セキュリティ Feed

2021年2月17日 (水)

■02/07(日)~02/13(土) のセキュリティ関連情報

目 次

【1】複数のマイクロソフト製品に脆弱性
【2】複数のアドビ製品に脆弱性
【3】AppleのmacOSに複数の脆弱性
【4】複数のIntel製品に脆弱性
【5】VMWareのvSphere Replicationにコマンドインジェクションの脆弱性
【6】GitLabに複数の脆弱性
【7】Wekanにクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】JPCERT/CC Eyes「マルウェアLODEINFOのさらなる進化」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr210701.html
https://www.jpcert.or.jp/wr/2021/wr210701.xml
============================================================================


【1】複数のマイクロソフト製品に脆弱性

情報源
CISA Current Activity
Microsoft Releases February 2021 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/02/09/microsoft-releases-february-2021-security-updates

CISA Current Activity
Microsoft Warns of Windows Win32k Privilege Escalation
https://us-cert.cisa.gov/ncas/current-activity/2021/02/09/microsoft-warns-windows-win32k-privilege-escalation

CISA Current Activity
Microsoft Launches Phase 2 Mitigation for Netlogon Remote Code Execution Vulnerability (CVE-2020-1472)
https://us-cert.cisa.gov/ncas/current-activity/2021/02/10/microsoft-launches-phase-2-mitigation-netlogon-remote-code

概要
複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- .NET Core
- .NET Framework
- Azure IoT
- 開発者ツール
- Microsoft Azure Kubernetes Service
- Microsoft Dynamics
- Microsoft Edge for Android
- Microsoft Exchange Server
- Microsoft Graphics コンポーネント
- Microsoft Office Excel
- Microsoft Office SharePoint
- Microsoft Windows Codecs Library
- ロール: DNS サーバー
- ロール: Hyper-V
- ロール: Windows Fax サービス
- Skype for Business
- SysInternals
- System Center
- Visual Studio
- Windows アドレス帳
- Windows バックアップ エンジン
- Windows コンソール ドライバー
- Windows Defender
- Windows DirectX
- Windows イベント トレーシング
- Windows インストーラー
- Windows カーネル
- Windows モバイル デバイス管理
- Windows ネットワーク ファイル システム
- Windows PFX 暗号化
- Windows PKU2U
- Windows PowerShell
- Windows 印刷スプーラー コンポーネント
- Windows リモート プロシージャ コール
- Windows TCP/IP
- Windows Trust Verification API

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフトが提供する情報を参照してください。

関連文書 (日本語)
マイクロソフト株式会社
2021 年 2 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/ja-jp/releaseNote/2021-Feb

JPCERT/CC 注意喚起
2021年2月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2021/at210008.html

【2】複数のアドビ製品に脆弱性

情報源
CISA Current Activity
Adobe Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/02/09/adobe-releases-security-updates

概要
複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe Acrobat
- Adobe Acrobat Reader
- Magento
- Adobe Photoshop
- Adobe Animate
- Adobe Illustrator
- Adobe Dreamweaver

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
Adobe AcrobatおよびReaderの脆弱性(APSB21-09)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210007.html

JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021021001.html

アドビ
Magento に関するセキュリティアップデート公開 | APSB21-08
https://helpx.adobe.com/jp/security/products/magento/apsb21-08.html

アドビ
Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB21-09
https://helpx.adobe.com/jp/security/products/acrobat/apsb21-09.html

アドビ
Adobe Photoshop に関するセキュリティアップデート公開 | APSB21-10
https://helpx.adobe.com/jp/security/products/photoshop/apsb21-10.html

アドビ
Adobe Animate に関するセキュリティアップデート公開 | APSB21-11
https://helpx.adobe.com/jp/security/products/animate/apsb21-11.html

アドビ
Adobe Illustrator に関するセキュリティアップデート公開 | APSB21-12
https://helpx.adobe.com/jp/security/products/illustrator/apsb21-12.html

アドビ
Adobe Dreamweaver に関するセキュリティアップデート公開 | APSB21-13
https://helpx.adobe.com/jp/security/products/dreamweaver/apsb21-13.html

【3】AppleのmacOSに複数の脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/02/09/apple-releases-security-updates

概要
macOSには、複数の脆弱性があります。結果として、第三者が、任意のコード
を実行したり、権限を昇格したりする可能性があります。

対象となるバージョンは次のとおりです。

- macOS Big Sur 11.2
- macOS Catalina 10.15.7
- macOS Mojave 10.14.6

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
macOSに関するアップデートについて
https://www.jpcert.or.jp/newsflash/2021021003.html

Apple
macOS Big Sur 11.2.1、macOS Catalina 10.15.7 追加アップデート、macOS Mojave 10.14.6 セキュリティアップデート 2021-002 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212177

【4】複数のIntel製品に脆弱性

情報源
Japan Vulnerability Notes JVNVU#93808918
Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU93808918/

JPCERT/CC CyberNewsFlash
Intel製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2021021002.html

概要
Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security
Center Advisoriesが公開されました。

詳細は、Intelが提供する情報を参照してください。

関連文書 (英語)
Intel
Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html

【5】VMWareのvSphere Replicationにコマンドインジェクションの脆弱性

情報源
CISA Current Activity
VMware Releases Security Update
https://us-cert.cisa.gov/ncas/current-activity/2021/02/12/vmware-releases-security-update

概要
vSphere Replicationには、コマンドインジェクションの脆弱性があります。
結果として、遠隔の第三者が任意のコマンドを実行する可能性があります。

対象となるバージョンは次のとおりです。

- vSphere Replication 8.3.1.2より前の8.3系バージョン
- vSphere Replication 8.2.1.1より前の8.2系バージョン
- vSphere Replication 8.1.2.3より前の8.1系バージョン
- vSphere Replication 6.5.1.5より前の6.5系バージョン

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、VMwareが提供する情報を参照してください。

関連文書 (英語)
VMware Security Advisories
VMSA-2021-0001
https://www.vmware.com/security/advisories/VMSA-2021-0001.html

【6】GitLabに複数の脆弱性

情報源
GitLab
GitLab Security Release: 13.8.4, 13.7.7 and 13.6.7
https://about.gitlab.com/releases/2021/02/11/security-release-gitlab-13-8-4-released/

概要
GitLabには、複数の脆弱性があります。結果として、遠隔の第三者がサービス
運用妨害(DoS)攻撃を行うなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- GitLab Community Edition および Enterprise Edition 13.8.4より前の13.8系バージョン
- GitLab Community Edition および Enterprise Edition 13.7.7より前の13.7系バージョン
- GitLab Community Edition および Enterprise Edition 13.6.7より前の13.6系バージョン

なお、GitLabによると、上記に記載されていないバージョンも影響を受けると
のことです。詳細はGitLabが提供する情報を参照してください。

この問題は、該当する製品をGitLabが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、GitLabが提供する情報を参照してください。

【7】Wekanにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#80785288
Wekan におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN80785288/

概要
Wekanには、クロスサイトスクリプティングの脆弱性があります。結果として、
遠隔の第三者が、当該製品にアクセスしたユーザのブラウザ上で任意のスクリ
プトを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Wekan 3.12から4.11までのバージョン

本脆弱性は、開発者のサイトでは「Fieldbleed」と命名された複数のクロスサ
イトスクリプティングの脆弱性の一部として扱われています。

この問題は、該当する製品をWekanが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Wekanが提供する情報を参照してください。

関連文書 (英語)
Wekan
Hall of Fame / Fieldbleed
https://wekan.github.io/hall-of-fame/fieldbleed/


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CC Eyes「マルウェアLODEINFOのさらなる進化」を公開

2021年2月9日、JPCERT/CCは、公式ブログJPCERT/CC Eyesにて「マルウェア
LODEINFOのさらなる進化」を公開しました。日本の組織を狙うLODEINFOについ
ては、以前にもその機能や進化について紹介してきましたが、その後も引き続
き活発な攻撃を確認しています。本記事では、LODEINFOに追加されたアップデー
ト内容と、最近の攻撃動向について紹介しています。

参考文献 (日本語)
JPCERT/CC Eyes
マルウェアLODEINFOのさらなる進化
https://blogs.jpcert.or.jp/ja/2021/02/LODEINFO-3.html

投稿時刻 10:25 セキュリティ | | コメント (0)

2021年2月10日 (水)

■01/31(日)~02/06(土) のセキュリティ関連情報

目 次

【1】SonicWall SMA 100シリーズにSQLインジェクションの脆弱性
【2】Google Chromeに複数の脆弱性
【3】複数のApple製品に脆弱性
【4】複数のCisco製品に脆弱性
【5】複数のトレンドマイクロ株式会社製品に脆弱性
【6】Mozilla Firefoxに脆弱性
【7】パナソニックVideo Insight VMSに任意のコードが実行可能な脆弱性
【8】Adobe ColdFusionにインストールディレクトリのACL設定不備による権限昇格の脆弱性
【9】Wiresharkに複数の脆弱性
【10】WordPress用プラグインName Directoryにクロスサイトリクエストフォージェリの脆弱性
【今週のひとくちメモ】サイバーセキュリティ月間

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr210601.html
https://www.jpcert.or.jp/wr/2021/wr210601.xml
============================================================================


【1】SonicWall SMA 100シリーズにSQLインジェクションの脆弱性

情報源
SonicWall
Confirmed Zero-day vulnerability in the SonicWall SMA100 build version 10.x
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0001

CISA Current Activity
Zero-Day Vulnerability in SonicWall SMA 100 Series Version 10.x Products
https://us-cert.cisa.gov/ncas/current-activity/2021/02/02/zero-day-vulnerability-sonicwall-sma-100-series-version-10x

