2020年12月16日 (水)

■12/06(日)~12/12(土) のセキュリティ関連情報

 目 次

【1】複数の Microsoft 製品に脆弱性
【2】複数の Adobe 製品に脆弱性
【3】Apache Struts 2 に任意のコードが実行可能な脆弱性
【4】OpenSSL に NULL ポインタ参照の脆弱性
【5】複数の SAP 製品に脆弱性
【6】Cisco Jabber に複数の脆弱性
【7】三菱電機製 MELSEC iQ-F シリーズにサービス運用妨害 (DoS) の脆弱性
【8】NEC Aterm SA3500G に複数の脆弱性
【9】Apache Cordova Plugin camera に情報漏えいの脆弱性
【10】トレンドマイクロ株式会社製 ServerProtect for Linux にヒープベースのバッファオーバーフローの脆弱性
【今週のひとくちメモ】JPCERT/CC Eyes 「Quasar Familyによる攻撃活動」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr204901.html
https://www.jpcert.or.jp/wr/2020/wr204901.xml
============================================================================


【1】複数の Microsoft 製品に脆弱性

情報源
CISA Current Activity
Microsoft Releases December 2020 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/12/08/microsoft-releases-december-2020-security-updates

概要
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Microsoft Windows
- Microsoft Edge (EdgeHTML ベース)
- ChakraCore
- Microsoft Office、Microsoft Office Services および Web Apps
- Microsoft Windows Codecs Library
- Microsoft Exchange Server
- Azure DevOps
- Microsoft Dynamics
- Visual Studio
- Azure SDK
- Azure Sphere

この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
とで解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)
マイクロソフト株式会社
2020 年 12 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2020-Dec

JPCERT/CC 注意喚起
2020年12月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200047.html

【2】複数の Adobe 製品に脆弱性

情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/12/08/adobe-releases-security-updates-multiple-products

概要
複数の Adobe 製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Acrobat DC
- Acrobat 2017
- Acrobat 2020
- Acrobat Reader DC
- Acrobat Reader 2017
- Acrobat Reader 2020
- Adobe Experience Manager
- Adobe Experience Manager Forms アドオン
- Adobe Lightroom Classic
- Adobe Prelude

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
Adobe Acrobat および Reader の脆弱性 (APSB20-75) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200049.html

JPCERT/CC CyberNewsFlash
複数の Adobe 製品のアップデートや予告について
https://www.jpcert.or.jp/newsflash/2020120901.html

Adobe
Adobe Prelude に関するセキュリティアップデート公開 | APSB20-70
https://helpx.adobe.com/jp/security/products/prelude/apsb20-70.html

Adobe
Adobe Experience Manager に関するセキュリティアップデート公開 | APSB20-72
https://helpx.adobe.com/jp/security/products/experience-manager/apsb20-72.html

Adobe
Adobe Lightroom に関するセキュリティアップデート公開 | APSB20-74
https://helpx.adobe.com/jp/security/products/lightroom/apsb20-74.html

Adobe
Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB20-75
https://helpx.adobe.com/jp/security/products/acrobat/apsb20-75.html

【3】Apache Struts 2 に任意のコードが実行可能な脆弱性

情報源
CISA Current Activity
Apache Releases Security Update for Apache Struts 2
https://us-cert.cisa.gov/ncas/current-activity/2020/12/08/apache-releases-security-update-apache-struts-2

概要
Apache Software Foundation が提供する Apache Struts 2 には、不適切な入
力確認に起因する任意のコードが実行可能な脆弱性があります。結果として、
遠隔の第三者が、任意のコードを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Apache Struts 2.0.0 から 2.5.25 までのバージョン

この問題は、Apache Struts 2 を Apache Software Foundation が提供する修
正済みのバージョンに更新することで解決します。詳細は Apache Software
Foundation が提供する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVN#43969166
Apache Struts 2 において任意のコードが実行可能な脆弱性 (S2-061)
https://jvn.jp/jp/JVN43969166/

JPCERT/CC 注意喚起
Apache Struts 2 の脆弱性 (S2-061) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200046.html

関連文書 (英語)
The Apache Software Foundation
S2-061
https://cwiki.apache.org/confluence/display/WW/S2-061

【4】OpenSSL に NULL ポインタ参照の脆弱性

情報源
CISA Current Activity
OpenSSL Releases Security Update
https://us-cert.cisa.gov/ncas/current-activity/2020/12/08/openssl-releases-security-update

概要
OpenSSL Project が提供する OpenSSL には、NULL ポインタ参照の脆弱性があ
ります。結果として、遠隔の第三者が、OpenSSL を実行しているサーバーおよ
びクライアントアプリケーションにおいて、サービス運用妨害 (DoS) 攻撃を
行う可能性があります。

対象となるバージョンは次のとおりです。

- OpenSSL 1.1.1 から 1.1.1h までのバージョン
- OpenSSL 1.0.2 から 1.0.2w までのバージョン

この問題は、OpenSSL を OpenSSL Project が提供する修正済みのバージョン
に更新することで解決します。詳細は OpenSSL Project が提供する情報を参
照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#91053554
OpenSSL における NULL ポインタ参照の脆弱性
https://jvn.jp/vu/JVNVU91053554/

JPCERT/CC 注意喚起
OpenSSL の脆弱性 (CVE-2020-1971) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200048.html

関連文書 (英語)
OpenSSL Project
OpenSSL Security Advisory [08 December 2020]
https://www.openssl.org/news/secadv/20201208.txt

【5】複数の SAP 製品に脆弱性

情報源
CISA Current Activity
SAP Releases December 2020 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/12/08/sap-releases-december-2020-security-updates

概要
複数の SAP 製品には、脆弱性があります。結果として、遠隔の第三者が管理
者権限を取得し、システムを停止するなどの可能性があります。

対象となる製品は、多岐に渡ります。詳細は SAP が提供するアドバイザリ情
報を参照してください。

この問題は、該当する製品を SAP が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、SAP が提供する情報を参照してください。

関連文書 (英語)
SAP
SAP Security Patch Day December 2020
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=564757079

【6】Cisco Jabber に複数の脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Jabber Desktop and Mobile Client Software
https://us-cert.cisa.gov/ncas/current-activity/2020/12/11/cisco-releases-security-updates-jabber-desktop-and-mobile-client

概要
Cisco Jabber には、複数の脆弱性があります。結果として、遠隔の第三者が
システム上で任意のプログラムを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Cisco Jabber for Windows
- Cisco Jabber for MacOS
- Cisco Jabber for Android and iOS

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Jabber Desktop and Mobile Client Software Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-jabber-ZktzjpgO

【7】三菱電機製 MELSEC iQ-F シリーズにサービス運用妨害 (DoS) の脆弱性

情報源
Japan Vulnerability Notes JVNVU#95638588
三菱電機製 MELSEC iQ-F シリーズにおけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU95638588/

概要
三菱電機株式会社が提供する MELSEC iQ-F シリーズ FX5U(C) CPU ユニットに
は、サービス運用妨害 (DoS) の脆弱性があります。 結果として、遠隔の第三
者が、プログラム実行および通信をサービス運用妨害 (DoS) 状態にする可能
性があります。

対象となるバージョンは次のとおりです。

- FX5U(C) CPU ユニット ファームウェアバージョン 1.060 およびそれ以前

この問題は、FX5U(C) CPU ユニット を三菱電機株式会社が提供する修正済み
のバージョンに更新することで解決します。詳細は、三菱電機株式会社が提供
する情報を参照してください。

関連文書 (日本語)
三菱電機株式会社
MELSEC iQ-FシリーズCPUユニット のEthernetポートにおけるサービス拒否(DoS)の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2020-018.pdf

関連文書 (英語)
ICS Advisory (ICSA-20-345-01)
Mitsubishi Electric MELSEC iQ-F Series
https://us-cert.cisa.gov/ics/advisories/icsa-20-345-01

【8】NEC Aterm SA3500G に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#55917325
NEC Aterm SA3500G における複数の脆弱性
https://jvn.jp/jp/JVN55917325/

概要
日本電気株式会社が提供する Aterm SA3500G には、複数の脆弱性があります。
結果として、当該製品にアクセスが可能な第三者が、任意のコマンドを実行す
るなどの可能性があります。

対象となるバージョンは次のとおりです。

- Aterm SA3500G ファームウェア Ver3.5.9 およびそれ以前

この問題は、Aterm SA3500G を日本電気株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、日本電気株式会社が提供する情報を参
照してください。

関連文書 (日本語)
NECプラットフォームズ株式会社
Aterm SA3500Gにおける複数の脆弱性
https://www.necplatforms.co.jp/product/security_ap/info_20201211.html

【9】Apache Cordova Plugin camera に情報漏えいの脆弱性

情報源
Japan Vulnerability Notes JVN#59779918
Apache Cordova Plugin camera における情報漏えいの脆弱性
https://jvn.jp/jp/JVN59779918/

概要
Apache Cordova Project が提供する Apache Cordova Plugin camera には、
情報漏えいの脆弱性があります。外部ストレージを持っている Android デバ
イスで当該製品を利用している場合、外部ストレージに保存された画像データ
にアクセスされる可能性があります。

対象となるバージョンは次のとおりです。

- Apache Cordova Plugin camera 5.0.0 より前のバージョン

この問題は、Apache Cordova Plugin camera を Apache Cordova Project が
提供する修正済みのバージョンに更新することで解決します。詳細は、Apache
Cordova Project が提供する情報を参照してください。

関連文書 (英語)
Apache Cordova Project
Security Advisory CVE-2020-11990
https://cordova.apache.org/news/2020/11/30/cve-2020-11990.html

【10】トレンドマイクロ株式会社製 ServerProtect for Linux にヒープベースのバッファオーバーフローの脆弱性

情報源
Japan Vulnerability Notes JVNVU#97704455
トレンドマイクロ株式会社製 ServerProtect for Linux にヒープベースのバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU97704455/

概要
トレンドマイクロ株式会社が提供する ServerProtect for Linux には、ヒー
プベースのバッファオーバーフローの脆弱性があります。 結果として、高特
権コードを実行可能な第三者が、権限を昇格する可能性があります。

対象となるバージョンは次のとおりです。

- ServerProtect for Linux バージョン 3.0

この問題は、ServerProtect for Linux をトレンドマイクロ株式会社が提供す
る修正済みのバージョンに更新することで解決します。詳細は、トレンドマイ
クロ株式会社が提供する情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ:ServerProtect for Linuxのヒープベースバッファオーバーフロー特権昇格脆弱性(CVE-2020-28575)について
https://success.trendmicro.com/jp/solution/000281952


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CC Eyes 「Quasar Familyによる攻撃活動」を公開

2020年12月10日、JPCERT/CC は、公式ブログ JPCERT/CC Eyes にて「Quasar
Familyによる攻撃活動」を公開しました。Quasar はオープンソースの RAT(Remote
Administration Tool)で、多くの攻撃者に悪用されていることが報告されて
います。また、Quasar は、多くの派生があり、それらは Quasar Family と呼
ばれています。今回は Quasar および Quasar Family の詳細について紹介し
ています。


参考文献 (日本語)
JPCERT/CC
Quasar Familyによる攻撃活動
https://blogs.jpcert.or.jp/ja/2020/12/quasar-family.html

2020年12月 9日 (水)

