」報告書を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr211501.html
https://www.jpcert.or.jp/wr/2021/wr211501.xml
============================================================================

【1】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/04/08/cisco-releases-security-updates-multiple-products

概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ
情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【2】D-Link製DAP-1880ACに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#92898656
D-Link 製 DAP-1880AC における複数の脆弱性
https://jvn.jp/vu/JVNVU92898656/

概要
D-Linkが提供するDAP-1880ACには、複数の脆弱性があります。結果として、遠
隔の第三者がroot権限を取得するなどの可能性があります。

対象となるバージョンは次のとおりです。

- DAP-1880AC 1.21およびそれ以前のファームウェア

この問題は、開発者が提供する修正済みのファームウェアに更新することで解
決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
ディーリンクジャパン株式会社
JVNVU#92898656 「DAP-1880AC脆弱性」に関するご報告
https://www.dlink-jp.com/support/release/jvnvu92898656_dap-1880ac.html

【3】複数のAterm製品に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#67456944
複数の Aterm 製品における複数の脆弱性
https://jvn.jp/jp/JVN67456944/

Japan Vulnerability Notes JVN#29739718
Aterm WF1200CR、Aterm WG1200CR、Aterm WG2600HS および Aterm WX3000HP における複数の脆弱性
https://jvn.jp/jp/JVN29739718/

概要
日本電気株式会社が提供する複数のAterm製品には、脆弱性があります。結果
として、遠隔の第三者が任意のOSコマンドを実行するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細は開発者が提供するアドバイザリ
情報を参照してください。

この問題は、該当する製品を開発者が提供する修正済みのファームウェアに更
新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
日本電気株式会社
複数の Aterm 製品における脆弱性
https://jpn.nec.com/security-info/secinfo/nv21-008.html

日本電気株式会社
Aterm WF1200CR、WG1200CR、WG2600HS、WX3000HPにおける複数の脆弱性
https://jpn.nec.com/security-info/secinfo/nv21-010.html

【4】Mozilla Thunderbirdに複数の脆弱性

情報源
Mozilla
Mozilla Foundation Security Advisory 2021-13
https://www.mozilla.org/en-US/security/advisories/mfsa2021-13/

概要
Mozilla Thunderbirdには、複数の脆弱性があります。結果として、遠隔の第
三者が当該製品から暗号化したメールを送信できなくさせるなどの可能性があ
ります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Thunderbird 78.9.1より前のバージョン

この問題は、Mozilla ThunderbirdをMozillaが提供する修正済みのバージョン
に更新することで解決します。詳細は、Mozillaが提供する情報を参照してく
ださい。

【5】Softing AG製OPC Toolboxに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#90815335
Softing AG 製 OPC Toolbox における複数の脆弱性
https://jvn.jp/vu/JVNVU90815335/

概要
Softing AGが提供するOPC Toolboxには、複数の脆弱性があります。結果とし
て、遠隔の第三者が管理者のパスワードを変更するなどの可能性があります。

対象となるバージョンは次のとおりです。

- OPC Toolbox v4.10.1.13035およびそれ以前のバージョン

2020年4月8日時点で、修正済みのバージョンは提供されていません。

関連文書 (英語)
Gruppo TIM
Vulnerability Research & Advisor
https://www.gruppotim.it/it/innovazione/servizi-digitali/cybersecurity/red-team.html

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○IPAが「2020年度サイバーセキュリティ経営ガイドライン実践のためのプラクティスの在り方に関する調査」報告書を公開

2021年4月5日、独立行政法人情報処理推進機構（IPA）は、「2020年度サイバー
セキュリティ経営ガイドライン実践のためのプラクティスの在り方に関する調
査」報告書を公開しました。本調査では、「サイバーセキュリティ経営ガイド
ライン Ver 2.0 実践のためのプラクティス集」をより使いやすくすることを
目的に、プラクティス集の利用実態やプラクティスへの要望などの調査を実施
したとのことです。

参考文献 (日本語)
独立行政法人 情報処理推進機構
「2020年度サイバーセキュリティ経営ガイドライン実践のためのプラクティスの在り方に関する調査」報告書
https://www.ipa.go.jp/security/fy2020/reports/practice/

目 次

【1】Google Chromeに複数の脆弱性
【2】Citrix Hypervisor（XenServer）に複数の脆弱性
【3】VMware製品に複数の脆弱性
【4】GitLabに複数の脆弱性
【5】書庫一括操作ユーティリティにディレクトリトラバーサルの脆弱性
【今週のひとくちメモ】IPAが「企業ウェブサイトのための脆弱性対応ガイド」改訂版や研究会報告書などを公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr211401.html
https://www.jpcert.or.jp/wr/2021/wr211401.xml
============================================================================

【1】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/03/31/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 89.0.4389.114より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/03/stable-channel-update-for-desktop_30.html

【2】Citrix Hypervisor（XenServer）に複数の脆弱性

情報源
CISA Current Activity
Citrix Releases Security Updates for Hypervisor
https://us-cert.cisa.gov/ncas/current-activity/2021/03/31/citrix-releases-security-updates-hypervisor