概要
SonicWall SMA 100シリーズには、SQLインジェクションの脆弱性があります。
結果として、遠隔の第三者が認証情報を窃取する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- ファームウェア 10系のバージョンで稼働する次のSMA 100シリーズ製品
- SMA 200
- SMA 210
- SMA 400
- SMA 410
- SMA 500v

この問題は、該当する製品にSonicWallが提供するパッチを適用することで解
決します。詳細は、SonicWallが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC注意喚起
SonicWall製SMA100シリーズの脆弱性(CVE-2021-20016)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210006.html

関連文書 (英語)
SonicWall
Urgent Patch Available for SMA 100 Series 10.x Firmware Zero-Day Vulnerability [Updated Feb. 3, 2 P.M. CST]
https://www.sonicwall.com/support/product-notification/urgent-patch-available-for-sma-100-series-10-x-firmware-zero-day-vulnerability-updated-feb-3-2-p-m-cst/210122173415410/

【2】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/02/03/google-releases-security-updates-chrome

CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/02/05/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 88.0.4324.150より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/02/stable-channel-update-for-desktop.html

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/02/stable-channel-update-for-desktop_4.html

【3】複数のApple製品に脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/02/02/apple-releases-security-updates

Apple
About the security content of Safari 14.0.3
https://support.apple.com/en-us/HT212152

Apple
About the security content of macOS Big Sur 11.2, Security Update 2021-001 Catalina, Security Update 2021-001 Mojave
https://support.apple.com/en-us/HT212147

概要
複数のApple製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- macOS Big Sur 11.2より前のバージョン
- macOS Catalina (Security Update 2021-001未適用)
- macOS Mojave (Security Update 2021-001未適用)
- Safari 14.0.3より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数のApple製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021012801.html

【4】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/02/04/cisco-releases-security-updates

概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ
情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【5】複数のトレンドマイクロ株式会社製品に脆弱性

情報源
Japan Vulnerability Notes JVNVU#98209799
トレンドマイクロ株式会社製スマートホームスキャナー (Windows 版) に DLL 読み込みに関する脆弱性
https://jvn.jp/vu/JVNVU98209799/

Japan Vulnerability Notes JVNVU#99814910
トレンドマイクロ株式会社製ウイルスバスター クラウドのインストーラにおける複数の脆弱性
https://jvn.jp/vu/JVNVU99814910/

概要
複数のトレンドマイクロ株式会社製品には、脆弱性があります。結果として、
第三者が管理者権限で任意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- ウイルスバスター クラウド バージョン16
- ウイルスバスター クラウド バージョン15
- スマートホームスキャナー(Windows版) 5.3.1063およびそれ以前のバージョン

この問題への対策は製品によって異なります。詳細は、トレンドマイクロ株式
会社が提供する情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスター クラウドの脆弱性について(CVE-2020-27695,CVE-2020-27696,CVE-2020-27697)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-09955

トレンドマイクロ株式会社
アラート/アドバイザリ:スマートホームスキャナー(Windows版)の脆弱性について (CVE-2021-25247)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10179

【6】Mozilla Firefoxに脆弱性

情報源
Mozilla
Security Vulnerabilities fixed in Firefox 85.0.1 and Firefox ESR 78.7.1
https://www.mozilla.org/en-US/security/advisories/mfsa2021-06/

概要
Mozilla Firefoxには、脆弱性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 85.0.1より前のバージョン(Windows版)
- Mozilla Firefox ESR 78.7.1より前のバージョン(Windows版)

この問題は、Mozilla FirefoxをMozillaが提供する修正済みのバージョンに更
新することで解決します。詳細は、Mozillaが提供する情報を参照してくださ
い。

【7】パナソニックVideo Insight VMSに任意のコードが実行可能な脆弱性

情報源
Japan Vulnerability Notes JVN#42252698
パナソニック Video Insight VMS において任意のコードが実行可能な脆弱性
https://jvn.jp/jp/JVN42252698/

概要
パナソニック株式会社が提供するVideo Insight VMSには、任意のコード実行
が可能な脆弱性があります。結果として、遠隔の第三者がSYSTEMユーザーの権
限で任意のコードを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Video Insight VMS 7.8より前のバージョン

この問題は、Video Insight VMSをパナソニック株式会社が提供する修正済み
のバージョンに更新することで解決します。詳細は、パナソニック株式会社が
提供する情報を参照してください。

関連文書 (英語)
パナソニック株式会社
Release Notes - Video Insight IP Server 7.8 Minor Release
http://downloadvi.com/downloads/IPServer/v7.8/780182/v780182RN.pdf

【8】Adobe ColdFusionにインストールディレクトリのACL設定不備による権限昇格の脆弱性

情報源
CERT/CC Vulnerability Note VU#125331
Adobe ColdFusion is vulnerable to privilege escalation due to weak ACLs
https://kb.cert.org/vuls/id/125331

概要
Adobe ColdFusionには、ACLを適切に設定できないことに起因する権限昇格の
脆弱性があります。結果として、第三者がSYSTEM権限で任意のコードを実行す
る可能性があります。

対象となるバージョンは次のとおりです。

- Adobe ColdFusion 2021
- Adobe ColdFusion 2018
- Adobe ColdFusion 2016

この問題は、該当する製品でロックダウン機能を設定することで本脆弱性から
保護することが可能です。詳細は、Adobeなどが提供する情報を参照してくだ
さい。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#91588948
Adobe ColdFusion にインストールディレクトリの ACL 設定不備による権限昇格の脆弱性
https://jvn.jp/vu/JVNVU91588948/

関連文書 (英語)
Adobe
ColdFusion (2021 release) Server Auto-Lockdown
https://www.adobe.com/support/coldfusion/downloads.html#cf2021ldg

Adobe
ColdFusion (2018 release) Server Auto-Lockdown
https://www.adobe.com/support/coldfusion/downloads.html#cf2018ldg

Adobe
ColdFusion (2016 release) Lockdown Guide
https://wwwimages.adobe.com/content/dam/acom/en/products/coldfusion/pdfs/coldfusion-2016-lockdown-guide.pdf

【9】Wiresharkに複数の脆弱性

情報源
Wireshark Foundation
Wireshark 3.4.3 Release Notes
https://www.wireshark.org/docs/relnotes/wireshark-3.4.3.html

概要
Wiresharkには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Wireshark 3.4.3より前の3.4系のバージョン

この問題は、WiresharkをWireshark Foundationが提供する修正済みのバージョン
に更新することで解決します。詳細は、Wireshark Foundationが提供する情報
を参照してください。

【10】WordPress用プラグインName Directoryにクロスサイトリクエストフォージェリの脆弱性

情報源
Japan Vulnerability Notes JVN#50470170
WordPress 用プラグイン Name Directory におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN50470170/

概要
WordPress用プラグインName Directoryには、クロスサイトリクエストフォー
ジェリの脆弱性があります。結果として、当該製品にログインした状態の管理
者権限を持つユーザーが、細工されたページにアクセスした場合、意図しない
操作をさせられる可能性があります。

対象となるバージョンは次のとおりです。

- Name Directory 1.17.4およびそれ以前

この問題は、Name Directoryを開発者が提供する修正済みのバージョンに更新
することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
Jeroen Peters
Name Directory
https://wordpress.org/plugins/name-directory/


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○サイバーセキュリティ月間

2月1日から3月18日は「サイバーセキュリティ月間」です。サイバーセキュリ
ティに対する取組の推進を目的とした普及啓発活動やイベント、情報発信など
が行われます。

参考文献 (日本語)
内閣サイバーセキュリティセンター(NISC)
サイバーセキュリティ月間
https://www.nisc.go.jp/security-site/month/

投稿時刻 10:17 セキュリティ | | コメント (0)

2021年2月 3日 (水)

■01/24(日)~01/30(土) のセキュリティ関連情報

 目 次

【1】複数のMozilla製品に脆弱性
【2】複数のApple製品に脆弱性
【3】sudoにバッファオーバーフローの脆弱性
【4】複数のエレコム製品に脆弱性
【5】複数のロジテック製品に脆弱性
【6】Android アプリ「ELECOM File Manager」にディレクトリトラバーサルの脆弱性
【7】インフォサイエンス製の複数のログ管理ツールにOSコマンドインジェクションの脆弱性
【今週のひとくちメモ】IPAがサイバー情報共有イニシアティブ(J-CSIP)運用状況[2020年10月~12月]を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr210501.html
https://www.jpcert.or.jp/wr/2021/wr210501.xml
============================================================================


【1】複数のMozilla製品に脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird
https://us-cert.cisa.gov/ncas/current-activity/2021/01/27/mozilla-releases-security-updates-firefox-firefox-esr-and

概要
複数のMozilla製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 85より前のバージョン
- Mozilla Firefox ESR 78.7より前のバージョン
- Mozilla Thunderbird 78.7より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 85
https://www.mozilla.org/en-US/security/advisories/mfsa2021-03/

Mozilla
Security Vulnerabilities fixed in Firefox ESR 78.7
https://www.mozilla.org/en-US/security/advisories/mfsa2021-04/

Mozilla
Security Vulnerabilities fixed in Thunderbird 78.7
https://www.mozilla.org/en-US/security/advisories/mfsa2021-05/

【2】複数のApple製品に脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/01/27/apple-releases-security-updates

JPCERT/CC CyberNewsFlash
複数のApple製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021012801.html

概要
複数のApple製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Windows 用 iCloud 12.0より前のバージョン
- iOS 14.4より前のバージョン
- iPadOS 14.4より前のバージョン
- watchOS 7.3より前のバージョン
- tvOS 14.4より前のバージョン
- Xcode 12.4より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
Apple
Windows 用 iCloud 12.0 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212145

Apple
iOS 14.4 および iPadOS 14.4 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212146

Apple
watchOS 7.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212148

Apple
tvOS 14.4 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212149

Apple
Xcode 12.4 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212153

【3】sudoにバッファオーバーフローの脆弱性

情報源
JPCERT/CC 注意喚起
sudoの脆弱性(CVE-2021-3156)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210005.html