■11/29(日)~12/05(土) のセキュリティ関連情報

目 次

【1】Google Chrome に複数の脆弱性
【2】Mozilla Thunderbird にスタックオーバフローの脆弱性
【3】Apache Tomcat に HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性
【4】CentOS Linux 6サポート終了について
【5】desknet's NEO にクロスサイトスクリプティングの脆弱性
【6】Apple iCloud for Windows に複数の脆弱性
【7】ファイル・データ転送アプライアンス FileZen のアップデートについて
【8】EC-CUBE に複数の脆弱性
【9】三菱電機製 GOT およびテンションコントローラにサービス運用妨害 (DoS) の脆弱性
【今週のひとくちメモ】JPCERT/CC 「QuasarRAT analysis tools and research report」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr204801.html
https://www.jpcert.or.jp/wr/2020/wr204801.xml
============================================================================


【1】Google Chrome に複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2020/12/04/google-releases-security-updates-chrome

概要
Google Chrome には、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 87.0.4280.88 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/12/stable-channel-update-for-desktop.html

【2】Mozilla Thunderbird にスタックオーバフローの脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Update for Thunderbird
https://us-cert.cisa.gov/ncas/current-activity/2020/12/02/mozilla-releases-security-update-thunderbird

概要
Mozilla Thunderbird には、スタックオーバフローの脆弱性があります。結果
として、第三者が影響を受けるシステムを制御する可能性があります。

対象となるバージョンは次のとおりです。

- Mozilla Thunderbird 78.5.1 より前のバージョン

この問題は、Mozilla Thunderbird を Mozilla が提供する修正済みのバージョン
に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく
ださい。

関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Thunderbird 78.5.1
https://www.mozilla.org/en-US/security/advisories/mfsa2020-53/

【3】Apache Tomcat に HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性

情報源
CISA Current Activity
Apache Releases Security Advisory for Apache Tomcat
https://us-cert.cisa.gov/ncas/current-activity/2020/12/04/apache-releases-security-advisory-apache-tomcat

概要
The Apache Software Foundation が提供する Apache Tomcat には、HTTP/2
リクエスト処理の不備に起因する情報漏えいの脆弱性があります。結果として、
他のリクエストにヘッダ値が引き継がれることにより情報漏えいが発生する可
能性があります。

対象となるバージョンは次のとおりです。

- Apache Tomcat 10.0.0-M1 から 10.0.0-M9 まで
- Apache Tomcat 9.0.0-M1 から 9.0.39 まで
- Apache Tomcat 8.5.0 から 8.5.59 まで

この問題は、Apache Tomcat を The Apache Software Foundation が提供する
修正済みのバージョンに更新することで解決します。詳細は Apache Software
Foundation が提供する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#94251682
Apache Tomcat における HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性
https://jvn.jp/vu/JVNVU94251682/

JPCERT/CC 注意喚起
Apache Tomcat の脆弱性 (CVE-2020-17527) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200045.html

関連文書 (英語)
The Apache Software Foundation
Fixed in Apache Tomcat 10.0.0-M10
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M10

The Apache Software Foundation
Fixed in Apache Tomcat 9.0.40
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.40

The Apache Software Foundation
Fixed in Apache Tomcat 8.5.60
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.60

【4】CentOS Linux 6サポート終了について

情報源
CentOS
CentOS Community Newsletter, December 2020 (#2012)
https://blog.centos.org/2020/12/centos-community-newsletter-december-2020-2012/

概要
2020年12月1日 (米国時間)、The CentOS Project から CentOS 6 Linux のサ
ポート終了について告知がありました。2020年11月30日をもって、当該製品の
サポートが終了します。サポート終了後はマルウエアへの感染や情報漏えいな
どの被害を受けやすくなります。当該製品を利用している場合、サポートが行
われているバージョンへの移行をお勧めします。


【5】desknet's NEO にクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#42199826
desknet's NEO におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN42199826/

概要
株式会社ネオジャパンが提供する desknet's NEO には、格納型のクロスサイ
トスクリプティングの脆弱性があります。遠隔の第三者が、当該製品にログイン
した状態のユーザのウェブブラウザ上で、任意のスクリプトを実行する可能性
があります。

対象となるバージョンは次のとおりです。

- desknet's NEO スモールライセンス V5.5 R1.5 およびそれ以前
- desknet's NEO エンタープライズライセンス V5.5 R1.5 およびそれ以前

この問題は、desknet's NEO を株式会社ネオジャパンが提供する修正済みのバージョン
に更新することで解決します。詳細は、株式会社ネオジャパンが提供する情報
を参照してください。

関連文書 (日本語)
desknet's NEO
desknet'sNEO 製品におけるセキュリティ上の問題(クロスサイト・スクリプティング)について
https://www.desknets.com/neo/support/mainte/9700/

【6】Apple iCloud for Windows に複数の脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates for iCloud for Windows
https://us-cert.cisa.gov/ncas/current-activity/2020/12/03/apple-releases-security-updates-icloud-windows

概要
Apple の iCloud for Windows には、複数の脆弱性があります。結果として、
第三者が任意のコードを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- iCloud for Windows 11.5 より前のバージョン

この問題は、iCloud for Windows を Apple が提供する修正済みのバージョン
に更新することで解決します。詳細は、Apple が提供する情報を参照してくだ
さい。

関連文書 (日本語)
Apple
Windows 用 iCloud 11.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211935

Japan Vulnerability Notes JVNVU#92370378
Apple iCloud for Windows における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU92370378/

【7】ファイル・データ転送アプライアンス FileZen のアップデートについて

情報源
株式会社ソリトンシステムズ
【重要】FileZen最新バージョンへのアップデートのお願い(V4.2.2以前)
https://www.soliton.co.jp/support/2020/004274.html

概要
2020年12月2日、株式会社ソリトンシステムズからファイル・データ転送アプ
ライアンス FileZen に対してアップデートを促す注意喚起が公開されました。
開発者は、FileZen を使用しているユーザーに対し、最新バージョンへの早急
なアップデートを呼びかけています。

対象となるバージョンは次のとおりです。

- FileZen V4.2.3 より前のバージョン

詳細は、株式会社ソリトンシステムズが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
ファイル・データ転送アプライアンス FileZen に関する注意喚起 (公開)
https://www.jpcert.or.jp/at/2020/at200044.html

【8】EC-CUBE に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#24457594
EC-CUBE における複数の脆弱性
https://jvn.jp/jp/JVN24457594/

概要
EC-CUBE には、複数の脆弱性があります。結果として、遠隔の第三者が、サー
ビス運用妨害 (DoS) 攻撃を行ったり、ユーザの意図しない操作を行ったりす
る可能性があります。

対象となるバージョンは次のとおりです。

- EC-CUBE 3.0.0 から 3.0.18 までのバージョン

この問題は、EC-CUBE を株式会社イーシーキューブが提供するパッチを適用す
ることで解決します。詳細は、株式会社イーシーキューブが提供する情報を参
照してください。

関連文書 (日本語)
株式会社イーシーキューブ
DoSの危険性(3.0系)
https://www.ec-cube.net/info/weakness/weakness.php?id=76

株式会社イーシーキューブ
クリックジャッキングの脆弱性(3.0系)
https://www.ec-cube.net/info/weakness/weakness.php?id=75

【9】三菱電機製 GOT およびテンションコントローラにサービス運用妨害 (DoS) の脆弱性

情報源
Japan Vulnerability Notes JVNVU#99277775
三菱電機製 GOT およびテンションコントローラにおけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU99277775/

概要
GOT2000 シリーズ GT21 モデルおよび GOT SIMPLE シリーズ GS21 モデル、テン
ションコントローラには、サービス運用妨害 (DoS) の脆弱性があります。結
果として、遠隔の第三者が、細工したパケットを送信することで、サービス運
用妨害 (DoS) 攻撃を行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

- GOT2000 シリーズ GT21 モデル GT2107-WTBD 全てのバージョン
- GOT2000 シリーズ GT21 モデル GT2107-WTSD 全てのバージョン
- GOT2000 シリーズ GT21 モデル GT2104-RTBD 全てのバージョン
- GOT2000 シリーズ GT21 モデル GT2104-PMBD 全てのバージョン
- GOT2000 シリーズ GT21 モデル GT2103-PMBD 全てのバージョン
- GOT SIMPLE シリーズ GS21 モデル GS2110-WTBD 全てのバージョン
- GOT SIMPLE シリーズ GS21 モデル GS2107-WTBD 全てのバージョン
- LE7-40GU-L 全てのバージョン

この問題は、該当する製品に次の回避策を適用することで脆弱性の影響を軽減
することが可能です。なお、開発者によると、本脆弱性に対応したバージョン
を近日中にリリースする予定とのことです。

- 当該製品への接続は、信頼できるネットワークやホストからのアクセスに制限する

詳細は、三菱電機株式会社が提供する情報を参照してください。

関連文書 (日本語)
三菱電機株式会社
GOT及びテンションコントローラのTCP/IPスタックにおけるサービス拒否(DoS)の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2020-017.pdf


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CC 「QuasarRAT analysis tools and research report」を公開

2020年12月2日 (米国時間)、JPCERT/CC は、GitHub にて 「QuasarRAT
analysis tools and research report」を公開しました。QuasarRAT はオープ
ンソースの RAT(Remote Administration Tool)で、多くの攻撃者に悪用され
ていることが報告されています。本サイトでは、QuasarRAT および派生ソフト
ウェアに関する解析レポートと解析に活用できるツールについて掲載していま
す。

参考文献 (日本語)
JPCERT/CC
QuasarRAT analysis tools and research report
https://github.com/JPCERTCC/QuasarRAT-Analysis

2020年12月 2日 (水)

■11/22(日)~11/28(土) のセキュリティ関連情報

目 次

【1】複数の VMware 製品にコマンドインジェクションの脆弱性
【2】Drupal にPHPコード実行の脆弱性
【3】NETGEAR 製スイッチングハブにクロスサイトリクエストフォージェリの脆弱性
【4】トレンドマイクロ株式会社製ウイルスバスター for Mac に複数の脆弱性
【5】InterScan Messaging Security シリーズに複数の脆弱性
【6】GROWI に複数の脆弱性
【今週のひとくちメモ】NISC が「ランサムウエアによるサイバー攻撃について【注意喚起】」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr204701.html
https://www.jpcert.or.jp/wr/2020/wr204701.xml
============================================================================


【1】複数の VMware 製品にコマンドインジェクションの脆弱性

情報源
CISA Current Activity
VMware Releases Workarounds for CVE-2020-4006
https://us-cert.cisa.gov/ncas/current-activity/2020/11/23/vmware-releases-workarounds-cve-2020-4006

概要
複数の VMware 製品には、コマンドインジェクションの脆弱性があります。結
果として、遠隔の第三者が任意のコマンドを実行する可能性があります。

対象となる製品は次のとおりです。

- VMware Workspace One Access (Access)
- VMware Workspace One Access Connector (Access Connector)
- VMware Identity Manager (vIDM)
- VMware Identity Manager Connector (vIDM Connector)
- VMware Cloud Foundation
- vRealize Suite Lifecycle Manager

2020年12月2日時点で、修正済みのバージョンは提供されていません。VMware
がこの問題に対する回避策に関する情報を提供しています。詳細は、VMware
の提供する情報を確認してください。

関連文書 (日本語)
JVN
複数の VMware 製品に OS コマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU97472624/

関連文書 (英語)
VMware Security Advisories
VMSA-2020-0027.1
https://www.vmware.com/security/advisories/VMSA-2020-0027.html

CERT/CC
VMware Workspace ONE Access and related components are vulnerable to command injection
https://kb.cert.org/vuls/id/724367

【2】Drupal にPHPコード実行の脆弱性

情報源
CISA Current Activity
Drupal Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/11/27/drupal-releases-security-updates