概要
Citrix Hypervisor（XenServer）には複数の脆弱性があります。結果として、
第三者が脆弱性を利用し、サービス運用妨害（DoS）攻撃を行う可能性があり
ます。

対象となる製品およびバージョンは次のとおりです。

- Citrix Hypervisor 8.2 LTSR
- Citrix XenServer 7.1 LTSR CU2
- Citrix XenServer 7.0

この問題は、Citrixが提供する修正済みのバージョンに更新することで解決し
ます。詳細は、Citrixが提供する情報を参照してください。

関連文書 (英語)
Citrix
Citrix Hypervisor Security Update
https://support.citrix.com/article/CTX306565

【3】VMware製品に複数の脆弱性

情報源
CISA Current Activity
VMware Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/03/31/vmware-releases-security-updates

CISA Current Activity
VMware Releases Security Update
https://us-cert.cisa.gov/ncas/current-activity/2021/04/02/vmware-releases-security-update

概要
VMware製品には、複数の脆弱性があります。結果として、遠隔の第三者が、管
理者の認証情報を取得したり、任意のファイルを作成したりするなどの可能性
があります。

対象となる製品およびバージョンは次のとおりです。

- VMware vRealize Operations Manager 8.3.0
- VMware vRealize Operations Manager 8.2.0
- VMware vRealize Operations Manager 8.1.1, 8.1.0
- VMware vRealize Operations Manager 8.0.1, 8.0.0
- VMware vRealize Operations Manager 7.5.0
- VMware vRealize Operations Manager 7.0.0
- VMware Cloud Foundation (vROps) 4系
- VMware Cloud Foundation (vROps) 3系
- VMware vRealize Suite Lifecycle Manager (vROps) 8系
- VMware Carbon Black Cloud Workload appliance 1.0.1およびそれ以前

この問題は、VMwareが提供するパッチを適用することで解決します。詳細は、
VMwareが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
VMware vRealize Operations Managerなどの複数の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210016.html

関連文書 (英語)
VMware Security Advisories
VMSA-2021-0004.1
https://www.vmware.com/security/advisories/VMSA-2021-0004.html

VMware Security Advisories
VMSA-2021-0005
https://www.vmware.com/security/advisories/VMSA-2021-0005.html

【4】GitLabに複数の脆弱性

情報源
GitLab
GitLab Security Release: 13.10.1, 13.9.5, and 13.8.7
https://about.gitlab.com/releases/2021/03/31/security-release-gitlab-13-10-1-released/

概要
GitLabには、複数の脆弱性があります。結果として、遠隔の第三者がサーバー
上の任意のファイルを窃取するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- GitLab Community EditionおよびEnterprise Edition 13.10.1より前の13.10系バージョン
- GitLab Community EditionおよびEnterprise Edition 13.9.5より前の13.9系バージョン
- GitLab Community EditionおよびEnterprise Edition 13.8.7より前の13.8系バージョン

なお、GitLabによると、上記に記載されていないバージョンも影響を受けると
のことです。

この問題は、該当する製品をGitLabが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、GitLabが提供する情報を参照してください。

【5】書庫一括操作ユーティリティにディレクトリトラバーサルの脆弱性

情報源
Japan Vulnerability Notes JVN#73236007
書庫一括操作ユーティリティにおけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN73236007/

概要
書庫一括操作ユーティリティには、ディレクトリトラバーサルの脆弱性があり
ます。細工されたZIPアーカイブを展開した結果、当該ソフトウェアの権限で
アクセス可能な範囲でファイルを作成したり既存のファイルを上書きしたりす
る可能性があります。

対象となるバージョンは次のとおりです。

- 書庫一括操作ユーティリティ Ver.2.10.1.0およびそれ以前

この問題は、EikiSoftが提供する修正済みのバージョンに更新することで解決
します。詳細は、EikiSoftが提供する情報を参照してください。

関連文書 (日本語)
EikiSoft
JVN#73236007 書庫一括操作ユーティリティの脆弱性対応について
http://www.eikisoft.com/release01.html

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○IPAが「企業ウェブサイトのための脆弱性対応ガイド」改訂版や研究会報告書などを公開

2021年3月30日、独立行政法人情報処理推進機構（IPA）は、小規模Webサイト
運営者の脆弱性対策状況の調査結果報告書を公表しました。この報告書は、2
012年度の調査結果と比較考察を行っています。またIPAは、Webサイト運営者
が取るべき脆弱性対応をとりまとめた「企業ウェブサイトのための脆弱性対応
ガイド」を調査結果を踏まえて改訂し、公開しました。

参考文献 (日本語)
独立行政法人 情報処理推進機構
「企業ウェブサイトのための脆弱性対応ガイド」改訂版や研究会報告書などを公開
https://www.ipa.go.jp/security/fy2020/reports/vuln_handling/