概要
sudoには、バッファオーバーフローの脆弱性があります。結果として、ローカ
ルユーザがrootに権限昇格する可能性があります。

対象となるバージョンは次のとおりです。

- sudo バージョン 1.8.2 から 1.8.31p2
- sudo バージョン 1.9.0 から 1.9.5p1

この問題は、sudoを各ディストリビュータが提供する修正済みのバージョンに
更新することで解決します。詳細は、各ディストリビュータが提供する情報を
参照してください。

関連文書 (英語)
sudo
Buffer overflow in command line unescaping
https://www.sudo.ws/alerts/unescape_overflow.html

【4】複数のエレコム製品に脆弱性

情報源
Japan Vulnerability Notes JVN#47580234
複数のエレコム製品における複数の脆弱性
https://jvn.jp/jp/JVN47580234/

概要
複数のエレコム製品には、脆弱性があります。結果として、当該製品にアクセ
ス可能な第三者が任意のOSコマンドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- LD-PS/U1
- WRC-1467GHBK-A
- WRC-300FEBK-A
- WRC-300FEBK-S
- NCC-EWF100RMWH2
- WRC-300FEBK
- WRC-F300NF

この問題の対象となっている製品は、すべて製品サポートが終了しています。
現行製品の使用を停止し、後継製品への移行を検討してください。

関連文書 (日本語)
エレコム株式会社
無線LANルーターなどネットワーク製品の一部における脆弱性に関して
https://www.elecom.co.jp/news/security/20210126-01/

【5】複数のロジテック製品に脆弱性

情報源
Japan Vulnerability Notes JVN#96783542
複数のロジテック製品における複数の脆弱性
https://jvn.jp/jp/JVN96783542/

概要
複数のロジテック製品には、脆弱性があります。結果として、当該製品のWeb
管理ページにアクセス可能な攻撃者が任意のOSコマンドを実行するなどの可能
性があります。

対象となる製品は次のとおりです。

- LAN-WH450N/GR
- LAN-W300N/PR5B
- LAN-W300N/PGRB
- LAN-W300N/RS

この問題の対象となっている製品は、すべて製品サポートが終了しています。
現行製品の使用を停止し、後継製品への移行を検討してください。

関連文書 (日本語)
ロジテック株式会社
無線LANルーターなどネットワーク製品の一部における脆弱性に関して
https://www.elecom.co.jp/news/security/20210126-01/

【6】Android アプリ「ELECOM File Manager」にディレクトリトラバーサルの脆弱性

情報源
Japan Vulnerability Notes JVN#98115035
Android アプリ「ELECOM File Manager」におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN98115035/

概要
エレコム株式会社が提供するAndroidアプリ「ELECOM File Manager」には、ディ
レクトリトラバーサルの脆弱性があります。結果として、遠隔の第三者が、ア
プリの権限でアクセス可能なディレクトリ上でファイル作成や上書きを行う可
能性があります。

対象となるバージョンは次のとおりです。

- Androidアプリ「ELECOM File Manager」すべてのバージョン

この問題の対象となっている製品は、すべて製品サポートが終了しています。
現行製品の使用を停止し、後継製品への移行を検討してください。

関連文書 (日本語)
エレコム株式会社
無線LANルーターなどネットワーク製品の一部における脆弱性に関して
https://www.elecom.co.jp/news/security/20210126-01/

【7】インフォサイエンス製の複数のログ管理ツールにOSコマンドインジェクションの脆弱性

情報源
Japan Vulnerability Notes JVN#41853173
インフォサイエンス製の複数のログ管理ツールにおける OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN41853173/

概要
インフォサイエンス株式会社が提供する複数のログ管理ツールには、OSコマン
ドインジェクションの脆弱性があります。結果として、遠隔の第三者が任意の
OSコマンドを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Logstorage バージョン 8.0.0およびそれ以前
- ELC Analytics バージョン 3.0.0およびそれ以前

この問題は、該当する製品をインフォサイエンス株式会社が提供する修正済みの
バージョンに更新することで解決します。詳細は、インフォサイエンス株式会
社が提供する情報を参照してください。

関連文書 (日本語)
インフォサイエンス株式会社
2021年01月27日 Logstorageにおける任意のファイル実行の脆弱性(JVN#41853173)について
https://www.logstorage.com/support/vulnerability_info.html#jvn-41853173

投稿時刻 10:28 セキュリティ | | コメント (0)

2021年1月27日 (水)

■01/17(日)~01/23(土) のセキュリティ関連情報

目 次

【1】Google Chromeに複数の脆弱性
【2】Dnsmasqに複数の脆弱性
【3】2021年1月Oracle Critical Patch Updateについて
【4】複数のCisco製品に脆弱性
【5】Drupalのサードパーティライブラリに脆弱性
【6】TP-Link製TL-WR841N V13(JP)におけるOSコマンドインジェクションの脆弱性
【今週のひとくちメモ】JPCERT/CC Eyes「攻撃グループLazarusが侵入したネットワーク内で使用するツール」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr210401.html
https://www.jpcert.or.jp/wr/2021/wr210401.xml
============================================================================


【1】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/01/21/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となる製品は次のとおりです。

- Google Chrome 88.0.4324.96(MacおよびLinux版)
- Google Chrome 88.0.4324.104(Windows版)

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/01/stable-channel-update-for-desktop_19.html

【2】Dnsmasqに複数の脆弱性

情報源
CERT/CC Vulnerability Note VU#434904
Dnsmasq is vulnerable to memory corruption and cache poisoning
https://kb.cert.org/vuls/id/434904

概要
Dnsmasqは、DNSやDHCPなどの機能を提供するオープンソースソフトウェアです。
Dnsmasqには、複数の脆弱性があります。結果として、遠隔の第三者が、任意
のコード実行や情報の窃取を行ったり、サービス運用妨害(DoS)状態を引き
起こしたりするなどの可能性があります。なお、これらの脆弱性は発見者によっ
て「DNSpooq」と呼称されています。

この問題は、Dnsmasqを開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#90340376
Dnsmasq における複数の脆弱性 (DNSpooq)
https://jvn.jp/vu/JVNVU90340376/

関連文書 (英語)
JSOF
DNSpooq
https://www.jsof-tech.com/disclosures/dnspooq/

JSOF
DNSpooq: Cache Poisoning and RCE in Popular DNS Forwarder dnsmasq
https://www.jsof-tech.com/wp-content/uploads/2021/01/DNSpooq_Technical-Whitepaper.pdf

【3】2021年1月Oracle Critical Patch Updateについて

情報源
CISA Current Activity
Oracle Releases January 2021 Security Bulletin
https://us-cert.cisa.gov/ncas/current-activity/2021/01/21/oracle-releases-january-2021-security-bulletin

概要
Oracleから複数の製品およびコンポーネントに含まれる脆弱性に対応したOracle
Critical Patch Update Advisoryが公開されました。

詳細は、Oracleが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC注意喚起
2021年1月Oracle製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2021/at210003.html

関連文書 (英語)
Oracle
Oracle Critical Patch Update Advisory - January 2021
https://www.oracle.com/security-alerts/cpujan2021.html

【4】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Advisories for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/01/21/cisco-releases-advisories-multiple-products

概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコマンドを実行するなどの可能性があります。

対象となる製品は、多岐に渡ります。詳細はCiscoが提供するアドバイザリ情
報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【5】Drupalのサードパーティライブラリに脆弱性

情報源
CISA Current Activity
Drupal Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/01/21/drupal-releases-security-updates

概要
Drupalには、内部で使用しているパッケージの問題に起因する、アーカイブファ
イル処理時のシンボリックリンクの不十分なチェックによるディレクトリトラ
バーサルの脆弱性があります。結果として、遠隔の第三者が任意のファイルを
上書きする可能性があります。

対象となるバージョンは次のとおりです。

- Drupal 9.1.3より前の9.1系のバージョン
- Drupal 9.0.11より前の9.0系のバージョン
- Drupal 8.9.13より前の8.9系のバージョン
- Drupal 7.78より前の7系のバージョン

なお、Drupal 8.9系より前の8系のバージョンも影響を受けますが、サポート
が終了しており、今回のセキュリティに関する情報は提供されていません。

この問題は、DrupalをDrupalが提供する修正済みのバージョンに更新すること
で解決します。詳細は、Drupalが提供する情報を参照してください。

関連文書 (英語)
Drupal
Drupal core - Critical - Third-party libraries - SA-CORE-2021-001
https://www.drupal.org/sa-core-2021-001

【6】TP-Link製TL-WR841N V13(JP)におけるOSコマンドインジェクションの脆弱性

情報源
Japan Vulnerability Notes JVNVU#92444096
TP-Link 製 TL-WR841N V13 (JP) におけるOSコマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU92444096/

概要
TP-Linkが提供するWi-FiルータTL-WR841NのハードウェアバージョンV13(JP)
向けファームウェアには、OSコマンドインジェクションの脆弱性があります。
結果として、当該製品のwebインタフェースにログインできるユーザが、ファー
ムウェアのデザイン上想定されていないOSコマンドを実行する可能性がありま
す。

対象となる製品は次のとおりです。

- TL-WR841N V13(JP)向けファームウェア201216より前のバージョン

この問題は、該当する製品のファームウェアをTP-Linkが提供する最新版にアッ
プデートすることで解決します。なお、詳細は開発者のサイトを確認してくだ
さい。

関連文書 (日本語)
TP-LINK
TL-WR841N V13 をダウンロード
https://www.tp-link.com/jp/support/download/tl-wr841n/v13/


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CC Eyes「攻撃グループLazarusが侵入したネットワーク内で使用するツール」を公開