概要
Drupal には、内部で使用しているパッケージの問題に起因する、ファイルアッ
プロード時の不適切な処理によるリモートコード実行の脆弱性があります。結
果として、遠隔の第三者が任意のPHPコードを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Drupal 9.0.9 より前の 9.0 系のバージョン
- Drupal 8.9.10 より前の 8.9 系のバージョン
- Drupal 8.8.12 より前の 8.8 系のバージョン
- Drupal 7.75 より前の 7 系のバージョン

なお、Drupal 8.8 系より前の 8 系のバージョンも影響を受けますが、サポー
トが終了しており、今回のセキュリティに関する情報は提供されていません。

この問題は、Drupal を Drupal が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Drupal が提供する情報を参照してください。

関連文書 (英語)
Drupal
Drupal core - Critical - Arbitrary PHP code execution - SA-CORE-2020-013
https://www.drupal.org/sa-core-2020-013

【3】NETGEAR 製スイッチングハブにクロスサイトリクエストフォージェリの脆弱性

情報源
Japan Vulnerability Notes JVN#27806339
NETGEAR GS108Ev3 におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN27806339/

概要
NETGEAR が提供する GS108Ev3 には、クロスサイトリクエストフォージェリの
脆弱性があります。結果として、遠隔の第三者が当該製品の設定を変更する可
能性があります。

対象となるバージョンは次のとおりです。

- GS108Ev3 Firmware version 2.06.10 およびそれ以前

この問題は、開発者が提供する最新版にファームウェアをアップデートするこ
とで回避できます。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
NETGEAR
GS108Ev3 Firmware Version 2.06.14
https://kb.netgear.com/000062496/

【4】トレンドマイクロ株式会社製ウイルスバスター for Mac に複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#94694991
トレンドマイクロ株式会社製ウイルスバスター for Mac に複数の脆弱性
https://jvn.jp/vu/JVNVU94694991/

概要
トレンドマイクロ株式会社製のウイルスバスター for Mac には、複数の脆弱
性があります。結果として、当該製品にアクセス可能な第三者が、情報を窃取
するなどの可能性があります。

対象となるバージョンは次のとおりです。

- ウイルスバスター for Mac バージョン 10.0
- ウイルスバスター for Mac バージョン 9.0

この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正済みの
バージョンに更新することで解決します。なお、9.0 系バージョンへのアップ
デートは提供されていないため、トレンドマイクロ株式会社は最新の 11.0 系
のバージョンへのアップグレードを推奨しています。詳細は、トレンドマイク
ロ株式会社が提供する情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスター for Mac の脆弱性について(CVE-2020-25778)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-09958

トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスター for Mac の脆弱性について(CVE-2020-25779)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-09959

トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスター for Mac の脆弱性について(CVE-2020-27013)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-09952

トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスター for Mac の脆弱性について(CVE-2020-27014)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-09963

トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスター for Mac の脆弱性について(CVE-2020-27015)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-09962

【5】InterScan Messaging Security シリーズに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#98890246
トレンドマイクロ株式会社製 InterScan Messaging Security シリーズにおける複数の脆弱性
https://jvn.jp/vu/JVNVU98890246/

概要
トレンドマイクロ株式会社が提供する InterScan Messaging Security シリー
ズには、複数の脆弱性があります。 結果として、遠隔の第三者が、設定を変
更したり、情報を窃取したりするなどの可能性があります。

対象となるバージョンは次のとおりです。

- InterScan Messaging Security Virtual Appliance バージョン 9.1
- InterScan Messaging Security Suite Linux 版 バージョン 9.1
- InterScan Messaging Security Suite Windows 版 バージョン 7.5

この問題は、該当する製品をトレンドマイクロ株式会社が提供するパッチを適
用することで解決します。パッチが適用できない場合には、回避策を適用する
ことで脆弱性の影響を軽減することが可能です。詳細は、トレンドマイクロ株
式会社が提供する情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ:InterScan Messaging Securityシリーズにおける管理コンソールの複数の脆弱性について
https://success.trendmicro.com/jp/solution/000280981

【6】GROWI に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#56450373
GROWI における複数の脆弱性
https://jvn.jp/jp/JVN56450373/

概要
株式会社WESEEK が提供する GROWI には、複数の脆弱性があります。 結果と
して、遠隔の第三者が、情報を窃取したり、任意のコードを実行したりするな
どの可能性があります。

対象となるバージョンは次のとおりです。

- GROWI v4.1.3 およびそれ以前
- GROWI v4.0.0 およびそれ以前
- GROWI v3.8.1 およびそれ以前

この問題は、GROWI を開発者が提供する修正済みのバージョンに更新すること
で解決します。詳細は、開発者が提供する情報を参照してください。


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○NISC が「ランサムウエアによるサイバー攻撃について【注意喚起】」を公開

内閣サイバーセキュリティセンター (NISC) は 11月26日、「ランサムウエア
によるサイバー攻撃について【注意喚起】」を公開しました。様々な組織でラ
ンサムウェアによるサイバー攻撃が確認されているなか、近年のランサムウェ
アの特徴として、「2段階の脅迫」と「人手によるランサムウエア攻撃」を挙
げ、その対応策について解説しています。過去に情報処理推進機構(IPA) や
JPCERT/CC も注意喚起等を行っており、改めてこれらの攻撃への注意が必要で
す。

参考文献 (日本語)
内閣サイバーセキュリティセンター (NISC)
ランサムウエアによるサイバー攻撃について【注意喚起】
https://www.nisc.go.jp/active/infra/pdf/ransomware20201126.pdf

情報処理推進機構 (IPA)
【注意喚起】事業継続を脅かす新たなランサムウェア攻撃について
https://www.ipa.go.jp/security/announce/2020-ransom.html

JPCERT/CC
IPA が「事業継続を脅かす新たなランサムウェア攻撃」に関する注意喚起を公開
https://www.jpcert.or.jp/newsflash/2020082001.html

2020年11月26日 (木)

■11/15(日)~11/21(土) のセキュリティ関連情報

目 次

【1】複数の Cisco 製品に脆弱性
【2】Google Chrome に複数の脆弱性
【3】複数の Mozilla 製品に脆弱性
【4】複数の VMware 製品に脆弱性
【5】Drupal にリモートコード実行の脆弱性
【6】ウイルスバスター クラウドに任意のファイルが削除可能な脆弱性
【7】Movable Type Premium にクロスサイトスクリプティングの脆弱性
【8】MELSEC iQ-R シリーズにリソース枯渇の脆弱性
【9】Hibernate ORM に SQL インジェクションの脆弱性
【10】KonaWiki3 に複数の脆弱性
【11】セイコーエプソン製の複数製品のインストーラに DLL 読み込みの脆弱性
【今週のひとくちメモ】JASA が「サイバーセキュリティ対策マネジメントガイドラインVer2.0」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr204601.html
https://www.jpcert.or.jp/wr/2020/wr204601.xml
============================================================================


【1】複数の Cisco 製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Security Manager
https://us-cert.cisa.gov/ncas/current-activity/2020/11/17/cisco-releases-security-updates-security-manager

CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/11/19/cisco-releases-security-updates-multiple-products

概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。

影響度 Critical および High の脆弱性情報に記載されている製品は次のとお
りです。

- Cisco Security Manager
- Cisco Integrated Management Controller (IMC) が稼働する次の製品
- 5000 Series Enterprise Network Compute System (ENCS) Platforms
- UCS C-Series Rack Servers in standalone mode
- UCS E-Series Servers
- UCS S-Series Servers in standalone mode
- Cisco DNA Spaces Connector software
- Cisco IoT Field Network Director (FND)
- Cisco AsyncOS for the Secure Web Appliance

※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、
影響度 Medium の複数の脆弱性情報が公開されています。詳細は、Cisco が
提供する情報を参照してください。

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
Cisco Security Manager の複数の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200043.html

関連文書 (英語)
Cisco
Cisco Security Manager Path Traversal Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csm-path-trav-NgeRnqgR

Cisco
Cisco Security Manager Static Credential Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csm-rce-8gjUz9fW

Cisco
Cisco Security Manager Java Deserialization Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csm-java-rce-mWJEedcD

Cisco
Cisco Integrated Management Controller Multiple Remote Code Execution Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ucs-api-rce-UXwpeDHd

Cisco
Cisco DNA Spaces Connector Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-dna-cmd-injection-rrAYzOwc

Cisco
Cisco IoT Field Network Director Unauthenticated REST API Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-FND-BCK-GHkPNZ5F

Cisco
Cisco Secure Web Appliance Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wsa-prv-esc-nPzWZrQj

Cisco
Cisco IoT Field Network Director SOAP API Authorization Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-FND-AUTH-vEypBmmR

Cisco
Cisco IoT Field Network Director Missing API Authentication Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-FND-APIA-xZntFS2V

【2】Google Chrome に複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2020/11/19/google-releases-security-updates-chrome

概要
Google Chrome には、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 87.0.4280.66 より前のバージョン (Windows版、Linux版)
- Google Chrome 87.0.4280.67 より前のバージョン (Mac版)

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/11/stable-channel-update-for-desktop_17.html

【3】複数の Mozilla 製品に脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird
https://us-cert.cisa.gov/ncas/current-activity/2020/11/19/mozilla-releases-security-updates-firefox-firefox-esr-and

概要
複数の Mozilla 製品には、脆弱性があります。結果として、第三者が、セキュ
リティ機能をバイパスしたり、サービス運用妨害 (DoS) 攻撃を行ったりする
などの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 83 より前のバージョン
- Mozilla Firefox ESR 78.5 より前のバージョン
- Mozilla Thunderbird 78.5 より前のバージョン

この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更
新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ
い。

関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 83
https://www.mozilla.org/en-US/security/advisories/mfsa2020-50/

Mozilla
Security Vulnerabilities fixed in Firefox ESR 78.5
https://www.mozilla.org/en-US/security/advisories/mfsa2020-51/

Mozilla
Security Vulnerabilities fixed in Thunderbird 78.5
https://www.mozilla.org/en-US/security/advisories/mfsa2020-52/

【4】複数の VMware 製品に脆弱性

情報源
CISA Current Activity
VMware Releases Security Updates for VMware SD-WAN Orchestrator
https://us-cert.cisa.gov/ncas/current-activity/2020/11/19/vmware-releases-security-updates-vmware-sd-wan-orchestrator

概要
複数の VMware 製品には、脆弱性があります。結果として、第三者が、任意の
コードを実行したり、権限を昇格したりするなどの可能性があります。

対象となる製品は次のとおりです。

- VMware SD-WAN Orchestrator
- VMware ESXi
- VMware Workstation Pro / Player
- VMware Fusion Pro / Fusion
- VMware Cloud Foundation

この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新
するか、パッチを適用することで解決します。詳細は、VMware が提供する情
報を参照してください。

関連文書 (英語)
VMware Security Advisories
VMSA-2020-0025
https://www.vmware.com/security/advisories/VMSA-2020-0025.html

VMware Security Advisories
VMSA-2020-0026.1
https://www.vmware.com/security/advisories/VMSA-2020-0026.html

【5】Drupal にリモートコード実行の脆弱性

情報源
CISA Current Activity
Drupal Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/11/19/drupal-releases-security-updates

概要
Drupal には、ファイルアップロード時の不適切な処理によるリモートコード
実行の脆弱性があります。結果として、遠隔の第三者が任意のコードを実行す
る可能性があります。

対象となるバージョンは次のとおりです。

- Drupal 9.0.8 より前の 9.0 系のバージョン
- Drupal 8.9.9 より前の 8.9 系のバージョン
- Drupal 8.8.11 より前の 8.8 系のバージョン
- Drupal 7.74 より前の 7 系のバージョン