目 次

【1】OpenSSLに複数の脆弱性
【2】Adobe ColdFusionに任意のコード実行の脆弱性
【3】複数のMozilla製品に脆弱性
【4】複数のCisco製品に脆弱性
【5】複数のApple製品に脆弱性
【6】UNIVERGE AspireシリーズPBXにサービス運用妨害（DoS）の脆弱性
【7】Sambaに複数の脆弱性
【8】baserCMSに複数の脆弱性
【今週のひとくちメモ】JPCERT/CC Eyes「日本の組織を狙った攻撃グループLazarusによる攻撃オペレーション」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr211301.html
https://www.jpcert.or.jp/wr/2021/wr211301.xml
============================================================================

【1】OpenSSLに複数の脆弱性

情報源
CISA Current Activity
OpenSSL Releases Security Update
https://us-cert.cisa.gov/ncas/current-activity/2021/03/26/openssl-releases-security-update

Japan Vulnerability Notes JVNVU#92126369
OpenSSL に複数の脆弱性
https://jvn.jp/vu/JVNVU92126369/

概要
OpenSSL Projectが提供するOpenSSLには、複数の脆弱性があります。結果とし
て、第三者がサービス運用妨害（DoS）攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- OpenSSL 1.1.1kより前のバージョン

この問題は、OpenSSLをOpenSSL Projectが提供する修正済みのバージョンに更
新することで解決します。詳細はOpenSSL Projectが提供する情報を参照して
ください。

関連文書 (日本語)
JPCERT/CC 注意喚起
OpenSSLの脆弱性（CVE-2021-3450、CVE-2021-3449）に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210015.html

関連文書 (英語)
OpenSSL Project
OpenSSL Security Advisory [25 March 2021]
https://www.openssl.org/news/secadv/20210325.txt

Cisco
Multiple Vulnerabilities in OpenSSL Affecting Cisco Products: March 2021
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-openssl-2021-GHY28dJd

【2】Adobe ColdFusionに任意のコード実行の脆弱性

情報源
CISA Current Activity
Adobe Releases Security Updates for ColdFusion
https://us-cert.cisa.gov/ncas/current-activity/2021/03/23/adobe-releases-security-updates-coldfusion

概要
Adobe ColdFusionには、脆弱性があります。結果として、第三者が任意のコー
ドを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Adobe ColdFusion 2021
- Adobe ColdFusion 2018
- Adobe ColdFusion 2016

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Adobe ColdFusionに関するアップデート（APSB21-16）について
https://www.jpcert.or.jp/newsflash/2021032301.html

関連文書 (英語)
アドビ
Security updates available for Adobe ColdFusion | APSB21-16
https://helpx.adobe.com/security/products/coldfusion/apsb21-16.html

【3】複数のMozilla製品に脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird
https://us-cert.cisa.gov/ncas/current-activity/2021/03/24/mozilla-releases-security-updates-firefox-firefox-esr-and

概要
複数のMozilla製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 87より前のバージョン
- Mozilla Firefox ESR 78.9より前のバージョン
- Mozilla Thunderbird 78.9より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 87
https://www.mozilla.org/en-US/security/advisories/mfsa2021-10/

Mozilla
Security Vulnerabilities fixed in Firefox ESR 78.9
https://www.mozilla.org/en-US/security/advisories/mfsa2021-11/

Mozilla
Security Vulnerabilities fixed in Thunderbird 78.9
https://www.mozilla.org/en-US/security/advisories/mfsa2021-12/

【4】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/03/25/cisco-releases-security-updates

概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ
情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【5】複数のApple製品に脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/03/26/apple-releases-security-updates

概要
複数のApple製品には、脆弱性があります。結果として、第三者がユニバーサ
ルクロスサイトスクリプティング攻撃を実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- watchOS 7.3.3より前のバージョン
- iOS 14.4.2より前のバージョン
- iOS 12.5.2より前のバージョン
- iPadOS 14.4.2より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数のApple製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021032901.html

関連文書 (英語)
Apple
About the security content of watchOS 7.3.3
https://support.apple.com/en-us/HT212258

Apple
About the security content of iOS 12.5.2
https://support.apple.com/en-us/HT212257

Apple
About the security content of iOS 14.4.2 and iPadOS 14.4.2
https://support.apple.com/en-us/HT212256

【6】UNIVERGE AspireシリーズPBXにサービス運用妨害（DoS）の脆弱性

情報源
Japan Vulnerability Notes JVN#12737530
UNIVERGE Aspire シリーズ PBX におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN12737530/

概要
NECプラットフォームズ株式会社が提供するUNIVERGE AspireシリーズPBXには
脆弱性があります。結果として、該当製品のユーザー権限を持つ第三者がサー
ビス運用妨害（DoS）攻撃を行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

- UNIVERGE Aspire WX 1.00から3.51までのバージョン
- UNIVERGE Aspire UX 1.00から9.70までのバージョン
- UNIVERGE SV9100 1.00から10.70までのバージョン
- SL2100 1.00から3.00までのバージョン

この問題は、該当する製品をNECプラットフォームズ株式会社が提供する修正
済みのバージョンに更新することで解決します。詳細は、NECプラットフォー
ムズ株式会社が提供する情報を参照してください。