2021年1月19日、JPCERT/CCは、公式ブログJPCERT/CC Eyesにて「攻撃グループ
Lazarusが侵入したネットワーク内で使用するツール」を公開しました。他の
攻撃者と同様にLazarusは、ネットワークに侵入後、正規のツールを使用して、
情報収集や感染拡大を試みます。本記事では、Lazarusが使用するツールにつ
いて目的別に紹介しています。

参考文献 (日本語)
JPCERT/CC
攻撃グループLazarusが侵入したネットワーク内で使用するツール
https://blogs.jpcert.or.jp/ja/2021/01/Lazarus_tools.html

投稿時刻 09:59 セキュリティ | | コメント (0)

2021年1月20日 (水)

■01/10(日)~01/16(土) のセキュリティ関連情報

目 次

【1】複数のマイクロソフト製品に脆弱性
【2】複数のアドビ製品に脆弱性
【3】複数のCisco製品に脆弱性
【4】複数のJuniper製品に脆弱性
【5】複数のSAP製品に脆弱性
【6】Apache Tomcatに情報漏えいの脆弱性
【7】Mozilla Thunderbirdに解放済みメモリ使用(use-after-free)の脆弱性
【8】SKYSEA Client ViewにDLL読み込みに関する脆弱性
【9】acmailerに複数の脆弱性
【10】ウイルスバスタービジネスセキュリティシリーズに複数の脆弱性
【11】Apex One およびウイルスバスター コーポレートエディションに複数の脆弱性
【今週のひとくちメモ】アドビはFlash PlayerにおけるFlashコンテンツの実行をブロックしました

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr210301.html
https://www.jpcert.or.jp/wr/2021/wr210301.xml
============================================================================


【1】複数のマイクロソフト製品に脆弱性

情報源
CISA Current Activity
Microsoft Releases January 2021 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/01/12/microsoft-releases-january-2021-security-updates

CISA Current Activity
RCE Vulnerability Affecting Microsoft Defender
https://us-cert.cisa.gov/ncas/current-activity/2021/01/14/rce-vulnerability-affecting-microsoft-defender

CISA Current Activity
Microsoft Releases Security Updates for Edge
https://us-cert.cisa.gov/ncas/current-activity/2021/01/11/microsoft-releases-security-updates-edge

概要
複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Microsoft Windows
- Microsoft Edge(EdgeHTMLベース)
- Microsoft Edge(Chromiumベース)
- Microsoft Office、Microsoft Office Services、およびWeb Apps
- Microsoft Windows Codecs Library
- Visual Studio
- SQL Server
- Microsoft Malware Protection Engine
- .NET Core
- .NET Repository
- ASP .NET
- Azure
- Windows Defender

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフトが提供する情報を参照してください。

関連文書 (日本語)
マイクロソフト株式会社
2021 年 1 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/2021-Jan

マイクロソフト株式会社
Microsoft Edge (Chromium ベース) 用の Chromium のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/vulnerability/ADV200002

マイクロソフト株式会社
Microsoft Defender のリモートでコードが実行される脆弱性
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1647

JPCERT/CC 注意喚起
2021年1月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2021/at210001.html

【2】複数のアドビ製品に脆弱性

情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/01/12/adobe-releases-security-updates-multiple-products

概要
複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe Photoshop
- Adobe Illustrator
- Adobe Animate
- Adobe Campaign Classic
- Adobe InCopy
- Adobe Captivate
- Adobe Bridge

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021011301.html

関連文書 (英語)
アドビ
Security Bulletins Posted
https://blogs.adobe.com/psirt/?p=1960

アドビ
Security updates available for Adobe Photoshop | APSB21-01
https://helpx.adobe.com/security/products/photoshop/apsb21-01.html

アドビ
Security Updates Available for Adobe Illustrator | APSB21-02
https://helpx.adobe.com/security/products/illustrator/apsb21-02.html

アドビ
Security updates available for Adobe Animate | APSB21-03
https://helpx.adobe.com/security/products/animate/apsb21-03.html

アドビ
Security updates available for Adobe Campaign Classic | APSB21-04
https://helpx.adobe.com/security/products/campaign/apsb21-04.html

アドビ
Security Update Available for Adobe InCopy | APSB21-05
https://helpx.adobe.com/security/products/incopy/apsb21-05.html

アドビ
Security hotfix available for Adobe Captivate | APSB21-06
https://helpx.adobe.com/security/products/captivate/apsb21-06.html

アドビ
Security Updates Available for Adobe Bridge | APSB21-07
https://helpx.adobe.com/security/products/bridge/apsb21-07.html

【3】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/01/14/cisco-releases-security-updates-multiple-products

概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。

影響度CriticalおよびHighの脆弱性情報に記載されている製品は次のとおりで
す。

- Cisco AnyConnect Secure Mobility Client for Windows 4.9.04043より前のバージョン
- Cisco Small Business routers
RV110W Wireless-N VPN Firewall
RV130 VPN Router
RV130W Wireless-N Multifunction VPN Router
RV215W Wireless-N VPN Router
- Cisco CMX releases 10.6.0、10.6.1、および10.6.2

※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、
影響度Mediumの複数の脆弱性情報が公開されています。詳細は、Ciscoが提
供する情報を参照してください。

この問題の解決策は次の通りです。該当する製品のうちサポート対象の製品は
Ciscoが提供する修正済みのバージョンに更新してください。EOL製品は代替品
への置き換えを検討してください。

関連文書 (英語)
Cisco
Cisco Small Business RV110W, RV130, RV130W, and RV215W Routers Management Interface Remote Command Execution and Denial of Service Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-overflow-WUnUgv4U

Cisco
Cisco AnyConnect Secure Mobility Client for Windows DLL Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-anyconnect-dll-injec-pQnryXLf

Cisco
Cisco Small Business RV110W, RV130, RV130W, and RV215W Routers Management Interface Command Injection Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-command-inject-LBdQ2KRN

Cisco
Cisco Connected Mobile Experiences Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cmxpe-75Asy9k

【4】複数のJuniper製品に脆弱性

情報源
CISA Current Activity
Juniper Networks Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/01/14/juniper-networks-releases-security-updates-multiple-products

概要
複数のJuniper製品には、脆弱性があります。結果として、遠隔の第三者が
サービス運用妨害(DoS)攻撃を行ったりするなどの可能性があります。

対象となる製品は、多岐に渡ります。詳細は、Juniperが提供する情報を参照
してください。

関連文書 (英語)
Juniper Networks
Security Advisories
https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES

【5】複数のSAP製品に脆弱性

情報源
CISA Current Activity
SAP Releases January 2021 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/01/12/sap-releases-january-2021-security-updates

概要
複数のSAP製品には、脆弱性があります。結果として、遠隔の第三者がSQLイン
ジェクション攻撃を実施するなどの可能性があります。

対象となる製品は、多岐に渡ります。詳細はSAPが提供するアドバイザリ情報
を参照してください。

この問題は、該当する製品を SAPが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、SAPが提供する情報を参照してください。

関連文書 (英語)
SAP
SAP Security Patch Day - January 2021
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=564760476

【6】Apache Tomcatに情報漏えいの脆弱性

情報源
CISA Current Activity
Apache Releases Security Advisory for Tomcat
https://us-cert.cisa.gov/ncas/current-activity/2021/01/15/apache-releases-security-advisory-tomcat

概要
Apache Tomcatには、情報漏えいの脆弱性があります。結果としてJSPのソース
コードが漏えいするなどの可能性があります。

対象となる製品は以下のとおりです。

- Apache Tomcat 10.0.0-M1から10.0.0-M9
- Apache Tomcat 9.0.0.M1から9.0.39
- Apache Tomcat 8.5.0から8.5.59
- Apache Tomcat 7.0.0から7.0.106

この問題は、Apache Tomcatを開発者が提供する修正済みのバージョンに更新
することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#96136392
Apache Tomcat における Java API の実装不備に起因する情報漏えいの脆弱性
https://jvn.jp/vu/JVNVU96136392/

JPCERT/CC 注意喚起
Apache Tomcatの脆弱性(CVE-2021-24122)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210002.html

関連文書 (英語)
Apache Software Foundation
CVE-2021-24122 Apache Tomcat Information Disclosure
https://lists.apache.org/thread.html/r1595889b083e05986f42b944dc43060d6b083022260b6ea64d2cec52%40%3Cannounce.tomcat.apache.org%3E

Apache Software Foundation
Fixed in Apache Tomcat 10.0.0-M10
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M10

Apache Software Foundation
Fixed in Apache Tomcat 9.0.40
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.40

Apache Software Foundation
Fixed in Apache Tomcat 8.5.60
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.60

Apache Software Foundation
Fixed in Apache Tomcat 7.0.107
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.107

【7】Mozilla Thunderbirdに解放済みメモリ使用(use-after-free)の脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Update for Thunderbird
https://us-cert.cisa.gov/ncas/current-activity/2021/01/12/mozilla-releases-security-update-thunderbird

概要
Mozilla Thunderbirdには、解放済みメモリ使用(use-after-free)の脆弱性
があります。結果として、第三者が任意のコードを実行するなどの可能性があ
ります。

対象となるバージョンは次のとおりです。

- Mozilla Thunderbird 78.6.1より前のバージョン

この問題は、Mozilla ThunderbirdをMozillaが提供する修正済みのバージョン
に更新することで解決します。詳細は、Mozillaが提供する情報を参照してく
ださい。

関連文書 (英語)
Mozilla
Mozilla Foundation Security Advisory 2021-02
https://www.mozilla.org/en-US/security/advisories/mfsa2021-02/

【8】SKYSEA Client ViewにDLL読み込みに関する脆弱性

情報源
Japan Vulnerability Notes JVN#69635538
SKYSEA Client View のインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN69635538/

概要
Sky株式会社が提供するSKYSEA Client Viewには、DLL読み込みに関する脆弱性
があります。結果として、第三者がインストーラを実行している権限で任意の
コードを実行する可能性があります。