なお、Drupal 8.8 系より前の 8 系のバージョンは、サポートが終了しており、
今回のセキュリティに関する情報は提供されていません。

この問題は、Drupal を Drupal が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Drupal が提供する情報を参照してください。

関連文書 (英語)
Drupal
Drupal core - Critical - Remote code execution - SA-CORE-2020-012
https://www.drupal.org/sa-core-2020-012

【6】ウイルスバスター クラウドに任意のファイルが削除可能な脆弱性

情報源
Japan Vulnerability Notes JVNVU#96249940
トレンドマイクロ株式会社製ウイルスバスター クラウドにおける任意のファイルが削除可能な脆弱性
https://jvn.jp/vu/JVNVU96249940/

概要
ウイルスバスター クラウドには、「データ消去ツール」の処理に脆弱性があ
ります。結果として、当該製品にアクセス可能な第三者が任意のファイルやフォ
ルダを消去する可能性があります。

対象となるバージョンは次のとおりです。

- ウイルスバスター クラウド バージョン 16.0

この問題は、ウイルスバスター クラウドをトレンドマイクロ株式会社が提供
する修正済みのバージョンに更新することで解決します。詳細は、トレンドマ
イクロ株式会社が提供する情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスター クラウドの脆弱性について(CVE-2020-25775)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-09911

【7】Movable Type Premium にクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#94245475
Movable Type Premium におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN94245475/

概要
Movable Type Premium には、クロスサイトスクリプティングの脆弱性があり
ます。結果として、遠隔の第三者が、当該製品にログインした状態のユーザの
ウェブブラウザ上で、任意のスクリプトを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Movable Type Premium 1.37 およびそれ以前
- Movable Type Premium Advanced 1.37 およびそれ以前

この問題は、Movable Type Premium をシックス・アパート株式会社が提供す
る修正済みのバージョンに更新することで解決します。詳細は、シックス・ア
パート株式会社が提供する情報を参照してください。

関連文書 (日本語)
シックス・アパート株式会社
[重要] Movable Type Premium 1.38 / Movable Type Premium (Advanced Edition) 1.38 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2020/11/18-1101.html

【8】MELSEC iQ-R シリーズにリソース枯渇の脆弱性

情報源
Japan Vulnerability Notes JVNVU#95980140
三菱電機製 MELSEC iQ-R シリーズにおけるリソース枯渇の脆弱性
https://jvn.jp/vu/JVNVU95980140/

概要
MELSEC iQ-R シリーズには、リソース枯渇の脆弱性があります。結果として、
遠隔の第三者が、細工した SLMP パケットを送信することで、サービス運用妨
害 (DoS) 攻撃を行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

- R00/01/02CPU ファームウェアバージョン "19" およびそれ以前
- R04/08/16/32/120 (EN) CPU ファームウェアバージョン "51" およびそれ以前
- R08/16/32/120SFCPU ファームウェアバージョン "22" およびそれ以前
- R08/16/32/120PCPU すべてのバージョン
- R08/16/32/120PSFCPU すべてのバージョン
- RJ71EN71 ファームウェアバージョン "47" およびそれ以前
- RJ71GF11-T2 ファームウェアバージョン "47" およびそれ以前
- RJ72GF15-T2 ファームウェアバージョン "07" およびそれ以前
- RJ71GP21-SX ファームウェアバージョン "47" およびそれ以前
- RJ71GP21S-SX ファームウェアバージョン "47" およびそれ以前
- RJ71C24 (-R2/R4) すべてのバージョン
- RJ71GN11-T2 すべてのバージョン

この問題は、該当する製品を三菱電機株式会社が提供する修正済みのバージョン
に更新することで解決します。なお、対策バージョンがリリースされていない
場合や、アップデートが適用できない場合には、次の回避策を適用することで
脆弱性の影響を軽減することが可能です。

- 当該製品をインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク (VPN) などを使用する
- 当該製品を LAN 内での使用に限定し、信頼できないネットワークやホストからのアクセスを制限する

詳細は、三菱電機株式会社が提供する情報を参照してください。

関連文書 (日本語)
三菱電機株式会社
MELSEC iQ-RシリーズのEthernetポートにおけるサービス拒否(DoS)の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2020-016.pdf

【9】Hibernate ORM に SQL インジェクションの脆弱性

情報源
Japan Vulnerability Notes JVN#90729322
Hibernate ORM における SQL インジェクションの脆弱性
https://jvn.jp/jp/JVN90729322/

概要
Hibernate ORM には、SQL インジェクションの脆弱性があります。
hibernate.use_sql_comments を true に設定している場合、遠隔の第三者に
よる SQL インジェクション攻撃の影響を受ける可能性があります。

対象となるバージョンは次のとおりです。

- Hibernate ORM、5.4.24 より前のバージョン
- Hibernate ORM、5.3.20 より前のバージョン

この問題は、Hibernate ORM を Hibernate Project が提供する修正済みのバー
ジョンに更新することで解決します。なお、アップデートが適用できない場合
には、次の回避策を適用することで脆弱性の影響を軽減することが可能です。

- hibernamte.use_sql_comments を false に設定する

詳細は、Hibernate Project が提供する情報を参照してください。

関連文書 (英語)
Hibernate Project
CVE-2020-25638 Potential for SQL injection on use_sql_comments logging enabled
https://hibernate.atlassian.net/browse/HHH-14225

【10】KonaWiki3 に複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#99880454
KonaWiki3 における複数の脆弱性
https://jvn.jp/vu/JVNVU99880454/

概要
KonaWiki3 には、複数の脆弱性があります。結果として、遠隔の第三者が、ユー
ザのウェブブラウザ上で任意のスクリプトを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- KonaWiki3.1.2 より前のバージョン

この問題は、KonaWiki3 をくじらはんどが提供する修正済みのバージョンに更
新することで解決します。詳細は、くじらはんどが提供する情報を参照してだ
さい。

関連文書 (日本語)
くじらはんど
KonaWiki
https://kujirahand.com/konawiki/

【11】セイコーエプソン製の複数製品のインストーラに DLL 読み込みの脆弱性

情報源
Japan Vulnerability Notes JVN#26835001
セイコーエプソン製の複数製品のインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN26835001/

概要
セイコーエプソン製の複数製品のインストーラには、DLL 読み込みの脆弱性が
あります。結果として、第三者がインストーラを実行している権限で、任意の
コードを実行する可能性があります。

対象となる製品は複数存在します。詳細は、開発者が提供する情報をご確認く
ださい。

この問題は、開発者が提供する最新のインストーラでは、解決しています。な
お、既に該当製品をインストールしている場合には、この問題の影響はありま
せん。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
セイコーエプソン株式会社
エプソン製ソフトウェアのDLL読み込みに関する脆弱性について
https://www.epson.jp/support/misc_t/201119_oshirase.htm


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JASA が「サイバーセキュリティ対策マネジメントガイドラインVer2.0」を公開

2020年11月17日、日本セキュリティ監査協会 (JASA) は、「サイバーセキュリ
ティ対策マネジメントガイドラインVer2.0」を公開しました。本書は、標準規
格である JIS Q 27001:2014 に基づき、情報セキュリティマネジメントシステ
ム (ISMS) を実装している組織に対して、ISMSを活用したサイバーセキュリティ
対策を実施するための要求事項や管理策をまとめたものです。Ver2.0 は、2018年
に発行されたガイドラインの改訂版となります。初版発行から 2年が経過して
おり、サイバーセキュリティに関する状況の変化や、対策技術の広がりに応じ
て、セキュリティの管理基準を見直したものとなっています。

参考文献 (日本語)
日本セキュリティ監査協会 (JASA)
サイバーセキュリティ対策マネジメントガイドラインVer2.0
https://www.jasa.jp/wp-content/uploads/サイバーセキュリティ対策マネジメントガイドライン-Ver2.0.pdf

2020年11月18日 (水)

■11/08(日)~11/14(土) のセキュリティ関連情報

目 次

【1】複数の Microsoft 製品に脆弱性
【2】Google Chrome に複数の脆弱性
【3】複数の Apple 製品に脆弱性
【4】複数の Mozilla 製品に脆弱性
【5】複数の Intel 製品に脆弱性
【6】複数の Adobe 製品に脆弱性
【7】Cisco IOS XR に脆弱性
【8】複数の SAP 製品に脆弱性
【9】Replay Protected Memory Block (RPMB) プロトコルにリプレイ攻撃対策が不十分な問題
【今週のひとくちメモ】攻撃グループBlackTechが使用するLinux版マルウェア(ELF_PLEAD)について

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr204501.html
https://www.jpcert.or.jp/wr/2020/wr204501.xml
============================================================================


【1】複数の Microsoft 製品に脆弱性

情報源
CISA Current Activity
Microsoft Releases November 2020 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/11/10/microsoft-releases-november-2020-security-updates

概要
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Microsoft Windows
- Microsoft Office、Microsoft Office Services および Web Apps
- Internet Explorer
- Microsoft Edge (EdgeHTML ベース)
- Microsoft Edge (Chromium ベース)
- ChakraCore
- Microsoft Exchange Server
- Microsoft Dynamics
- Microsoft Windows Codecs Library
- Azure Sphere
- Windows Defender
- Microsoft Teams
- Azure SDK
- Azure DevOps
- Visual Studio

この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
とで解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)
マイクロソフト株式会社
2020 年 11 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/ja-jp/releaseNote/2020-Nov

JPCERT/CC 注意喚起
2020年11月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200042.html

【2】Google Chrome に複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2020/11/12/google-releases-security-updates-chrome

概要
Google Chrome には、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 86.0.4240.198 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/11/stable-channel-update-for-desktop_11.html

MS-ISAC
Multiple Vulnerabilities in Google Chrome Could Allow for Arbitrary Code Execution
https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-google-chrome-could-allow-for-arbitrary-code-execution_2020-154/

【3】複数の Apple 製品に脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/11/13/apple-releases-security-updates-multiple-products

Japan Vulnerability Notes JVNVU#99462952
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU99462952/

概要
複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- macOS Big Sur 11.0.1 より前のバージョン
- Safari 14.0.1 より前のバージョン
- macOS High Sierra (Security Update 2020-006 未適用)
- macOS Mojave (Security Update 2020-006 未適用)

この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新
することで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (日本語)
Apple
Apple セキュリティアップデート
https://support.apple.com/ja-jp/HT201222

【4】複数の Mozilla 製品に脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird
https://us-cert.cisa.gov/ncas/current-activity/2020/11/10/mozilla-releases-security-updates-firefox-firefox-esr-and

概要
複数の Mozilla 製品には、脆弱性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 82.0.3 より前のバージョン
- Mozilla Firefox ESR 78.4.1 より前のバージョン
- Mozilla Thunderbird 78.4.2 より前のバージョン

この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更
新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ
い。

関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 82.0.3, Firefox ESR 78.4.1, and Thunderbird 78.4.2
https://www.mozilla.org/en-US/security/advisories/mfsa2020-49/

【5】複数の Intel 製品に脆弱性

情報源
Japan Vulnerability Notes JVNVU#98002571
Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU98002571/

JPCERT/CC CyberNewsFlash
Intel 製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2020111102.html

概要
Intel から複数の製品に含まれる脆弱性に対応した Intel Product Security
Center Advisories が公開されました。

詳細は、Intel が提供する情報を参照してください。

関連文書 (英語)
Intel
Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html

【6】複数の Adobe 製品に脆弱性

情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/11/10/adobe-releases-security-updates-multiple-products

概要
複数の Adobe 製品には、脆弱性があります。結果として、第三者が当該製品
を使用しているユーザーのブラウザ上で、任意のスクリプトを実行するなどの
可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Adobe Connect 11.0 およびそれ以前
- Adobe Reader Mobile (Android版) 20.6 およびそれ以前