関連文書 (日本語)
NECプラットフォームズ株式会社
リモート保守に関する脆弱性について: Aspireシリーズ
https://www.necplatforms.co.jp/product/keytelphone/info/210322.html

関連文書 (英語)
NECプラットフォームズ株式会社
NEC Security Advisory: Vulnerabilities of UNIVERGE Communication Products for SMB
https://www.necplatforms.co.jp/press/files/SVSLSecurityAdvisoryR1.0_20210322.pdf

【7】Sambaに複数の脆弱性

情報源
CISA Current Activity
Samba Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/03/25/samba-releases-security-updates

概要
Sambaには、複数の脆弱性があります。結果として、遠隔の第三者が
Samba AD DC LDAPサーバーをクラッシュする可能性があります。

対象となるバージョンは次のとおりです。

- Samba 4.14.2より前のバージョン
- Samba 4.13.7より前のバージョン
- Samba 4.12.14より前のバージョン

この問題は、SambaをThe Samba Teamが提供する修正済みのバージョンに更新
することで解決します。詳細は、The Samba Teamが提供する情報を参照してく
ださい。

関連文書 (英語)
The Samba Team
Heap corruption via crafted DN strings
https://www.samba.org/samba/security/CVE-2020-27840.html

The Samba Team
Out of bounds read in AD DC LDAP server
https://www.samba.org/samba/security/CVE-2021-20277.html

【8】baserCMSに複数の脆弱性

情報源
Japan Vulnerability Notes JVN#64869876
baserCMS における複数の脆弱性
https://jvn.jp/jp/JVN64869876/

概要
baserCMSユーザー会が提供するbaserCMSには、複数の脆弱性があります。結果
として、管理者権限を持つ遠隔の第三者が、任意のOSコマンドを実行するなど
の可能性があります。

対象となるバージョンは次のとおりです。

- baserCMS 4.4.5より前のバージョン

この問題は、該当する製品をbaserCMSユーザー会が提供する修正済みのバージョン
に更新することで解決します。詳細は、baserCMSユーザー会が提供する情報を
参照してください。

関連文書 (日本語)
baserCMSユーザー会
2021/03/25 JavaScript 入力制限不備をはじめとする複数の脆弱性
https://basercms.net/security/JVN64869876

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CC Eyes「日本の組織を狙った攻撃グループLazarusによる攻撃オペレーション」を公開

2021年3月22日、JPCERT/CCは、公式ブログJPCERT/CC Eyesにて「日本の組織を
狙った攻撃グループLazarusによる攻撃オペレーション」を公開しました。本
記事では、国内で確認した攻撃グループLazarusの攻撃オペレーションで使用
されたマルウェア（VSingle、ValeforBeta）、および侵入したネットワーク内
部で使用したツールを紹介しています。

参考文献 (日本語)
JPCERT/CC
日本の組織を狙った攻撃グループLazarusによる攻撃オペレーション
https://blogs.jpcert.or.jp/ja/2021/03/Lazarus_malware3.html

目 次

【1】Google Chromeに複数の脆弱性
【2】サイボウズ Officeに複数の脆弱性
【3】Cisco Small Business RV132WおよびRV134Wに脆弱性
【4】WordPress用プラグインPaid Memberships ProにSQLインジェクションの脆弱性
【5】富士ゼロックス製複合機およびプリンターにサービス運用妨害（DoS）の脆弱性
【今週のひとくちメモ】フィッシング対策協議会が「フィッシング詐欺のビジネスプロセス分類」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr211201.html
https://www.jpcert.or.jp/wr/2021/wr211201.xml
============================================================================

【1】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/03/15/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 89.0.4389.90より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/03/stable-channel-update-for-desktop_12.html

【2】サイボウズ Officeに複数の脆弱性

情報源
Japan Vulnerability Notes JVN#45797538
サイボウズ Office に複数の脆弱性
https://jvn.jp/jp/JVN45797538/

概要
サイボウズ株式会社が提供するサイボウズ Officeには、複数の脆弱性があり
ます。結果として、当該製品にログイン可能なユーザーが、情報を窃取したり、
改ざんしたりするなどの可能性があります。

対象となるバージョンは次のとおりです。

- サイボウズ Office 10.0.0から10.8.4までのバージョン

この問題は、サイボウズ Officeを開発者が提供する修正済みのバージョンに
更新することで解決します。詳細は、開発者が提供する情報を参照してくださ
い。

関連文書 (日本語)
サイボウズ株式会社
サイボウズ Office 10 脆弱性に関するお知らせ
https://cs.cybozu.co.jp/2021/007306.html

【3】Cisco Small Business RV132WおよびRV134Wに脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/03/18/cisco-releases-security-updates

概要
Cisco Small Business RV132WおよびRV134WのWebベース管理インタフェースに
は、脆弱性があります。結果として、遠隔の第三者が、任意のコマンドを実行
したり、サービス運用妨害（DoS）攻撃を行ったりする可能性があります。