対象となるバージョンは次のとおりです。

- SKYSEA Client View Ver.1.020.05bから16.001.01gまで

この問題は最新のインストーラを使用することで解決します。詳細はSky株式
会社が提供する情報を参照してください。

関連文書 (日本語)
Sky株式会社
【重要】DLLプリロードの脆弱性に関する注意喚起(CVE-2021-20616)
https://www.skyseaclientview.net/news/210112_01/

【9】acmailerに複数の脆弱性

情報源
Japan Vulnerability Notes JVN#35906450
acmailer における複数の脆弱性
https://jvn.jp/jp/JVN35906450/

概要
株式会社シーズが提供するacmailerには、複数の脆弱性があります。結果とし
て第三者が管理者権限を取得し、サーバ上の機微な情報を窃取するなどの可能
性があります。

対象となる製品は以下のとおりです。

- acmailer ver. 4.0.2およびそれ以前
- acmailer DB ver. 1.1.4およびそれ以前

この問題は、該当する製品を株式会社シーズが提供する修正済みのバージョン
に更新することで解決します。詳細は、株式会社シーズが提供する情報を参照
してください。

関連文書 (日本語)
株式会社シーズ
acmailerおよびacmailer DBの脆弱性につきまして
https://www.acmailer.jp/info/de.cgi?id=98

株式会社シーズ
acmailerおよびacmailer DBの脆弱性につきまして(2)
https://www.acmailer.jp/info/de.cgi?id=101

【10】ウイルスバスタービジネスセキュリティシリーズに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#99904867
ウイルスバスタービジネスセキュリティシリーズにおける複数の脆弱性
https://jvn.jp/vu/JVNVU99904867/

概要
ウイルスバスタービジネスセキュリティシリーズには、複数の脆弱性がありま
す。結果として遠隔の第三者が認証を回避し、管理サーバ上の任意のファイル
を変更や削除するなどの可能性があります。

対象となる製品は以下のとおりです。

- ウイルスバスタービジネスセキュリティ 9.5および10.0SP1
- ウイルスバスタービジネスセキュリティサービス 6.7

この問題は、該当する製品をトレンドマイクロ株式会社が提供するパッチを適
用する、または最新版にアップグレードすることで解決します。なお、ウイル
スバスタービジネスセキュリティサービスは2020年8月15日のメンテナンスで
修正されています。詳細は開発者のサイトを確認してください。


関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスタービジネスセキュリティとウイルスバスタービジネスセキュリティサービスで 確認された複数の脆弱性について(2020年11月)
https://success.trendmicro.com/jp/solution/000281958

【11】Apex One およびウイルスバスター コーポレートエディションに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#92683420
Apex One およびウイルスバスター コーポレートエディションにおける複数の脆弱性
https://jvn.jp/vu/JVNVU92683420/

概要
Apex Oneおよびウイルスバスター コーポレートエディションには、複数の脆
弱性があります。結果として管理者権限を持たない第三者が管理サーバ上で任
意のコードを実行するなどの可能性があります。

対象となる製品は以下のとおりです。

- Apex One 2019 CP8422(Build 8400)より前のバージョン
- Apex One SaaS
- ウイルスバスター コーポレートエディション XG SP1 CP 5702より前のバージョン

この問題は、該当する製品を開発者が提供するパッチを適用することで解決し
ます。なお、Apex One SaaSは2020年8月Updateで修正されています。詳細は開
発者のサイトを確認してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ:Trend Micro Apex Oneとウイルスバスターコーポレートエディションで 確認された複数の脆弱性について(2020年11月)
https://success.trendmicro.com/jp/solution/000273338


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○アドビはFlash PlayerにおけるFlashコンテンツの実行をブロックしました

アドビは2020年12月31日でFlash Playerのサポートを終了したため、2021年1
月12日以降、Flash PlayerにおけるFlashコンテンツの実行をブロックしまし
た。アドビはすべてのユーザーにFlash Playerを直ちにアンインストールする
ことを推奨しています。

参考文献 (日本語)
アドビ
Adobe Flash Playerサポート終了情報ページ
https://www.adobe.com/jp/products/flashplayer/end-of-life.html

投稿時刻 13:50 セキュリティ | | コメント (0)

2021年1月14日 (木)

■01/03(日)~01/09(土) のセキュリティ関連情報

目 次

【1】Google Chromeに複数の脆弱性
【2】複数のMozilla製品に解放済みメモリ使用(Use-after-free)の脆弱性
【3】複数のZyxel製品に認証情報がハードコードされている脆弱性
【4】PHPに入力値検証不備の脆弱性
【5】GitLabに複数の脆弱性
【6】IPMI over LANによるRMCP接続を行う日本電気製の複数製品に認証不備の脆弱性
【7】UNIVERGE SV9500/SV8500シリーズに複数の脆弱性
【8】InterScan Messaging Securityシリーズに複数の脆弱性
【今週のひとくちメモ】NISCが「緊急事態宣言を踏まえたテレワーク実施にかかる注意喚起」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr210201.html
https://www.jpcert.or.jp/wr/2021/wr210201.xml
============================================================================


【1】Google Chromeに複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/01/07/google-releases-security-updates-chrome

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 87.0.4280.141 より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/01/stable-channel-update-for-desktop.html

【2】複数のMozilla製品に解放済みメモリ使用(Use-after-free)の脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox, Firefox for Android, and Firefox ESR
https://us-cert.cisa.gov/ncas/current-activity/2021/01/07/mozilla-releases-security-updates-firefox-firefox-android-and

概要
複数のMozilla製品には、解放済みメモリ使用(Use-after-free)の脆弱性が
あります。結果として、第三者が任意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 84.0.2 より前のバージョン
- Mozilla Firefox ESR 78.6.1 より前のバージョン
- Mozilla Firefox for Android 84.1.3 より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 84.0.2, Firefox for Android 84.1.3, and Firefox ESR 78.6.1
https://www.mozilla.org/en-US/security/advisories/mfsa2021-01/

【3】複数のZyxel製品に認証情報がハードコードされている脆弱性

情報源
CISA Current Activity
MS-ISAC Releases Cybersecurity Advisory on Zyxel Firewalls and AP Controllers
https://us-cert.cisa.gov/ncas/current-activity/2021/01/08/ms-isac-releases-cybersecurity-advisory-zyxel-firewalls-and-ap

概要
複数のZyxel製品には、認証情報がハードコードされている脆弱性があります。
結果として、遠隔の第三者が、管理者権限でファイアウォールの設定を変更し
たり、トラフィックを傍受したりするなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Zyxel Firewall ATP、USG、USG FLEX、VPN バージョン 4.60
- Zyxel AP Controllers NXC2500、NXC5500 バージョン 6.10

この問題は、該当する製品をZyxelが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Zyxelが提供する情報を参照してください。

関連文書 (英語)
Center for Internet Security
A vulnerability in Zyxel Firewall and AP Controllers Could Allow for Administrative Access
https://www.cisecurity.org/advisory/a-vulnerability-in-zyxel-firewall-and-ap-controllers-could-allow-for-administrative-access_2021-001/

Zyxel
Zyxel security advisory for hardcoded credential vulnerability
https://www.zyxel.com/support/CVE-2020-29583.shtml

【4】PHPに入力値検証不備の脆弱性

情報源
The PHP Group
PHP 8.0.1 Released!
https://www.php.net/archive/2021.php#2021-01-07-3

The PHP Group
PHP 7.4.14 Released!
https://www.php.net/archive/2021.php#2021-01-07-1

The PHP Group
PHP 7.3.26 Released!
https://www.php.net/archive/2021.php#2021-01-07-2

概要
PHPには、入力値検証不備の脆弱性があります。結果として、値がURL形式であ
るか確認する「FILTER_VALIDATE_URL」関数が、無効なuserinfoを持つURLを受
け入れる可能性があります。

対象となるバージョンは次のとおりです。

- PHP 8.0.1 より前のバージョン
- PHP 7.4.14 より前のバージョン
- PHP 7.3.26 より前のバージョン

この問題は、PHPを開発者や配布元が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ
さい。

関連文書 (英語)
The PHP Group
PHP 8 ChangeLog Version 8.0.1
https://www.php.net/ChangeLog-8.php#8.0.1

The PHP Group
PHP 7 ChangeLog Version 7.4.14
https://www.php.net/ChangeLog-7.php#7.4.14

The PHP Group
PHP 7 ChangeLog Version 7.3.26
https://www.php.net/ChangeLog-7.php#7.3.26

【5】GitLabに複数の脆弱性

情報源
GitLab
GitLab Security Release: 13.7.2, 13.6.4, and 13.5.6
https://about.gitlab.com/releases/2021/01/07/security-release-gitlab-13-7-2-released/

概要
GitLabには、複数の脆弱性があります。結果として、遠隔の第三者がサービス
運用妨害(DoS)攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- GitLab Community および Enterprise Edition 13.7.2 より前の 13.7 系バージョン
- GitLab Community および Enterprise Edition 13.6.4 より前の 13.6 系バージョン
- GitLab Community および Enterprise Edition 13.5.6 より前の 13.5 系バージョン

なお、GitLabによると、上記に記載されていないバージョンも影響を受けると
のことです。詳細はGitLabが提供する情報を参照してください。

この問題は、該当する製品をGitLabが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、GitLabが提供する情報を参照してください。

【6】IPMI over LANによるRMCP接続を行う日本電気製の複数製品に認証不備の脆弱性

情報源
Japan Vulnerability Notes JVN#38752718
IPMI over LAN による RMCP 接続を行う日本電気製の複数製品に認証不備の脆弱性
https://jvn.jp/jp/JVN38752718/