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2020111101.html

Adobe
Adobe Connect に関するセキュリティアップデート | APSB20-69
https://helpx.adobe.com/jp/security/products/connect/apsb20-69.html

Adobe
Adobe Reader Mobile に関するセキュリティアップデート公開 | APSB20-71
https://helpx.adobe.com/jp/security/products/reader-mobile/apsb20-71.html

【7】Cisco IOS XR に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Update for IOS XR Software
https://us-cert.cisa.gov/ncas/current-activity/2020/11/10/cisco-releases-security-update-ios-xr-software

概要
Cisco IOS XR には、脆弱性があります。結果として、遠隔の第三者がサービ
ス運用妨害 (DoS) 攻撃を行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Cisco IOS XR Software 7.1.2 より前のバージョンを利用する Cisco ASR 9000 シリーズ アグリゲーション サービス ルータ
- Cisco IOS XR Software 6.7.2 より前のバージョンを利用する Cisco ASR 9000 シリーズ アグリゲーション サービス ルータ

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco IOS XR Software for Cisco ASR 9000 Series Aggregation Services Routers Slow Path Forwarding Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-xr-cp-dos-ej8VB9QY

【8】複数の SAP 製品に脆弱性

情報源
CISA Current Activity
SAP Releases November 2020 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/11/10/sap-releases-november-2020-security-updates

概要
複数の SAP 製品には、脆弱性があります。結果として、遠隔の第三者が当該
製品を制御するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細は SAP が提供するアドバイザリ
情報を参照してください。

この問題は、該当する製品を SAP が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、SAP が提供する情報を参照してください。

関連文書 (英語)
SAP
SAP Security Patch Day - November 2020
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=562725571

【9】Replay Protected Memory Block (RPMB) プロトコルにリプレイ攻撃対策が不十分な問題

情報源
CERT/CC Vulnerability Note VU#231329
Replay Protected Memory Block (RPMB) protocol does not adequately defend against replay attacks
https://kb.cert.org/vuls/id/231329

概要
Replay Protected Memory Block (RPMB) プロトコルは主にフラッシュメモリ
型ストレージに使われる、読出し/書込み要求コマンドのリプレイ攻撃を防ぐ
ことを目的としたプロトコルです。RPMB プロトコルを利用するシステムには、
リプレイ攻撃に対する脆弱性があります。

使用している各製品のベンダの情報を確認し、対応を行ってください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#97690270
Replay Protected Memory Block (RPMB) プロトコルにリプレイ攻撃対策が不十分な問題
https://jvn.jp/vu/JVNVU97690270/


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○攻撃グループBlackTechが使用するLinux版マルウェア(ELF_PLEAD)について

2020年11月6日、JPCERT/CC は、攻撃グループ BlackTech が使用する Linux
版マルウェア(ELF_PLEAD)に関するブログを公開しました。

Windows OS 向けマルウェア PLEAD ダウンローダがダウンロードする PLEAD
モジュールの Linux 版マルウェア(ELF_PLEAD)が確認されています。本記事
では、Windows 版マルウェア「PLEADモジュール」と Linux 版マルウェア
「ELF_PLEAD」を比較しながら、ELF_PLEAD の特徴を紹介しています。

参考文献 (日本語)
JPCERT/CC Eyes
攻撃グループBlackTechが使用するLinux版マルウェア(ELF_PLEAD)
https://blogs.jpcert.or.jp/ja/2020/11/elf_plead.html

2020年11月11日 (水)

■11/01(日)~11/07(土) のセキュリティ関連情報

目 次

【1】Google Chrome に複数の脆弱性
【2】複数の Apple 製品に脆弱性
【3】Adobe Acrobat および Reader に複数の脆弱性
【4】複数の Cisco 製品に脆弱性
【5】サイボウズ Garoon に不適切な入力確認の脆弱性
【6】三菱電機製 GOT1000 シリーズ GT14 モデルに複数の脆弱性
【7】XOOPS 用モジュール XooNIps に複数の脆弱性
【8】スマートフォンアプリ「Studyplus(スタディプラス)」 に外部サービスの API キーがハードコードされている問題
【今週のひとくちメモ】JPCERT/CC がイベントログ分析支援ツール「LogonTracer v1.5.0」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr204401.html
https://www.jpcert.or.jp/wr/2020/wr204401.xml
============================================================================


【1】Google Chrome に複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome, CVE-2020-16009
https://us-cert.cisa.gov/ncas/current-activity/2020/11/03/google-releases-security-updates-chrome-cve-2020-16009

概要
Google Chrome には、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 86.0.4240.183 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/11/stable-channel-update-for-desktop.html

【2】複数の Apple 製品に脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/11/06/apple-releases-security-updates-multiple-products

Japan Vulnerability Notes JVNVU#99462952
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU99462952/

概要
複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。

対象となる製品は、多岐に渡ります。詳細は Apple が提供するアドバイザリ
情報を参照してください。

この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新
することで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (日本語)
Apple
Apple セキュリティアップデート
https://support.apple.com/ja-jp/HT201222

【3】Adobe Acrobat および Reader に複数の脆弱性

情報源
CISA Current Activity
Adobe Releases Security Updates for Acrobat and Reader
https://us-cert.cisa.gov/ncas/current-activity/2020/11/04/adobe-releases-security-updates-acrobat-and-reader

概要
Adobe Acrobat および Reader には、複数の脆弱性があります。第三者が任意
コードの実行をするなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Adobe Acrobat DC Continuous (2020.012.20048) およびそれ以前 (Windows, macOS)
- Adobe Acrobat Reader DC Continuous (2020.012.20048) およびそれ以前 (Windows, macOS)
- Adobe Acrobat 2020 Classic 2020 (2020.001.30005) およびそれ以前 (Windows, macOS)
- Adobe Acrobat Reader 2020 Classic 2020 (2020.001.30005) およびそれ以前 (Windows, macOS)
- Adobe Acrobat 2017 Classic 2017 (2017.011.30175) およびそれ以前 (Windows, macOS)
- Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30175) およびそれ以前 (Windows, macOS)

この問題は、Adobe Acrobat および Reader を Adobe が提供する修正済みの
バージョンに更新することで解決します。詳細は、Adobe が提供する情報を
参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
Adobe Acrobat および Reader の脆弱性 (APSB20-67) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200041.html

Adobe
Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB20-67
https://helpx.adobe.com/jp/security/products/acrobat/apsb20-67.html

【4】複数の Cisco 製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/11/05/cisco-releases-security-updates-multiple-products

概要
複数の Cisco 製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は、多岐に渡ります。詳細は Cisco が提供するアドバイザリ
情報を参照してください。

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【5】サイボウズ Garoon に不適切な入力確認の脆弱性

情報源
Japan Vulnerability Notes JVN#57942454
サイボウズ Garoon における不適切な入力確認の脆弱性
https://jvn.jp/jp/JVN57942454/

概要
サイボウズ株式会社が提供するサイボウズ Garoon には、不適切な入力確認の
脆弱性があります。結果として、当該製品にログイン可能なユーザが掲示板に
関するデータの一部を削除するなどの可能性があります。

対象となるバージョンは次のとおりです。

- サイボウズ Garoon 5.0.0 から 5.0.2 まで

この問題は、サイボウズ Garoon をバージョン 5.0.2 に更新後、サイボウズが
提供するパッチを適用することで解決します。詳細は、サイボウズが提供する
情報を参照してください。

関連文書 (日本語)
サイボウズ株式会社
「 Garoon 5.0.2 向け パッチプログラム 」 リリースのお知らせ
https://cs.cybozu.co.jp/2020/007275.html

【6】三菱電機製 GOT1000 シリーズ GT14 モデルに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#99562395
三菱電機製 GOT1000 シリーズ GT14 モデルにおける複数の脆弱性
https://jvn.jp/vu/JVNVU99562395/

概要
三菱電機株式会社が提供する GOT1000 シリーズ GT14 モデルの TCP/IP スタッ
クには、複数の脆弱性があります。結果として、第三者が細工したパケットを
送信することで、当該製品のネットワーク機能を停止したり、悪意あるプログ
ラムを実行したりする可能性があります。

対象となる製品およびバージョンは次のとおりです。

下記製品の CoreOS バージョン 05.65.00.BD およびそれ以前
- GT1455-QTBDE
- GT1450-QMBDE
- GT1450-QLBDE
- GT1455HS-QTBDE
- GT1450HS-QMBDE

この問題は、CoreOS を三菱電機株式会社が提供する修正済みのバージョンに
更新することで解決します。詳細は、三菱電機株式会社が提供する情報を参照
してください。

関連文書 (日本語)
三菱電機株式会社
GOT1000シリーズGT14モデルのTCP/IPスタックにおける複数の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2020-014.pdf

【7】XOOPS 用モジュール XooNIps に複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#92053563
XOOPS 用モジュール XooNIps における複数の脆弱性
https://jvn.jp/vu/JVNVU92053563/

概要
理化学研究所 脳神経科学研究センター 統合計算脳科学連携部門 神経情報基
盤開発ユニットが提供する XOOPS 用モジュール XooNIps には、複数の脆弱性
があります。結果として、当該製品にログイン済みのユーザが、信頼できない
データをデシリアライズし、任意のコードを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- XooNIps 3.49 およびそれ以前

この問題は、XooNIps を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
理化学研究所 脳神経科学研究センター 統合計算脳科学連携部門 神経情報基盤開発ユニット
XooNIps 3.50 リリースのお知らせ
https://xoonips.osdn.jp/modules/news/index.php?page=article&storyid=13

【8】スマートフォンアプリ「Studyplus(スタディプラス)」 に外部サービスの API キーがハードコードされている問題

情報源
Japan Vulnerability Notes JVN#00414047
スマートフォンアプリ「Studyplus(スタディプラス)」に外部サービスの API キーがハードコードされている問題
https://jvn.jp/jp/JVN00414047/

概要
スタディプラス株式会社が提供するスマートフォンアプリ「Studyplus(スタディ
プラス)」には、外部サービスの API キーがハードコードされている問題があ
ります。結果として、第三者がアプリ内のデータを解析し、外部サービスと連
携するための API キーを不正に窃取する可能性があります。

対象となるバージョンは次のとおりです。

- Android アプリ「Studyplus(スタディプラス)」 v6.3.7 およびそれ以前
- iOS アプリ「Studyplus(スタディプラス)」 v8.29.0 およびそれ以前

この問題は、開発者によって修正されており、開発者は最新のバージョンに更
新することを推奨しています。詳細は、開発者が提供する情報を参照してくだ
さい。


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CC がイベントログ分析支援ツール「LogonTracer v1.5.0」を公開

2020年10月29日、JPCERT/CC は、イベントログの分析をサポートするツール
「LogonTracer」の最新版バージョン 1.5 をリリースしました。今回のアップ
デートでは、Elasticsearch との連携によるリアルタイムイベントログ分析機
能を追加しました。

参考文献 (日本語)
JPCERT/CC Eyes
LogonTracer v1.5 リリース
https://blogs.jpcert.or.jp/ja/2020/10/logontracer-1_5.html

2020年11月 5日 (木)

■10/25(日)~10/31(土) のセキュリティ関連情報

目 次

【1】Macrium Software 製 Macrium Reflect に権限昇格の脆弱性
【2】三菱電機製 MELSEC iQ-R、Q および L シリーズにおける複数の脆弱性
【3】Microsoft Edge に複数の脆弱性
【4】QNAP QTS に複数の脆弱性
【5】Samba に複数の脆弱性
【6】WordPress に複数の脆弱性
【7】Wireshark にサービス運用妨害 (DoS) の脆弱性
【今週のひとくちメモ】IPA が「サイバー情報共有イニシアティブ(J-CSIP)運用状況[2020年7月~9月]」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr204301.html
https://www.jpcert.or.jp/wr/2020/wr204301.xml
============================================================================