対象となるバージョンは次のとおりです。

- RV132W ADSL2+ Wireless-N VPN Routers ファームウェア 1.0.1.15より前のバージョン
- RV134W VDSL2 Wireless-AC VPN Routers ファームウェア 1.0.1.21より前のバージョン

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Small Business RV132W and RV134W Routers Management Interface Remote Command Execution and Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-132w134w-overflow-Pptt4H2p

【4】WordPress用プラグインPaid Memberships ProにSQLインジェクションの脆弱性

情報源
Japan Vulnerability Notes JVN#08191557
WordPress 用プラグイン Paid Memberships Pro における SQL インジェクションの脆弱性
https://jvn.jp/jp/JVN08191557/

概要
WordPress用プラグインPaid Memberships Proには、SQLインジェクションの脆
弱性があります。結果として、遠隔の第三者が、情報を窃取したり、改ざんし
たりする可能性があります。

対象となるバージョンは次のとおりです。

- Paid Memberships Pro version 2.5.6より前のバージョン

この問題は、Paid Memberships Proを開発者が提供する修正済みのバージョン
に更新することで解決します。詳細は、開発者が提供する情報を参照してくだ
さい。

関連文書 (英語)
Stranger Studios
PMPro Update 2.5.6
https://www.paidmembershipspro.com/pmpro-update-2-5-6/

Stranger Studios
Paid Memberships Pro
https://wordpress.org/plugins/paid-memberships-pro/

【5】富士ゼロックス製複合機およびプリンターにサービス運用妨害（DoS）の脆弱性

情報源
Japan Vulnerability Notes JVN#37607293
富士ゼロックス製複合機およびプリンターにおけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN37607293/

概要
富士ゼロックス製複合機およびプリンターには、脆弱性があります。結果とし
て、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う可能性があります。

対象となる製品は、多岐に渡ります。詳細は、富士ゼロックス株式会社が提供
する情報を参照してください。

この問題は、該当する製品を富士ゼロックス株式会社が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、富士ゼロックス株式会社が提供
する情報を参照してください。

関連文書 (日本語)
富士ゼロックス株式会社
弊社複合機・プリンターのサービス運用妨害(DoS)の脆弱性に関するお知らせ
https://www.fujixerox.co.jp/company/news/notice/2021/0319_announce.html

目 次

【1】複数のマイクロソフト製品に脆弱性
【2】複数のF5 Networks製品に脆弱性
【3】複数のSAP製品に脆弱性
【4】複数のApple製品に脆弱性
【5】複数のアドビ製品に脆弱性
【6】MagicConnectクライアントプログラムのインストーラにDLL読み込みに関する脆弱性
【7】株式会社エム・システム技研製DL8に複数の脆弱性
【8】GROWIに複数の脆弱性
【今週のひとくちメモ】日本シーサート協議会が「FIRST CSIRT Services Framework v2.1 日本語版」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr211101.html
https://www.jpcert.or.jp/wr/2021/wr211101.xml
============================================================================

【1】複数のマイクロソフト製品に脆弱性

情報源
CISA Current Activity
Microsoft Releases March 2021 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/03/10/microsoft-releases-march-2021-security-updates

概要
複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。

対象となる製品は、多岐に渡ります。詳細はマイクロソフトが提供するアドバ
イザリ情報を参照してください。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフトが提供する情報を参照してください。

関連文書 (日本語)
マイクロソフト株式会社
2021 年 3 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/releaseNote/2021-Mar

JPCERT/CC 注意喚起
2021年3月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2021/at210013.html

【2】複数のF5 Networks製品に脆弱性

情報源
CISA Current Activity
F5 Security Advisory for RCE Vulnerabilities in BIG-IP, BIG-IQ
https://us-cert.cisa.gov/ncas/current-activity/2021/03/10/f5-security-advisory-rce-vulnerabilities-big-ip-big-iq

概要
複数のF5 Networks製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコマンドを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- BIG-IP(LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO)
- 16.0.0から16.0.1までのバージョン
- 15.0.0から15.1.2までのバージョン
- 14.1.0から14.1.3.1までのバージョン
- 13.1.0から13.1.3.6までのバージョン
- 12.1.0から12.1.5.2までのバージョン
- 11.6.1から11.6.5.2までのバージョン
- BIG-IP APM Clients
- 7.2.1
- 7.1.5から7.1.9までのバージョン
- BIG-IQ Centralized Management
- 7.1.0から7.1.0.2までのバージョン
- 7.0.0から7.0.0.1までのバージョン
- 6.0.0から6.1.0までのバージョン

この問題は、該当する製品をF5 Networksが提供する修正済みのバージョンに
更新することで解決します。詳細は、F5 Networksが提供する情報を参照して
ください。

関連文書 (英語)
F5 Networks
K02566623: Overview of F5 vulnerabilities (March 2021)
https://support.f5.com/csp/article/K02566623

【3】複数のSAP製品に脆弱性

情報源
CISA Current Activity
SAP Releases March 2021 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/03/09/sap-releases-march-2021-security-updates