概要
日本電気製の複数の製品には、IPMI over LANにおいてRMCP接続を使用してBMC
にアクセスする際、不正にセッションを確立することが可能な認証不備の脆弱
性があります。結果として、遠隔の第三者が、当該製品にログインすることで
機器の監視情報を窃取したり、機器を再起動したりするなどの可能性がありま
す。

対象となる製品およびバージョンは次のとおりです。

- Baseboard Management Controller (BMC) ファームウェア Rev1.09 およびそれ以前が適用された以下の製品
- Express5800/T110j
- Express5800/T110j-S
- Express5800/T110j (2nd-Gen)
- Express5800/T110j-S (2nd-Gen)
- Express5800/GT110j
- iStorage NS100Ti

本脆弱性の影響を回避するために、当該製品でのIPMI over LANの使用を停止
してください。なお、当該製品でIPMI over LANを使用する必要がある場合は、
該当する製品に次の回避策を適用することで脆弱性の影響を軽減することが可
能です。

- 本脆弱性を修正したBMCファームウェア Rev1.10以降を適用した上で、ファイアウォールなどで保護された安全なイントラネット内のみで製品を使用し、BMCをインターネットに接続しない

詳細は、日本電気株式会社が提供する情報を参照してください。

関連文書 (日本語)
日本電気株式会社
IPMI over LAN を使用した RMCP 接続における認証不備の脆弱性
https://jpn.nec.com/security-info/secinfo/nv21-002.html

日本電気株式会社
Express5800/T110j, T110j (2nd-Gen), T110j-S, T110j-S (2nd-Gen), GT110j、iStorage NS100Ti, NS100Tj BMCファームウェアアップデートモジュール
https://www.support.nec.co.jp/View.aspx?id=9010108754

【7】UNIVERGE SV9500/SV8500シリーズに複数の脆弱性

情報源
Japan Vulnerability Notes JVN#38784555
UNIVERGE SV9500/SV8500 シリーズにおける複数の脆弱性
https://jvn.jp/jp/JVN38784555/

概要
NECプラットフォームズ株式会社が提供するUNIVERGE SV9500シリーズおよび
UNIVERGE SV8500シリーズには、複数の脆弱性があります。結果として、当該
製品へアクセス可能な第三者が、任意のコマンドを実行したり、サービス運用
妨害(DoS)攻撃を行ったりするなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- UNIVERGE SV9500シリーズ V1 から V7 までのバージョン
- UNIVERGE SV8500シリーズ S6 から S8 までのバージョン

この問題は、該当する製品をNECプラットフォームズ株式会社が提供する修正
済みのバージョンに更新することで解決します。詳細は、NECプラットフォー
ムズ株式会社が提供する情報を参照してください。

関連文書 (日本語)
NECプラットフォームズ株式会社
脆弱性について:UNIVERGE SV9500/SV8500シリーズ
https://www.necplatforms.co.jp/product/keytelphone/info/210104.html

【8】InterScan Messaging Securityシリーズに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#98351146
トレンドマイクロ製 InterScan Web Security シリーズの管理画面用サービスにおける複数の脆弱性
https://jvn.jp/vu/JVNVU98351146/

概要
トレンドマイクロ株式会社が提供するInterScan Web Securityシリーズの管理
画面用サービスには、複数の脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- InterScan Web Security Virtual Appliance (IWSVA) 6.5
- InterScan Web Security Suite (IWSS) 6.5 Linux 版

この問題は、該当する製品をトレンドマイクロ株式会社が提供するパッチを適
用することで解決します。パッチが適用できない場合には、回避策を適用する
ことで脆弱性の影響を軽減することが可能です。詳細は、トレンドマイクロ株
式会社が提供する情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ:InterScan Web Securityシリーズにおける管理画面サービスの複数の脆弱性について
https://success.trendmicro.com/jp/solution/000283057


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○NISCが「緊急事態宣言を踏まえたテレワーク実施にかかる注意喚起」を公開

2021年1月8日、内閣サイバーセキュリティセンター(NISC)は、1月7日に1都
3県(東京都、千葉県、埼玉県、神奈川県)を対象として緊急事態宣言が発出
されたことを受け、「緊急事態宣言(2021年1月7日)を踏まえたテレワーク実施
にかかる注意喚起」を公開しました。今回の緊急事態宣言では、感染拡大防止
対策として、出勤者数の7割削減を目指すとし、テレワークの実施が推奨され
ています。本注意喚起では、テレワーク実施率の高まりに伴い、テレワークに
関連したサイバー攻撃やサポート詐欺などのリスクが高まることから、セキュ
リティ対策を強く意識してテレワークを行うよう呼びかけています。また、こ
れまでに発出したテレワークに関連するセキュリティ上の留意点に関する注意
喚起がまとめて掲載されていますので、それらを参考に再点検を行うことを推
奨します。

参考文献 (日本語)
内閣サイバーセキュリティセンター(NISC)
緊急事態宣言(2021年1月7日)を踏まえたテレワーク実施にかかる注意喚起
https://www.nisc.go.jp/press/pdf/20210108_caution_press.pdf

投稿時刻 13:59 セキュリティ | | コメント (0)

2021年1月 6日 (水)

■12/20(日)~01/02(土) のセキュリティ関連情報

目 次

【1】Veritas Backup Execに権限昇格の脆弱性
【2】SolarWinds Orion APIに認証回避の脆弱性
【今週のひとくちメモ】2020年9月から12月を振り返って

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr210101.html
https://www.jpcert.or.jp/wr/2021/wr210101.xml
============================================================================


【1】Veritas Backup Execに権限昇格の脆弱性

情報源
CERT/CC Vulnerability Note VU#429301
Veritas Backup Exec is vulnerable to privilege escalation due to OPENSSLDIR location
https://www.kb.cert.org/vuls/id/429301

概要
Veritas社が提供するVeritas Backup Execには、権限昇格の脆弱性が存在しま
す。結果として、第三者がSYSTEM権限で任意のコードを実行する可能性があり
ます。

対象となるバージョンは次のとおりです。

- Veritas BackupExec バージョン 21.x
- Veritas BackupExec バージョン 20.x
- Veritas BackupExec バージョン 16.x

この問題は、該当するバージョンをVeritas社が提供する修正済みのバージョン
に更新することで解決します。詳細は、Veritas社が提供する情報を参照して
ください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#93089606
Veritas 製 Veritas Backup Exec に権限昇格の脆弱性
https://jvn.jp/vu/JVNVU93089606/

関連文書 (英語)
Veritas
Backup Exec OpenSSL advisory
https://www.veritas.com/content/support/en_US/security/VTS20-010

【2】SolarWinds Orion APIに認証回避の脆弱性

情報源
CERT/CC Vulnerability Note VU#843464
SolarWinds Orion API authentication bypass allows remote command execution
https://www.kb.cert.org/vuls/id/843464

概要
SolarWinds社が提供するSolarWinds Orion Platformには、認証回避の脆弱性
が存在します。結果として、第三者が任意のコードを実行する可能性がありま
す。

対象となるバージョンは次のとおりです。

- 2019.4 HF 6 より前のバージョン
- 2020.2.1 HF 2 より前のバージョン
- 2019.2 SUPERNOVA Patch より前のバージョン
- 2018.4 SUPERNOVA Patch より前のバージョン
- 2018.2 SUPERNOVA Patch より前のバージョン

この問題は、該当するバージョンをSolarWinds社が提供する修正済みのバージョン
に更新することで解決します。詳細は、SolarWinds社が提供する情報を参照し
てください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#94395061
SolarWinds Orion API に認証回避の脆弱性
https://jvn.jp/vu/JVNVU94395061/

関連文書 (英語)
SolarWinds
SolarWinds Security Advisory
https://www.solarwinds.com/securityadvisory

SolarWinds
Security Advisory FAQ
https://www.solarwinds.com/securityadvisory/faq


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○2020年9月から12月を振り返って

2020年12月23日、JPCERT/CCは「2020年9月から12月を振り返って」を公開しま
した。2020年9月から12月にかけて、脆弱性を放置したままのSSL VPN製品が稼
働していることに起因する問題をはじめとして複数の注意喚起を公表していま
す。また、利用者数の多い複数の製品について2020年内のサポート終了が告知
されています。自組織で利用している製品の脆弱性やサポート終了への対応状
況について今一度ご確認ください。

参考文献 (日本語)
JPCERT/CC CyberNewsFlash
2020年9月から12月を振り返って
https://www.jpcert.or.jp/newsflash/2020122301.html

投稿時刻 11:42 セキュリティ | | コメント (0)

2020年12月23日 (水)

■12/13(日)~12/19(土) のセキュリティ関連情報

目 次

【1】複数の Mozilla 製品に脆弱性
【2】複数の Apple 製品に脆弱性
【3】GROWI に複数の脆弱性
【4】日本電気株式会社製ディスクアレイ管理ソフトウェアにサーバ証明書の検証不備の脆弱性
【5】複数のセイコーエプソン製品で作成された自己解凍形式ファイルに DLL 読み込みの脆弱性
【6】経済産業省が「サイバーセキュリティの取組の強化に関する注意喚起」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr205001.html
https://www.jpcert.or.jp/wr/2020/wr205001.xml
============================================================================


【1】複数の Mozilla 製品に脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird
https://us-cert.cisa.gov/ncas/current-activity/2020/12/16/mozilla-releases-security-updates-firefox-firefox-esr-and

概要
複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が
製品をクラッシュするなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 84 より前のバージョン
- Mozilla Firefox ESR 78.6 より前のバージョン
- Mozilla Thunderbird 78.6 より前のバージョン

この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更
新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ
い。

関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 84
https://www.mozilla.org/en-US/security/advisories/mfsa2020-54/

Mozilla
Security Vulnerabilities fixed in Firefox ESR 78.6
https://www.mozilla.org/en-US/security/advisories/mfsa2020-55/