【1】Macrium Software 製 Macrium Reflect に権限昇格の脆弱性

情報源
CERT/CC Vulnerability Note VU#760767
Macrium Reflect is vulnerable to privilege escalation due to OPENSSLDIR location
https://kb.cert.org/vuls/id/760767

概要
Macrium Software が提供するバックアップソフトウェア Macrium Reflect に
は、権限昇格の脆弱性があります。結果として、第三者が SYSTEM 権限で任意
のコードを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Macrium Reflect v7.3.5281 より前のバージョン

この問題は、該当する製品を Macrium Software が提供する修正済みのバージョン
に更新することで解決します。詳細は Macrium Software が提供する情報を参
照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#90376567
Macrium Software 製 Macrium Reflect に権限昇格の脆弱性
https://jvn.jp/vu/JVNVU90376567/

関連文書 (英語)
Macrium Software
Macrium Reflect v7.3.5281
https://updates.macrium.com/reflect/v7/v7.3.5281/details7.3.5281.htm

【2】三菱電機製 MELSEC iQ-R、Q および L シリーズにおける複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#92513419
三菱電機製 MELSEC iQ-R シリーズにおける複数の脆弱性
https://jvn.jp/vu/JVNVU92513419/

Japan Vulnerability Notes JVNVU#96558207
三菱電機製 MELSEC iQ-R、Q および L シリーズにおけるリソース枯渇の脆弱性
https://jvn.jp/vu/JVNVU96558207/

概要
三菱電機製 MELSEC iQ-R、Q および L シリーズには、複数の脆弱性がありま
す。結果として、遠隔の第三者が、不正な操作をしたり、サービス運用妨害 (D
oS) 攻撃をしたりするなどの可能性があります。

対象となる製品は、多岐に渡ります。詳細は三菱電機株式会社が提供するアド
バイザリ情報を参照してください。

三菱電機株式会社はこの問題に対する回避策に関する情報を提供しています。
詳細は、三菱電機株式会社が提供する情報を参照してください。

関連文書 (日本語)
三菱電機株式会社
MELSEC iQ-Rシリーズの各種情報/ネットワークユニットの TCP/IP機能における複数の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2020-012.pdf

三菱電機株式会社
MELSEC iQ-R、QおよびLシリーズCPUユニットの Ethernetポートにおけるサービス拒否(DoS)の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2020-013.pdf

【3】Microsoft Edge に複数の脆弱性

情報源
CISA Current Activity
Microsoft Releases Security Update for Edge
https://us-cert.cisa.gov/ncas/current-activity/2020/10/26/microsoft-releases-security-update-edge

概要
Microsoft Edge には、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Microsoft Edge (Chromium ベース) 86.0.622.51 より前のバージョン

この問題は、Microsoft Edge を Microsoft が提供する修正済みのバージョン
に更新することで解決します。詳細は、Microsoft が提供する情報を参照して
ください。

関連文書 (日本語)
マイクロソフト株式会社
Microsoft Edge セキュリティ更新プログラムのリリースノート(2020年10月22日)
https://docs.microsoft.com/ja-jp/DeployEdge/microsoft-edge-relnotes-security#october-22-2020

【4】QNAP QTS に複数の脆弱性

情報源
QNAP
Multiple Vulnerabilities in QTS
https://www.qnap.com/en/security-advisory/qsa-20-09

概要
QNAP QTS には、複数の脆弱性があります。結果として、遠隔の第三者が任意
のコマンドを実行する可能性があります。

対象となるバージョンは次のとおりです。

- QTS 4.4.3.1421 build 20200907 より前のバージョン

この問題は、QTS を QNAP Systems が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、QNAP Systems が提供する情報を参照してくだ
さい。

【5】Samba に複数の脆弱性

情報源
The Samba Team
Missing handle permissions check in SMB1/2/3 ChangeNotify.
https://www.samba.org/samba/security/CVE-2020-14318.html

The Samba Team
Unprivileged user can crash winbind
https://www.samba.org/samba/security/CVE-2020-14323.html

The Samba Team
An authenticated user can crash the DCE/RPC DNS with easily crafted records
https://www.samba.org/samba/security/CVE-2020-14383.html

概要
Samba には、複数の脆弱性があります。結果として、遠隔の第三者がサービス
運用妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- Samba 4.13.1 より前のバージョン
- Samba 4.12.9 より前のバージョン
- Samba 4.11.15 より前のバージョン

この問題は、Samba を The Samba Team が提供する修正済みのバージョンに更
新することで解決します。詳細は、The Samba Team が提供する情報を参照し
てください。

関連文書 (英語)
The Samba Team
Samba 4.13.1 Available for Download
https://www.samba.org/samba/history/samba-4.13.1.html

The Samba Team
Samba 4.12.9 Available for Download
https://www.samba.org/samba/history/samba-4.12.9.html

The Samba Team
Samba 4.11.15 Available for Download
https://www.samba.org/samba/history/samba-4.11.15.html

【6】WordPress に複数の脆弱性

情報源
WordPress
WordPress 5.5.2 Security and Maintenance Release
https://wordpress.org/news/2020/10/wordpress-5-5-2-security-and-maintenance-release/

概要
WordPress には、複数の脆弱性があります。結果として、遠隔の第三者がユー
ザのブラウザ上で任意のスクリプトを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- WordPress 5.5.2 より前のバージョン

この問題は、WordPress を WordPress が提供する修正済みのバージョンに更
新することで解決します。詳細は、WordPress が提供する情報を参照してくだ
さい。

関連文書 (日本語)
WordPress
WordPress 5.5.2 セキュリティとメンテナンスのリリース
https://ja.wordpress.org/2020/10/30/wordpress-5-5-2-security-and-maintenance-release/

【7】Wireshark にサービス運用妨害 (DoS) の脆弱性

情報源
Wireshark Foundation
Wireshark 3.4.0 and 3.2.8 Released
https://www.wireshark.org/news/20201029.html

概要
Wireshark には、サービス運用妨害 (DoS) 攻撃が可能な脆弱性があります。

対象となるバージョンは次のとおりです。

- Wireshark 3.2.8 より前のバージョン

この問題は、Wireshark を Wireshark Foundation が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、Wireshark Foundation が提供
する情報を参照してください。

関連文書 (英語)
Wireshark Foundation
Wireshark 3.4.0 Release Notes
https://www.wireshark.org/docs/relnotes/wireshark-3.4.0.html

Wireshark Foundation
Wireshark 3.2.8 Release Notes
https://www.wireshark.org/docs/relnotes/wireshark-3.2.8.html


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○IPA が「サイバー情報共有イニシアティブ(J-CSIP)運用状況[2020年7月~9月]」を公開

2020年10月29日、情報処理推進機構 (IPA) は、国内重要産業におけるサイバ
ー攻撃の情報共有の枠組みである「サイバー情報共有イニシアティブ」 (J-CS
IP) のレポートを公開しました。本レポートでは、2020年9月末時点の運用体
制、2020年7月~9月の運用状況に加え、把握分析した攻撃事例や動向等につい
て解説しています。

参考文献 (日本語)
情報処理推進機構 (IPA)
サイバー情報共有イニシアティブ(J-CSIP)運用状況[2020年7月~9月]
https://www.ipa.go.jp/files/000086549.pdf

2020年10月28日 (水)

■10/18(日)~10/24(土) のセキュリティ関連情報

目 次

【1】2020年 10月 Oracle Critical Patch Update について
【2】複数の Adobe 製品に脆弱性
【3】Google Chrome に複数の脆弱性
【4】複数の VMware 製品に脆弱性
【5】複数の Mozilla 製品に脆弱性
【6】複数の Cisco 製品に脆弱性
【7】WordPress 用プラグイン Simple Download Monitor に複数の脆弱性
【8】Chocolatey Boxstarter に ACL 設定不備による脆弱性
【9】OneThird CMS にローカルファイルインクルージョンの脆弱性
【今週のひとくちメモ】IPA が「情報セキュリティ安心相談窓口の相談状況[ 2020年第3四半期 (7月~9月) ]」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr204201.html
https://www.jpcert.or.jp/wr/2020/wr204201.xml
============================================================================


【1】2020年 10月 Oracle Critical Patch Update について

情報源
CISA Current Activity
Oracle Releases October 2020 Security Bulletin
https://us-cert.cisa.gov/ncas/current-activity/2020/10/20/oracle-releases-october-2020-security-bulletin-0

概要
Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した
Oracle Critical Patch Update Advisory が公開されました。

詳細は、Oracle が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
2020年10月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200040.html

関連文書 (英語)
Oracle
Oracle Critical Patch Update Advisory - October 2020
https://www.oracle.com/security-alerts/cpuoct2020.html

【2】複数の Adobe 製品に脆弱性

情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/10/21/adobe-releases-security-updates-multiple-products

概要
複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe Illustrator
- Adobe Dreamweaver
- Marketo
- Adobe Animate
- Adobe After Effects
- Adobe Photoshop
- Adobe Premiere Pro
- Adobe Media Encoder
- Adobe InDesign
- Adobe Creative Cloud Desktop Application

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2020102101.html

Adobe
Adobe Illustrator に関するセキュリティアップデート公開 | APSB20-53
https://helpx.adobe.com/jp/security/products/illustrator/apsb20-53.html

Adobe
Adobe Dreamweaver に関するセキュリティアップデート公開 | APSB20-55
https://helpx.adobe.com/jp/security/products/dreamweaver/apsb20-55.html

Adobe
Marketo に関するセキュリティアップデート公開 | APSB20-60
https://helpx.adobe.com/jp/security/products/marketo/apsb20-60.html

Adobe
Adobe Animate に関するセキュリティアップデート公開 | APSB20-61
https://helpx.adobe.com/jp/security/products/animate/apsb20-61.html

Adobe
Adobe After Effects に関するセキュリティアップデート公開 | APSB20-62
https://helpx.adobe.com/jp/security/products/after_effects/apsb20-62.html

Adobe
Adobe Photoshop に関するセキュリティアップデート公開 | APSB20-63
https://helpx.adobe.com/jp/security/products/photoshop/apsb20-63.html

Adobe
Adobe Premiere Pro に関するセキュリティアップデート公開 | APSB20-64
https://helpx.adobe.com/jp/security/products/premiere_pro/apsb20-64.html

Adobe
Adobe Media Encoder に関するセキュリティアップデート公開 | APSB20-65
https://helpx.adobe.com/jp/security/products/media-encoder/apsb20-65.html

Adobe
Adobe InDesign に関するセキュリティアップデート公開 | APSB20-66
https://helpx.adobe.com/jp/security/products/indesign/apsb20-66.html

Adobe
Adobe Creative Cloud デスクトップアプリケーションに関するセキュリティアップデート公開 | APSB20-68
https://helpx.adobe.com/jp/security/products/creative-cloud/apsb20-68.html

【3】Google Chrome に複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2020/10/21/google-releases-security-updates-chrome

概要
Google Chrome には、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 86.0.4240.111 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。


関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/10/stable-channel-update-for-desktop_20.html

【4】複数の VMware 製品に脆弱性

情報源
CISA Current Activity
VMware Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/10/20/vmware-releases-security-updates-multiple-products

概要
複数の VMware 製品には、脆弱性があります。結果として、遠隔の第三者が、
製品内の情報を窃取したり、任意のコードを実行したりするなどの可能性があ
ります。