概要
複数のSAP製品には、脆弱性があります。結果として、第三者が権限昇格する
などの可能性があります。

対象となる製品は、多岐に渡ります。詳細はSAPが提供するアドバイザリ情報
を参照してください。

この問題は、該当する製品をSAPが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、SAPが提供する情報を参照してください。

関連文書 (英語)
SAP
SAP Security Patch Day March 2021
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=571343107

【4】複数のApple製品に脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/03/09/apple-releases-security-updates

概要
複数のApple製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Safari 14.0.3より前のバージョン
- macOS Big Sur 11.2.3より前のバージョン
- watchOS 7.3.2より前のバージョン
- iOS 14.4.1より前のバージョン
- iPadOS 14.4.1より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数のApple製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021030901.html

関連文書 (英語)
Apple
About the security content of macOS Big Sur 11.2.3
https://support.apple.com/en-us/HT212220

Apple
About the security content of iOS 14.4.1 and iPadOS 14.4.1
https://support.apple.com/en-us/HT212221

Apple
About the security content of watchOS 7.3.2
https://support.apple.com/en-us/HT212222

Apple
About the security content of Safari 14.0.3
https://support.apple.com/en-us/HT212223

【5】複数のアドビ製品に脆弱性

情報源
CISA Current Activity
Adobe Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/03/09/adobe-releases-security-updates

概要
複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe Framemaker
- Adobe Photoshop 2020
- Adobe Photoshop 2021
- Adobe Creative Cloud Desktop Application
- Adobe Connect
- Adobe Animate

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021031001.html

関連文書 (英語)
アドビ
Security Updates Available for Adobe Framemaker | APSB21-14
https://helpx.adobe.com/security/products/framemaker/apsb21-14.html

アドビ
Security updates available for Adobe Photoshop | APSB21-17
https://helpx.adobe.com/security/products/photoshop/apsb21-17.html

アドビ
Security update available for Adobe Creative Cloud Desktop Application | APSB21-18
https://helpx.adobe.com/security/products/creative-cloud/apsb21-18.html

アドビ
Security updates available for Adobe Connect | APSB21-19
https://helpx.adobe.com/security/products/connect/apsb21-19.html

アドビ
Security updates available for Adobe Animate | APSB21-21
https://helpx.adobe.com/security/products/animate/apsb21-21.html

【6】MagicConnectクライアントプログラムのインストーラにDLL読み込みに関する脆弱性

情報源
Japan Vulnerability Notes JVN#18056666
MagicConnect クライアントプログラムのインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN18056666/

概要
NTTテクノクロス株式会社が提供するMagicConnectクライアントプログラムの
インストーラには、DLL読み込みに関する脆弱性が存在します。結果として第
三者がインストーラの実行権限で任意のコードを実行する可能性があります。

対象となるバージョンは以下のとおりです。

- MagicConnectクライアントプログラムの、2021年3月1日より前に配布されたインストーラ

この問題は、NTTテクノクロス株式会社が提供する修正済みのインストーラを
利用することで解決します。詳細は、NTTテクノクロス株式会社が提供する情
報を参照してください。

関連文書 (日本語)
NTTテクノクロス株式会社
クライアントアプリケーション インストーラを更新しました（不具合内容の詳細報告）
https://www.magicconnect.net/information/202103110900-2

【7】株式会社エム・システム技研製DL8に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#47497535
株式会社エム・システム技研製 DL8 における複数の脆弱性
https://jvn.jp/jp/JVN47497535/

概要
株式会社エム・システム技研が提供するDL8には複数の脆弱性が存在します。
結果として、簡易Webインタフェースにログイン可能な第三者がサービス運用
妨害（DoS）攻撃を行う可能性があります。

対象となるバージョンは以下のとおりです。

- タイプA (DL8-A) Ver3.0 より前のバージョン
- タイプB (DL8-B) Ver3.0 より前のバージョン
- タイプC (DL8-C) Ver3.0 より前のバージョン
- タイプD (DL8-D) Ver3.0 より前のバージョン
- タイプE (DL8-E) Ver3.0 より前のバージョン

この問題は、株式会社エム・システム技研が提供する修正済みのファームウェ
アに更新することで解決します。詳細は、株式会社エム・システム技研が提供
する情報を参照してください。

関連文書 (日本語)
株式会社エム・システム技研
DL8Updater：データマル ファームウェアアップデータ
https://www.m-system.co.jp/kaisetu/dl_dl8updaterJ.html

【8】GROWIに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#94889258
GROWI における複数の脆弱性
https://jvn.jp/vu/JVNVU94889258/

Japan Vulnerability Notes JVN#86438134
GROWI における複数のクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN86438134

概要
株式会社WESEEKが提供するGROWIには、複数の脆弱性が存在します。結果とし
て、管理者権限を取得した遠隔の第三者が任意のコードを実行するなどの可能
性があります。

対象となるバージョンは次のとおりです。

- GROWI v4.2.2およびそれ以前
- GROWI v4.2.0からv4.2.7までのバージョン (v4.2系)