Mozilla
Security Vulnerabilities fixed in Thunderbird 78.6
https://www.mozilla.org/en-US/security/advisories/mfsa2020-56/

【2】複数の Apple 製品に脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/12/15/apple-releases-security-updates-multiple-products

Japan Vulnerability Notes JVNVU#95288122
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU95288122/

概要
複数の Apple 製品には、脆弱性があります。結果として、第三者が任意の
コードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- iOS 14.3 より前のバージョン
- iPadOS 14.3 より前のバージョン
- tvOS 14.3 より前のバージョン
- watchOS 7.2 より前のバージョン
- Safari 14.0.2 より前のバージョン
- macOS Big Sur 11.1 より前のバージョン
- macOS Catalina (Security Update 2020-001 未適用)
- macOS Mojave (Security Update 2020-007 未適用)
- macOS Server 5.11 より前のバージョン

この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新
することで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (日本語)
Apple
iOS 14.3 および iPadOS 14.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212003

Apple
iOS 12.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212004

Apple
tvOS 14.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212005

Apple
watchOS 7.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212009

Apple
watchOS 6.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212006

Apple
Safari 14.0.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212007

Apple
macOS Big Sur 11.1、セキュリティアップデート 2020-001 Catalina、セキュリティアップデート 2020-007 Mojave のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212011

Apple
macOS Server 5.11 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211932

【3】GROWI に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#94169589
GROWI における複数の脆弱性
https://jvn.jp/jp/JVN94169589/

概要
株式会社WESEEK が提供する GROWI には、複数の脆弱性があります。結果と
して、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行うなどの可能性があ
ります。

対象となる製品バージョンは次のとおりです。

- GROWI v4.2.3 よりも前のバージョン (v4.2系)
- GROWI v4.1.12 よりも前のバージョン (v4.1系)
- GROWI v3系およびそれ以前のバージョン

この問題は、GROWI を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

【4】日本電気株式会社製ディスクアレイ管理ソフトウェアにサーバ証明書の検証不備の脆弱性

情報源
Japan Vulnerability Notes JVN#10100024
日本電気株式会社製ディスクアレイ管理ソフトウェアにサーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN10100024/

概要
日本電気株式会社が提供するディスクアレイ管理ソフトウェアには、サーバ証
明書の検証不備の脆弱性があります。結果として、第三者が通信内容を窃取し
たり、改ざんしたりする可能性があります。

対象となる製品およびバージョンは次のとおりです。

- WebSAM iStorageManager および iStorageManager Express で動作する次の製品
- iSM クライアント V5.1 から V12.1 より前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
日本電気株式会社
iStorageManagerにおけるメッセージ改ざんの脆弱性
https://jpn.nec.com/security-info/secinfo/nv20-015.html

【5】複数のセイコーエプソン製品で作成された自己解凍形式ファイルに DLL 読み込みの脆弱性

情報源
Japan Vulnerability Notes JVN#94244575
複数のセイコーエプソン製品で作成された自己解凍形式ファイルにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN94244575/

概要
セイコーエプソン株式会社が提供する複数の製品で作成された自己解凍形式ファ
イルには、DLL 読み込みに関する脆弱性があります。結果として、第三者が当該
ファイルを実行している権限で、任意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- 下記バージョンの製品で作成された自己解凍形式ファイル
- EpsonNet SetupManager バージョン 2.2.14 およびそれ以前
- Offirio SynergyWare PrintDirector バージョン 1.6x/1.6y およびそれ以前

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
セイコーエプソン株式会社
エプソン製ソフトウェアで作成した自己解凍形式ファイルのDLL読み込みに関する脆弱性について
https://www.epson.jp/support/misc_t/201217_oshirase.htm

【6】経済産業省が「サイバーセキュリティの取組の強化に関する注意喚起」を公開

情報源
経済産業省
最近のサイバー攻撃の状況を踏まえ、経営者の皆様へサイバーセキュリティの取組の強化に関する注意喚起を行います
https://www.meti.go.jp/press/2020/12/20201218008/20201218008.html

概要
2020年12月18日、経済産業省は、サイバーセキュリティの取組の強化に関する
注意喚起を公開しました。サイバー攻撃の起点の拡大や烈度の増大が続いてい
ることを受け、企業の経営者の方々に対し、サイバーセキュリティの取組の一
層の強化を促すため、最近の攻撃の特徴と目的を明らかにし、企業やその関係
機関等が対応する際に注意すべき点を整理しています。

投稿時刻 10:03 セキュリティ | | コメント (0)

2020年12月16日 (水)

■12/06(日)~12/12(土) のセキュリティ関連情報

 目 次

【1】複数の Microsoft 製品に脆弱性
【2】複数の Adobe 製品に脆弱性
【3】Apache Struts 2 に任意のコードが実行可能な脆弱性
【4】OpenSSL に NULL ポインタ参照の脆弱性
【5】複数の SAP 製品に脆弱性
【6】Cisco Jabber に複数の脆弱性
【7】三菱電機製 MELSEC iQ-F シリーズにサービス運用妨害 (DoS) の脆弱性
【8】NEC Aterm SA3500G に複数の脆弱性
【9】Apache Cordova Plugin camera に情報漏えいの脆弱性
【10】トレンドマイクロ株式会社製 ServerProtect for Linux にヒープベースのバッファオーバーフローの脆弱性
【今週のひとくちメモ】JPCERT/CC Eyes 「Quasar Familyによる攻撃活動」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr204901.html
https://www.jpcert.or.jp/wr/2020/wr204901.xml
============================================================================


【1】複数の Microsoft 製品に脆弱性

情報源
CISA Current Activity
Microsoft Releases December 2020 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/12/08/microsoft-releases-december-2020-security-updates

概要
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Microsoft Windows
- Microsoft Edge (EdgeHTML ベース)
- ChakraCore
- Microsoft Office、Microsoft Office Services および Web Apps
- Microsoft Windows Codecs Library
- Microsoft Exchange Server
- Azure DevOps
- Microsoft Dynamics
- Visual Studio
- Azure SDK
- Azure Sphere

この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
とで解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)
マイクロソフト株式会社
2020 年 12 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2020-Dec

JPCERT/CC 注意喚起
2020年12月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200047.html

【2】複数の Adobe 製品に脆弱性

情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/12/08/adobe-releases-security-updates-multiple-products

概要
複数の Adobe 製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Acrobat DC
- Acrobat 2017
- Acrobat 2020
- Acrobat Reader DC
- Acrobat Reader 2017
- Acrobat Reader 2020
- Adobe Experience Manager
- Adobe Experience Manager Forms アドオン
- Adobe Lightroom Classic
- Adobe Prelude

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
Adobe Acrobat および Reader の脆弱性 (APSB20-75) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200049.html

JPCERT/CC CyberNewsFlash
複数の Adobe 製品のアップデートや予告について
https://www.jpcert.or.jp/newsflash/2020120901.html

Adobe
Adobe Prelude に関するセキュリティアップデート公開 | APSB20-70
https://helpx.adobe.com/jp/security/products/prelude/apsb20-70.html

Adobe
Adobe Experience Manager に関するセキュリティアップデート公開 | APSB20-72
https://helpx.adobe.com/jp/security/products/experience-manager/apsb20-72.html

Adobe
Adobe Lightroom に関するセキュリティアップデート公開 | APSB20-74
https://helpx.adobe.com/jp/security/products/lightroom/apsb20-74.html

Adobe
Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB20-75
https://helpx.adobe.com/jp/security/products/acrobat/apsb20-75.html

【3】Apache Struts 2 に任意のコードが実行可能な脆弱性

情報源
CISA Current Activity
Apache Releases Security Update for Apache Struts 2
https://us-cert.cisa.gov/ncas/current-activity/2020/12/08/apache-releases-security-update-apache-struts-2

概要
Apache Software Foundation が提供する Apache Struts 2 には、不適切な入
力確認に起因する任意のコードが実行可能な脆弱性があります。結果として、
遠隔の第三者が、任意のコードを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Apache Struts 2.0.0 から 2.5.25 までのバージョン

この問題は、Apache Struts 2 を Apache Software Foundation が提供する修
正済みのバージョンに更新することで解決します。詳細は Apache Software
Foundation が提供する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVN#43969166
Apache Struts 2 において任意のコードが実行可能な脆弱性 (S2-061)
https://jvn.jp/jp/JVN43969166/

JPCERT/CC 注意喚起
Apache Struts 2 の脆弱性 (S2-061) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200046.html

関連文書 (英語)
The Apache Software Foundation
S2-061
https://cwiki.apache.org/confluence/display/WW/S2-061

【4】OpenSSL に NULL ポインタ参照の脆弱性

情報源
CISA Current Activity
OpenSSL Releases Security Update
https://us-cert.cisa.gov/ncas/current-activity/2020/12/08/openssl-releases-security-update

概要
OpenSSL Project が提供する OpenSSL には、NULL ポインタ参照の脆弱性があ
ります。結果として、遠隔の第三者が、OpenSSL を実行しているサーバーおよ
びクライアントアプリケーションにおいて、サービス運用妨害 (DoS) 攻撃を
行う可能性があります。

対象となるバージョンは次のとおりです。

- OpenSSL 1.1.1 から 1.1.1h までのバージョン
- OpenSSL 1.0.2 から 1.0.2w までのバージョン

この問題は、OpenSSL を OpenSSL Project が提供する修正済みのバージョン
に更新することで解決します。詳細は OpenSSL Project が提供する情報を参
照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#91053554
OpenSSL における NULL ポインタ参照の脆弱性
https://jvn.jp/vu/JVNVU91053554/

JPCERT/CC 注意喚起
OpenSSL の脆弱性 (CVE-2020-1971) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200048.html

関連文書 (英語)
OpenSSL Project
OpenSSL Security Advisory [08 December 2020]
https://www.openssl.org/news/secadv/20201208.txt