対象となる製品は次のとおりです。

- VMware ESXi
- VMware Workstation Pro / Player (Workstation)
- VMware Fusion Pro / Fusion (Fusion)
- NSX-T
- VMware Cloud Foundation
- VMware Horizon Server
- VMware Horizon Client for Windows

この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新
するか、パッチを適用することで解決します。詳細は、VMware が提供する情
報を参照してください。

関連文書 (英語)
VMware Security Advisories
VMSA-2020-0023
https://www.vmware.com/security/advisories/VMSA-2020-0023.html

VMware Security Advisories
VMSA-0020-0024
https://www.vmware.com/security/advisories/VMSA-2020-0024.html

【5】複数の Mozilla 製品に脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird
https://us-cert.cisa.gov/ncas/current-activity/2020/10/21/mozilla-releases-security-updates-firefox-firefox-esr-and

概要
複数の Mozilla 製品には、脆弱性があります。結果として、第三者が任意の
コードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 82 より前のバージョン
- Mozilla Firefox ESR 78.4 より前のバージョン
- Mozilla Thunderbird 78.4 より前のバージョン

この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更
新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ
い。

関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 82
https://www.mozilla.org/en-US/security/advisories/mfsa2020-45/

Mozilla
Security Vulnerabilities fixed in Firefox ESR 78.4
https://www.mozilla.org/en-US/security/advisories/mfsa2020-46/

Mozilla
Security Vulnerabilities fixed in Thunderbird 78.4
https://www.mozilla.org/en-US/security/advisories/mfsa2020-47/

【6】複数の Cisco 製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/10/22/cisco-releases-security-updates-multiple-products

概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が
サービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となる製品は、多岐に渡ります。詳細は Cisco が提供するアドバイザリ
情報を参照してください。

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【7】WordPress 用プラグイン Simple Download Monitor に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#31425618
WordPress 用プラグイン Simple Download Monitor における複数の脆弱性
https://jvn.jp/jp/JVN31425618/

概要
WordPress 用プラグイン Simple Download Monitor には、複数の脆弱性があ
ります。結果として、遠隔の第三者が当該製品の管理画面にログインしている
ユーザのブラウザ上で任意のスクリプトを実行したり、細工した URL にアク
セスさせることで、任意の SQL コマンドを実行したりする可能性があります。

対象となるバージョンは次のとおりです。

- Simple Download Monitor バージョン 3.8.9 より前のバージョン

この問題は、Simple Download Monitor を開発者が提供する修正済みのバージ
ョンに更新することで解決します。詳細は、開発者が提供する情報を参照して
ださい。

関連文書 (英語)
WordPress
Simple Download Monitor
https://wordpress.org/plugins/simple-download-monitor/

【8】Chocolatey Boxstarter に ACL 設定不備による脆弱性

情報源
CERT/CC Current Activity
Chocolatey Boxstarter vulnerable to privilege escalation due to weak ACLs
https://kb.cert.org/vuls/id/208577

概要
Chocolatey が提供する Boxstarter には、ACL 設定不備による脆弱性があり
ます。結果として、第三者が管理者権限で任意のコードを実行する可能性があ
ります。

対象となるバージョンは次のとおりです。

- Chocolatey Boxstarter 2.13.0 より前のバージョン

この問題は、Chocolatey Boxstarter を修正済みのバージョンに更新すること
で解決します。詳細は Chocolatey が提供する情報を参照してください。


関連文書 (日本語)
Japan Vulnerability Notes JVNVU#90267651
Chocolatey Boxstarter に DLL 読み込みに関する脆弱性
https://jvn.jp/vu/JVNVU90267651/

【9】OneThird CMS にローカルファイルインクルージョンの脆弱性

情報源
Japan Vulnerability Notes JVNVU#99467898
OneThird CMS におけるローカルファイルインクルージョンの脆弱性
https://jvn.jp/vu/JVNVU99467898/

概要
SpiQeソフトウェアが提供する OneThird CMS には、ローカルファイルインク
ルージョンの脆弱性があります。結果として、遠隔の第三者が、機微な情報を
取得したり、任意のコードを実行したりする可能性があります。

対象となるバージョンは次のとおりです。

- OneThird CMS v1.96d より前のバージョン

この問題は、OneThird CMS を修正済みのバージョンに更新することで解決し
ます。詳細は SpiQeソフトウェアが提供する情報を参照してください。


関連文書 (日本語)
SpiQeソフトウェア
緊急リリース (v1.96d)について
https://onethird.net/p1340.html


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○IPA が「情報セキュリティ安心相談窓口の相談状況[ 2020年第3四半期 (7月~9月) ]」を公開

2020年10月21日、情報処理推進機構 (IPA) は「情報セキュリティ安心相談窓
口の相談状況[ 2020年第3四半期 (7月~9月) ]」を公開しました。
Emotet 関連の相談が 7月以降増えており、特に 9月に入ってから急増してい
るようです。多数の国内企業・組織で被害が発生している可能性があるため、
改めて対策状況の確認を行うことを推奨します。

参考文献 (日本語)
情報処理推進機構 (IPA)
情報セキュリティ安心相談窓口の相談状況[2020年第3四半期(7月~9月)]
https://www.ipa.go.jp/security/txt/2020/q3outline.html

2020年10月21日 (水)

■10/11(日)~10/17(土) のセキュリティ関連情報

目 次

【1】複数の Microsoft 製品に脆弱性
【2】複数の Adobe 製品に脆弱性
【3】Apache Tomcat に HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性
【4】Acronis 製バックアップソフトウェアに複数の脆弱性
【5】複数の Juniper 製品に脆弱性
【6】Intel 製 BlueZ に複数の脆弱性
【7】複数の SAP 製品に脆弱性
【8】WordPress 用プラグイン Live Chat - Live support にクロスサイトリクエストフォージェリの脆弱性
【9】Internet Week 2020 開催のお知らせ
【今週のひとくちメモ】総務省が「特別定額給付金の給付を騙ったメールに対する注意喚起」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr204101.html
https://www.jpcert.or.jp/wr/2020/wr204101.xml
============================================================================


【1】複数の Microsoft 製品に脆弱性

情報源
CISA Current Activity
Microsoft Releases October 2020 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/10/13/microsoft-releases-october-2020-security-updates

CISA Current Activity
Microsoft Addresses Windows TCP/IP RCE/DoS Vulnerability
https://us-cert.cisa.gov/ncas/current-activity/2020/10/14/microsoft-addresses-windows-tcpip-rcedos-vulnerability

CISA Current Activity
Microsoft Releases Security Updates to Address Remote Code Execution Vulnerabilities
https://us-cert.cisa.gov/ncas/current-activity/2020/10/16/microsoft-releases-security-updates-address-remote-code-execution

概要
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Microsoft Windows
- Microsoft Office、Microsoft Office Services および Web Apps
- Microsoft Jet データベース エンジン
- Azure Functions
- オープン ソース ソフトウェア
- Microsoft Exchange Server
- Visual Studio
- PowerShellGet
- Microsoft .NET Framework
- Microsoft Dynamics
- Adobe Flash Player
- Microsoft Windows Codecs Library
- Visual Studio Code

この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
とで解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)
マイクロソフト株式会社
2020 年 10 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/2020-Oct

マイクロソフト株式会社
CVE-2020-17022 | Microsoft Windows Codecs Library のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-17022

マイクロソフト株式会社
CVE-2020-17023 | Visual Studio JSON のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-17023

JPCERT/CC 注意喚起
2020年10月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200038.html

【2】複数の Adobe 製品に脆弱性

情報源
CISA Current Activity
Adobe Releases Security Updates for Flash Player
https://us-cert.cisa.gov/ncas/current-activity/2020/10/14/adobe-releases-security-updates-flash-player

CISA Current Activity
Adobe Releases Security Updates for Magento
https://us-cert.cisa.gov/ncas/current-activity/2020/10/16/adobe-releases-security-updates-magento

概要
複数の Adobe 製品には脆弱性があります。結果として、遠隔の第三者が、任
意のコードを実行したり、機密情報を窃取したりするなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Adobe Flash Player Desktop Runtime (32.0.0.433) およびそれ以前のバージョン (Windows, macOS および Linux)
- Adobe Flash Player for Google Chrome (32.0.0.433) およびそれ以前のバージョン (Windows, macOS, Linux および Chrome OS)
- Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (32.0.0.387) およびそれ以前のバージョン (Windows 10 および Windows 8.1)
- Magento Commerce 2.3.5-p1 およびそれ以前のバージョン
- Magento Commerce 2.3.5-p2 およびそれ以前のバージョン
- Magento Commerce 2.4.0 およびそれ以前のバージョン
- Magento Open Source 2.3.5-p1 およびそれ以前のバージョン
- Magento Open Source 2.3.5-p2 およびそれ以前のバージョン
- Magento Open Source 2.4.0 およびそれ以前のバージョン

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
Adobe Flash Player の脆弱性 (APSB20-58) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200039.html

JPCERT/CC CyberNewsFlash
Magento に関するアップデート (APSB20-59) について
https://www.jpcert.or.jp/newsflash/2020101601.html

関連文書 (英語)
Adobe
Security updates available for Adobe Flash Player | APSB20-58
https://helpx.adobe.com/security/products/flash-player/apsb20-58.html

Adobe
Security Updates Available for Magento | APSB20-59
https://helpx.adobe.com/security/products/magento/apsb20-59.html

Magento
Magento Commerce 2.4.1 Release Notes
https://devdocs.magento.com/guides/v2.4/release-notes/commerce-2-4-1.html

Magento
Magento Commerce 2.3.6 Release Notes
https://devdocs.magento.com/guides/v2.3/release-notes/commerce-2-3-6.html

【3】Apache Tomcat に HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性

情報源
CISA Current Activity
Apache Releases Security Updates for Apache Tomcat
https://us-cert.cisa.gov/ncas/current-activity/2020/10/14/apache-releases-security-updates-apache-tomcat

Japan Vulnerability Notes JVNVU#97307781
Apache Tomcat における HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性
https://jvn.jp/vu/JVNVU97307781/

概要
Apache Software Foundation が提供する Apache Tomcat には、HTTP/2 リク
エスト処理の不備に起因する情報漏えいの脆弱性が存在します。結果として、
遠隔の第三者が細工された HTTP/2 リクエストを送信し、予期しないリソース
への応答を誘発することで、情報を窃取する可能性があります。

対象となるバージョンは次のとおりです。

- Apache Tomcat 10.0.0-M1 から 10.0.0-M7 まで
- Apache Tomcat 9.0.0.M1 から 9.0.37 まで
- Apache Tomcat 8.5.0 から 8.5.57 まで

この問題は、Apache Tomcat を Apache Software Foundation が提供する修正
済みのバージョンに更新することで解決します。詳細は Apache Software
Foundation が提供する情報を参照してください。

関連文書 (英語)
Apache Software Foundation
Fixed in Apache Tomcat 10.0.0-M8
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M8

Apache Software Foundation
Fixed in Apache Tomcat 9.0.38
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.38

Apache Software Foundation
Fixed in Apache Tomcat 8.5.58
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.58

【4】Acronis 製バックアップソフトウェアに複数の脆弱性

情報源
CERT/CC Vulnerability Note VU#114757
Acronis backup software contains multiple privilege escalation vulnerabilities
https://kb.cert.org/vuls/id/114757

概要
Acronis が提供する バックアップソフトウェアには、複数の脆弱性がありま
す。結果として、第三者が任意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Acronis True Image 2021 ビルド番号 32010 より前のバージョン
- Acronis Cyber Backup 12.5 ビルド番号 16363 より前のバージョン
- Acronis Cyber Protect 15 ビルド番号 24600 より前のバージョン