この問題は、該当する製品を株式会社WESEEKが提供する修正済みのバージョン
に更新することで解決します。詳細は、株式会社WESEEKが提供する情報を参照
してください。

関連文書 (日本語)
株式会社WESEEK
GROWI 脆弱性対応のお知らせ (JVN#94889258)
https://weseek.co.jp/security/2021/03/08/vulnerability/growi-prevent-multiple-xss/

株式会社WESEEK
GROWI 脆弱性対応のお知らせ (JVN#86438134)
https://weseek.co.jp/security/2021/03/09/vulnerability/growi-prevent-xss5/

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○日本シーサート協議会が「FIRST CSIRT Services Framework v2.1 日本語版」を公開

日本シーサート協議会は、FIRSTのEducation Advisory Boardがまとめた「CSIRT
が提供するサービスの一覧」の最新版の日本語訳を2021年3月10日に公開しま
した。本資料はCSIRTの役務(サービス)を体系立てて一覧化しています。各組
織のCSIRTが提供するサービスの改善等に役立ててください。

参考文献 (日本語)
日本シーサート協議会
FIRST CSIRT Services Framework v2.1 日本語版
https://www.nca.gr.jp/ttc/first_framework2_1.html

 目 次

【1】Microsoft Exchange Serverに複数の脆弱性
【2】Apache Tomcatに複数の脆弱性
【3】Google Chromeに複数の脆弱性
【4】複数のCisco製品に脆弱性
【5】VMWareのView Plannerにリモートコード実行の脆弱性
【6】GitLabに複数の脆弱性
【7】ウイルスバスター クラウド (Windows版) にコードインジェクションの脆弱性
【8】E START製品にDLL読み込みに関する脆弱性
【今週のひとくちメモ】警察庁が「令和２年におけるサイバー空間をめぐる脅威の情勢等について」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr211001.html
https://www.jpcert.or.jp/wr/2021/wr211001.xml
============================================================================

【1】Microsoft Exchange Serverに複数の脆弱性

情報源
US-CERT Current Activity
Microsoft Releases Alternative Mitigations for Exchange Server Vulnerabilities
https://us-cert.cisa.gov/ncas/current-activity/2021/03/05/microsoft-releases-alternative-mitigations-exchange-server

概要
Microsoft Exchangeには、複数の脆弱性があります。結果として、遠隔の第三
者がSYSTEM権限で任意のコードを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Microsoft Exchange Server 2019
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2013

※なお、すでにサポートが終了しているMicrosoft Exchange Server 2010につ
いてもアップデートが提供されています。

この問題は、Microsoft Exchange ServerをMicrosoftが提供する修正済みのバー
ジョンに更新することで解決します。詳細は、Microsoftが提供する情報を参
照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
Microsoft Exchange Serverの複数の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210012.html

Microsoft
Exchange Server のセキュリティ更新プログラムの公開 (定例外)
https://msrc-blog.microsoft.com/2021/03/02/20210303_exchangeoob/

【2】Apache Tomcatに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#97014415
Apache Tomcat に対するアップデート
https://jvn.jp/vu/JVNVU97014415/

概要
Apache Tomcatには、複数の脆弱性があります。結果として、遠隔の第三者が
任意のバイトコードを実行するなどの可能性があります。

対象となる製品は以下のとおりです。

- Apache Tomcat 10.0.0-M1から10.0.0
- Apache Tomcat 9.0.0.M1から9.0.41
- Apache Tomcat 8.5.0から8.5.61
- Apache Tomcat 7.0.0から7.0.107

この問題は、Apache Tomcatを開発者が提供する修正済みのバージョンに更新
することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
Apache Tomcat の脆弱性 (CVE-2020-9484) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200024.html

関連文書 (英語)
Apache Software Foundation
CVE-2021-25329 Apache Tomcat Incomplete fix for CVE-2020-9484 (RCE via session persistence)
https://lists.apache.org/thread.html/rfe62fbf9d4c314f166fe8c668e50e5d9dd882a99447f26f0367474bf%40%3Cannounce.tomcat.apache.org%3E

Apache Software Foundation
CVE-2021-25122 Apache Tomcat h2c request mix-up
https://lists.apache.org/thread.html/r7b95bc248603360501f18c8eb03bb6001ec0ee3296205b34b07105b7%40%3Cannounce.tomcat.apache.org%3E

Apache Software Foundation
Fixed in Apache Tomcat 10.0.2
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.2

Apache Software Foundation
Fixed in Apache Tomcat 9.0.43
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.43

Apache Software Foundation
Fixed in Apache Tomcat 8.5.63
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.63

Apache Software Foundation
Fixed in Apache Tomcat 7.0.108
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.108

【3】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/03/03/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 89.0.4389.72より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/03/stable-channel-update-for-desktop.html

【4】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/03/04/cisco-releases-security-updates