この問題は、該当する製品を Acronis が提供する修正済みのバージョンに更
新することで解決します。詳細は Acronis が提供する情報を参照してくださ
い。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#92288299
Acronis 製の複数のバックアップソフトウェアに DLL 読み込みに関する脆弱性
https://jvn.jp/vu/JVNVU92288299/

JPCERT/CC CyberNewsFlash
Acronis製バックアップソフトウェアの複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2020101301.html

関連文書 (英語)
Acronis
Acronis True Image 2021 Update 1 for Windows
https://www.acronis.com/ja-jp/support/updates/changes.html?p=42226

Acronis
Release notes for Acronis Cyber Backup 12.5 Update 5
https://dl.managed-protection.com/u/backup/rn/12.5/user/en-US/AcronisBackup12.5_relnotes.htm

Acronis
Release notes for Acronis Cyber Protect 15
https://dl.managed-protection.com/u/cyberprotect/rn/15/user/en-US/AcronisCyberProtect15_relnotes.htm

【5】複数の Juniper 製品に脆弱性

情報源
CISA Current Activity
Juniper Networks Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/10/15/juniper-networks-releases-security-updates-multiple-products

概要
複数の Juniper 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。

対象となる製品は次のとおりです。

- Junos OS
- Junos OS Evolved
- Junos Space and Junos Space Security Director
- Juniper Secure Analytics
- Mist Cloud User Interface
- SBR Carrier
- Juniper Identity Management System
- Contrail Networking

この問題は、該当する製品を Juniper が提供する修正済みのバージョンに更
新することで解決します。詳細は、Juniper が提供する情報を参照してくださ
い。

関連文書 (英語)
Juniper Networks
Security Advisories (2020-10 Security Bulletin)
https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES

【6】Intel 製 BlueZ に複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#90263580
Intel 製 BlueZ に複数の脆弱性
https://jvn.jp/vu/JVNVU90263580/

概要
Intel が提供する BlueZ には、複数の脆弱性があります。結果として、隣接
するネットワークの第三者が権限昇格を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- BlueZ をサポートする Linux Kernel 5.9 より前のすべてのバージョン

この問題は、BlueZ を Intel が提供する修正済みのバージョンに更新することで解決し
ます。詳細は Intel が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Intel 製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2020101401.html

関連文書 (英語)
Intel
INTEL-SA-00435: BlueZ Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00435.html

【7】複数の SAP 製品に脆弱性

情報源
CISA Current Activity
SAP Releases October 2020 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/10/13/sap-releases-october-2020-security-updates

概要
複数の SAP 製品には、脆弱性があります。結果として、遠隔の第三者が当該
製品を制御するなどの可能性があります。

対象となる製品は次のとおりです。

- SAP Solution Manager (CA Introscope Enterprise Manager) および SAP Focused Run (CA Introscope Enterprise Manager)
- SAP NetWeaver Enterprise Portal (Fiori Framework Page)
- SAP NetWeaver Composite Application Framework
- SAP NetWeaver AS JAVA (ENGINEAPI および J2EE-FRMW)
- SAP NetWeaver Application Server Java
- SAP NetWeaver Application Server ABAP (POWL test application)
- SAP NetWeaver (DI Design Time Repository)
- SAP NetWeaver (Compare Systems)
- SAP NetWeaver (ABAP Server) および ABAP Platform
- SAP Landscape Management
- SAP ERP (HCM Travel Management)
- SAP Commerce Cloud
- SAP BusinessObjects Business Intelligence Platform (Web Services)
- SAP Business Planning および Consolidation
- SAP Business Objects Business Intelligence Platform
- SAP Business Client
- SAP Banking Services
- SAP Adaptive Extensions
- SAP 3D Visual Enterprise Viewer
- CA Introscope Enterprise Manager (Affected products: SAP Solution Manager および SAP Focused Run)

この問題は、該当する製品を SAP が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、SAP が提供する情報を参照してください。

関連文書 (英語)
SAP
SAP Security Patch Day - October 2020
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=558632196

【8】WordPress 用プラグイン Live Chat - Live support にクロスサイトリクエストフォージェリの脆弱性

情報源
Japan Vulnerability Notes JVN#92404841
WordPress 用プラグイン Live Chat - Live support におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN92404841/

概要
WordPress 用プラグイン Live Chat - Live support には、クロスサイトリクエ
ストフォージェリの脆弱性があります。結果として、遠隔の第三者が、細工し
たページにユーザをアクセスさせることにより、該当する製品の管理画面にロ
グインしているユーザの権限で任意の操作を行う可能性があります。

対象となるバージョンは次のとおりです。

- Live Chat - Live support バージョン 3.1.0 およびそれ以前のバージョン

この問題は、Live Chat - Live support を開発者が提供する修正済みのバージ
ョンに更新することで解決します。詳細は、開発者が提供する情報を参照して
ださい。

関連文書 (英語)
WordPress
Live Chat - Live support
https://wordpress.org/plugins/onwebchat/

Social Rocket
Products
https://wpsocialrocket.com/products/

【9】Internet Week 2020 開催のお知らせ

情報源
一般社団法人日本ネットワークインフォメーションセンター (JPNIC)
Internet Week 2020
https://www.nic.ad.jp/iw2020/

一般社団法人日本ネットワークインフォメーションセンター (JPNIC)
参加申込
https://www.nic.ad.jp/iw2020/apply/main/

概要
2020年11月17日 (火) から27日 (金) まで、一般社団法人日本ネットワークイン
フォメーションセンター (JPNIC) は、「Internet Week 2020」をオンライン
で開催します。インターネットに関する技術の研究・開発、 構築・運用・サ
ービスに関わる人々が、主にインターネットの基盤技術の基礎知識や最新動向
を学び、議論し、理解と交流を深めるためのイベントです。JPCERT/CC は本カ
ンファレンスを後援しています。

事前申込みの締め切りは 11月13日 (金) 17:00 までとなっております。詳細
は、JPNIC が提供する情報を確認してください。


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○総務省が「特別定額給付金の給付を騙ったメールに対する注意喚起」を公開

2020年10月15日、総務省は、「特別定額給付金の給付を騙ったメールに対する
注意喚起」を公開しました。総務省を騙るメールアドレスから、「二回目特別
定額給付金の特設サイトを開設しました。」といった旨及び偽の特設サイトに
誘導するリンクが含まれたメールが送信されているといった情報が寄せられて
いるとのことです。情報の詐取を目的としたものと考えられますのでご注意く
ださい。

参考文献 (日本語)
総務省
特別定額給付金の給付を騙ったメールに対する注意喚起
https://www.soumu.go.jp/menu_kyotsuu/important/kinkyu02_000438.html

フィッシング対策協議会
特別定額給付金に関する通知を装うフィッシング (2020/10/15)
https://www.antiphishing.jp/news/alert/kyufukin_20201015.html

2020年10月14日 (水)

■10/04(日)~10/10(土) のセキュリティ関連情報

目 次

【1】Google Chrome に複数の脆弱性
【2】複数のエレコム製 LAN ルーターに OS コマンドインジェクションの脆弱性
【3】トレンドマイクロ株式会社製ウイルスバスター for Mac に権限昇格の脆弱性
【4】複数の Cisco 製品に脆弱性
【5】QNAP Helpdesk に複数の脆弱性
【今週のひとくちメモ】警察庁が「令和2年上半期におけるサイバー空間をめぐる脅威の情勢等について」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr204001.html
https://www.jpcert.or.jp/wr/2020/wr204001.xml
============================================================================


【1】Google Chrome に複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2020/10/07/google-releases-security-updates-chrome

概要
Google Chrome には、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 86.0.4240.75 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/10/stable-channel-update-for-desktop.html

【2】複数のエレコム製 LAN ルーターに OS コマンドインジェクションの脆弱性

情報源
Japan Vulnerability Note JVN#82892096
複数のエレコム製 LAN ルーターにおける OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN82892096/

概要
複数のエレコム製 LAN ルーターには、OS コマンドインジェクションの脆弱性
があります。結果として、管理画面にアクセス可能な第三者が、root 権限で
任意の OS コマンドを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- WRC-2533GST2 ファームウェア v1.14 より前のバージョン
- WRC-1900GST2 ファームウェア v1.14 より前のバージョン
- WRC-1750GST2 ファームウェア v1.14 より前のバージョン
- WRC-1167GST2 ファームウェア v1.10 より前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新
することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
エレコム株式会社
一部無線LANルーターにおけるOSコマンドインジェクションの脆弱性に関して
https://www.elecom.co.jp/news/security/20201005-01/

【3】トレンドマイクロ株式会社製ウイルスバスター for Mac に権限昇格の脆弱性

情報源
Japan Vulnerability Notes JVNVU#95014999
トレンドマイクロ株式会社製ウイルスバスター for Mac に権限昇格の脆弱性
https://jvn.jp/vu/JVNVU95014999/

概要
トレンドマイクロ株式会社製のウイルスバスター for Mac には、権限昇格の
脆弱性があります。結果として、当該製品にアクセス可能な第三者が、不正な
シンボリックリンクを作成し、任意のファイルやフォルダを削除する可能性が
あります。

対象となるバージョンは次のとおりです。

- ウイルスバスター for Mac バージョン 9.0
- ウイルスバスター for Mac バージョン 10.0

この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正済みの
バージョンに更新することで解決します。なお、9.0 系バージョンへのアップ
デートは提供されていないため、トレンドマイクロ株式会社は最新の 11.0 系
のバージョンへのアップグレードを推奨しています。詳細は、トレンドマイク
ロ株式会社が提供する情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスター for Mac の脆弱性について(CVE-2020-25776)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-09912

【4】複数の Cisco 製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/10/08/cisco-releases-security-updates

概要
複数の Cisco 製品には、脆弱性があります。結果として、認証された遠隔の
第三者が設定の一部を変更するなどの可能性があります。

対象となる製品は、多岐に渡ります。詳細は Cisco が提供するアドバイザリ
情報を参照してください。

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【5】QNAP Helpdesk に複数の脆弱性

情報源
CISA Current Activity
QNAP Releases Security Updates for QNAP Helpdesk
https://us-cert.cisa.gov/ncas/current-activity/2020/10/08/qnap-releases-security-updates-qnap-helpdesk

概要
QNAP に搭載されているアプリ Helpdesk には、複数の脆弱性があります。結
果として、第三者が当該アプリを搭載する機器を制御する可能性があります。

対象となるバージョンは次のとおりです。

- Helpdesk 3.0.3 より前のバージョン

この問題は、Helpdesk を QNAP Systems が提供する修正済みのバージョンに
更新することで解決します。詳細は、QNAP Systems が提供する情報を参照し
てください。

関連文書 (英語)
QNAP Systems
Multiple Vulnerabilities in Helpdesk
https://www.qnap.com/en/security-advisory/QSA-20-08

QNAP Systems
Helpdesk 3.0.3
https://www.qnap.com/en/app_releasenotes/list.php?app_choose=helpdesk


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○警察庁が「令和2年上半期におけるサイバー空間をめぐる脅威の情勢等について」を公開

2020年10月1日、警察庁は、「令和2年上半期におけるサイバー空間をめぐる
脅威の情勢等について」と題してレポートを公開しました。新型コロナウイル
ス感染症の発生に乗じたものを含め、令和2年上半期のサイバー攻撃の事例に
ついて解説しています。

参考文献 (日本語)
警察庁
令和2年上半期におけるサイバー空間をめぐる脅威の情勢等について
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R02_kami_cyber_jousei.pdf