概要
複数のCisco製品には、脆弱性があります。結果として、隣接の第三者がサー
ビス運用妨害（DoS）攻撃を行う可能性があります。

影響度Highの脆弱性情報に記載されている製品は次のとおりです。

- 1000 Series Integrated Services Routers (ISRs)
- 4000 Series Integrated Services Routers (ISRs)
- Catalyst 8000V Edge Software
- Catalyst 8200 Series Edge Platforms
- Catalyst 8300 Series Edge Platforms
- Cloud Services Router 1000V Series
- Integrated Services Virtual Router (ISRv)

※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、
影響度Mediumの複数の脆弱性情報が公開されています。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Multiple Cisco Products Snort Ethernet Frame Decoder Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-snort-ethernet-dos-HGXgJH8n

【5】VMWareのView Plannerにリモートコード実行の脆弱性

情報源
CISA Current Activity
VMware Releases Security Update
https://us-cert.cisa.gov/ncas/current-activity/2021/03/04/vmware-releases-security-update

概要
View Plannerには、リモートコード実行の脆弱性があります。結果として、遠
隔の第三者が任意のコマンドを実行する可能性があります。

対象となるバージョンは次のとおりです。

- View Planner 4.6およびそれ以前

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、VMwareが提供する情報を参照してください。

関連文書 (英語)
VMware Security Advisories
VMSA-2021-0003
https://www.vmware.com/security/advisories/VMSA-2021-0003.html

【6】GitLabに複数の脆弱性

情報源
GitLab
GitLab Security Release: 13.9.2, 13.8.5 and 13.7.8
https://about.gitlab.com/releases/2021/03/04/security-release-gitlab-13-9-2-released/

概要
GitLabには、複数の脆弱性があります。結果として、遠隔の第三者がJWTトー
クンを窃取するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- GitLab Community EditionおよびEnterprise Edition 13.9.2より前の13.9系バージョン
- GitLab Community EditionおよびEnterprise Edition 13.8.5より前の13.8系バージョン
- GitLab Community EditionおよびEnterprise Edition 13.7.8より前の13.7系バージョン

なお、GitLabによると、上記に記載されていないバージョンも影響を受けると
のことです。

この問題は、該当する製品をGitLabが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、GitLabが提供する情報を参照してください。

【7】ウイルスバスター クラウド (Windows版) にコードインジェクションの脆弱性

情報源
Japan Vulnerability Notes JVNVU#99545969
トレンドマイクロ株式会社製ウイルスバスター クラウド (Windows 版) におけるコードインジェクションの脆弱性
https://jvn.jp/vu/JVNVU99545969/

概要
トレンドマイクロ株式会社が提供するウイルスバスター クラウド(Windows版)
には、コードインジェクションの脆弱性があります。結果として、管理者権限
を取得した第三者がプログラムのパスワード保護やシステムの保護を無効にす
る可能性があります。

対象となるバージョンは次のとおりです。

- ウイルスバスター クラウド (Windows版) バージョン17.0
- ウイルスバスター クラウド (Windows版) バージョン16.0

この問題は、ウイルスバスター クラウドをトレンドマイクロ株式会社が提供
する修正済みのバージョンに更新することで解決します。詳細は、トレンドマ
イクロ株式会社が提供する情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ：ウイルスバスター クラウドの脆弱性について(CVE-2021-25251)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10203

【8】E START製品にDLL読み込みに関する脆弱性

情報源
Japan Vulnerability Notes JVN#68418039
GMOインサイト製の E START 製品のインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN68418039/

概要
GMOインサイト株式会社が提供するE START製品のインストーラには、DLL読み
込みの脆弱性があります。結果として、第三者がインストーラを実行している
権限で、任意のコードを実行する可能性があります。

対象となるバージョンは次のとおりです。

- E STARTアプリ バージョン3.0.2.0およびそれ以前
- E STARTアップデートセンター バージョン2.0.8.0およびそれ以前

この問題は最新のインストーラを使用することで解決します。詳細はGMOイン
サイト株式会社が提供する情報を参照してください。

関連文書 (日本語)
GMOインサイト株式会社
弊社製品におけるNSISインストーラに起因する DLL 読み込みに関する脆弱性
https://www.gmo-insight.jp/info/2021/0305/4518

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○警察庁が「令和２年におけるサイバー空間をめぐる脅威の情勢等について」を公開

2021年3月4日、警察庁は「令和２年におけるサイバー空間をめぐる脅威の情勢
等について」を公開しました。この文書では、令和2年中におけるサイバー攻
撃やサイバー犯罪の情勢および今後の取組についてまとめられています。

サイバー攻撃の情勢では、ランサムウェアによる二重恐喝 (ダブルエクストー
ション)、スマートフォン決済サービスに係る不正振替事犯等を挙げています。
また、国内で検知したサイバー空間における探索行為等とみられるアクセスの
件数は増加傾向にあり、サイバー犯罪の検挙件数は、前年と比べて増加し、過
去最多を更新しているとのことです。

参考文献 (日本語)
警察庁
令和２年におけるサイバー空間をめぐる脅威の情勢等について
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R02_cyber_jousei.pdf