【5】複数の SAP 製品に脆弱性

情報源
CISA Current Activity
SAP Releases December 2020 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/12/08/sap-releases-december-2020-security-updates

概要
複数の SAP 製品には、脆弱性があります。結果として、遠隔の第三者が管理
者権限を取得し、システムを停止するなどの可能性があります。

対象となる製品は、多岐に渡ります。詳細は SAP が提供するアドバイザリ情
報を参照してください。

この問題は、該当する製品を SAP が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、SAP が提供する情報を参照してください。

関連文書 (英語)
SAP
SAP Security Patch Day December 2020
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=564757079

【6】Cisco Jabber に複数の脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Jabber Desktop and Mobile Client Software
https://us-cert.cisa.gov/ncas/current-activity/2020/12/11/cisco-releases-security-updates-jabber-desktop-and-mobile-client

概要
Cisco Jabber には、複数の脆弱性があります。結果として、遠隔の第三者が
システム上で任意のプログラムを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Cisco Jabber for Windows
- Cisco Jabber for MacOS
- Cisco Jabber for Android and iOS

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Jabber Desktop and Mobile Client Software Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-jabber-ZktzjpgO

【7】三菱電機製 MELSEC iQ-F シリーズにサービス運用妨害 (DoS) の脆弱性

情報源
Japan Vulnerability Notes JVNVU#95638588
三菱電機製 MELSEC iQ-F シリーズにおけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU95638588/

概要
三菱電機株式会社が提供する MELSEC iQ-F シリーズ FX5U(C) CPU ユニットに
は、サービス運用妨害 (DoS) の脆弱性があります。 結果として、遠隔の第三
者が、プログラム実行および通信をサービス運用妨害 (DoS) 状態にする可能
性があります。

対象となるバージョンは次のとおりです。

- FX5U(C) CPU ユニット ファームウェアバージョン 1.060 およびそれ以前

この問題は、FX5U(C) CPU ユニット を三菱電機株式会社が提供する修正済み
のバージョンに更新することで解決します。詳細は、三菱電機株式会社が提供
する情報を参照してください。

関連文書 (日本語)
三菱電機株式会社
MELSEC iQ-FシリーズCPUユニット のEthernetポートにおけるサービス拒否(DoS)の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2020-018.pdf

関連文書 (英語)
ICS Advisory (ICSA-20-345-01)
Mitsubishi Electric MELSEC iQ-F Series
https://us-cert.cisa.gov/ics/advisories/icsa-20-345-01

【8】NEC Aterm SA3500G に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#55917325
NEC Aterm SA3500G における複数の脆弱性
https://jvn.jp/jp/JVN55917325/

概要
日本電気株式会社が提供する Aterm SA3500G には、複数の脆弱性があります。
結果として、当該製品にアクセスが可能な第三者が、任意のコマンドを実行す
るなどの可能性があります。

対象となるバージョンは次のとおりです。

- Aterm SA3500G ファームウェア Ver3.5.9 およびそれ以前

この問題は、Aterm SA3500G を日本電気株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、日本電気株式会社が提供する情報を参
照してください。

関連文書 (日本語)
NECプラットフォームズ株式会社
Aterm SA3500Gにおける複数の脆弱性
https://www.necplatforms.co.jp/product/security_ap/info_20201211.html

【9】Apache Cordova Plugin camera に情報漏えいの脆弱性

情報源
Japan Vulnerability Notes JVN#59779918
Apache Cordova Plugin camera における情報漏えいの脆弱性
https://jvn.jp/jp/JVN59779918/

概要
Apache Cordova Project が提供する Apache Cordova Plugin camera には、
情報漏えいの脆弱性があります。外部ストレージを持っている Android デバ
イスで当該製品を利用している場合、外部ストレージに保存された画像データ
にアクセスされる可能性があります。

対象となるバージョンは次のとおりです。

- Apache Cordova Plugin camera 5.0.0 より前のバージョン

この問題は、Apache Cordova Plugin camera を Apache Cordova Project が
提供する修正済みのバージョンに更新することで解決します。詳細は、Apache
Cordova Project が提供する情報を参照してください。

関連文書 (英語)
Apache Cordova Project
Security Advisory CVE-2020-11990
https://cordova.apache.org/news/2020/11/30/cve-2020-11990.html

【10】トレンドマイクロ株式会社製 ServerProtect for Linux にヒープベースのバッファオーバーフローの脆弱性

情報源
Japan Vulnerability Notes JVNVU#97704455
トレンドマイクロ株式会社製 ServerProtect for Linux にヒープベースのバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU97704455/

概要
トレンドマイクロ株式会社が提供する ServerProtect for Linux には、ヒー
プベースのバッファオーバーフローの脆弱性があります。 結果として、高特
権コードを実行可能な第三者が、権限を昇格する可能性があります。

対象となるバージョンは次のとおりです。

- ServerProtect for Linux バージョン 3.0

この問題は、ServerProtect for Linux をトレンドマイクロ株式会社が提供す
る修正済みのバージョンに更新することで解決します。詳細は、トレンドマイ
クロ株式会社が提供する情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ:ServerProtect for Linuxのヒープベースバッファオーバーフロー特権昇格脆弱性(CVE-2020-28575)について
https://success.trendmicro.com/jp/solution/000281952


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CC Eyes 「Quasar Familyによる攻撃活動」を公開

2020年12月10日、JPCERT/CC は、公式ブログ JPCERT/CC Eyes にて「Quasar
Familyによる攻撃活動」を公開しました。Quasar はオープンソースの RAT(Remote
Administration Tool)で、多くの攻撃者に悪用されていることが報告されて
います。また、Quasar は、多くの派生があり、それらは Quasar Family と呼
ばれています。今回は Quasar および Quasar Family の詳細について紹介し
ています。


参考文献 (日本語)
JPCERT/CC
Quasar Familyによる攻撃活動
https://blogs.jpcert.or.jp/ja/2020/12/quasar-family.html

投稿時刻 10:09 セキュリティ | | コメント (0)

2020年12月 9日 (水)

■11/29(日)~12/05(土) のセキュリティ関連情報

目 次

【1】Google Chrome に複数の脆弱性
【2】Mozilla Thunderbird にスタックオーバフローの脆弱性
【3】Apache Tomcat に HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性
【4】CentOS Linux 6サポート終了について
【5】desknet's NEO にクロスサイトスクリプティングの脆弱性
【6】Apple iCloud for Windows に複数の脆弱性
【7】ファイル・データ転送アプライアンス FileZen のアップデートについて
【8】EC-CUBE に複数の脆弱性
【9】三菱電機製 GOT およびテンションコントローラにサービス運用妨害 (DoS) の脆弱性
【今週のひとくちメモ】JPCERT/CC 「QuasarRAT analysis tools and research report」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr204801.html
https://www.jpcert.or.jp/wr/2020/wr204801.xml
============================================================================


【1】Google Chrome に複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2020/12/04/google-releases-security-updates-chrome

概要
Google Chrome には、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 87.0.4280.88 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/12/stable-channel-update-for-desktop.html

【2】Mozilla Thunderbird にスタックオーバフローの脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Update for Thunderbird
https://us-cert.cisa.gov/ncas/current-activity/2020/12/02/mozilla-releases-security-update-thunderbird

概要
Mozilla Thunderbird には、スタックオーバフローの脆弱性があります。結果
として、第三者が影響を受けるシステムを制御する可能性があります。

対象となるバージョンは次のとおりです。

- Mozilla Thunderbird 78.5.1 より前のバージョン

この問題は、Mozilla Thunderbird を Mozilla が提供する修正済みのバージョン
に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく
ださい。

関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Thunderbird 78.5.1
https://www.mozilla.org/en-US/security/advisories/mfsa2020-53/

【3】Apache Tomcat に HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性

情報源
CISA Current Activity
Apache Releases Security Advisory for Apache Tomcat
https://us-cert.cisa.gov/ncas/current-activity/2020/12/04/apache-releases-security-advisory-apache-tomcat

概要
The Apache Software Foundation が提供する Apache Tomcat には、HTTP/2
リクエスト処理の不備に起因する情報漏えいの脆弱性があります。結果として、
他のリクエストにヘッダ値が引き継がれることにより情報漏えいが発生する可
能性があります。

対象となるバージョンは次のとおりです。

- Apache Tomcat 10.0.0-M1 から 10.0.0-M9 まで
- Apache Tomcat 9.0.0-M1 から 9.0.39 まで
- Apache Tomcat 8.5.0 から 8.5.59 まで

この問題は、Apache Tomcat を The Apache Software Foundation が提供する
修正済みのバージョンに更新することで解決します。詳細は Apache Software
Foundation が提供する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#94251682
Apache Tomcat における HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性
https://jvn.jp/vu/JVNVU94251682/

JPCERT/CC 注意喚起
Apache Tomcat の脆弱性 (CVE-2020-17527) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200045.html

関連文書 (英語)
The Apache Software Foundation
Fixed in Apache Tomcat 10.0.0-M10
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M10

The Apache Software Foundation
Fixed in Apache Tomcat 9.0.40
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.40

The Apache Software Foundation
Fixed in Apache Tomcat 8.5.60
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.60

【4】CentOS Linux 6サポート終了について

情報源
CentOS
CentOS Community Newsletter, December 2020 (#2012)
https://blog.centos.org/2020/12/centos-community-newsletter-december-2020-2012/

概要
2020年12月1日 (米国時間)、The CentOS Project から CentOS 6 Linux のサ
ポート終了について告知がありました。2020年11月30日をもって、当該製品の
サポートが終了します。サポート終了後はマルウエアへの感染や情報漏えいな
どの被害を受けやすくなります。当該製品を利用している場合、サポートが行
われているバージョンへの移行をお勧めします。


【5】desknet's NEO にクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#42199826
desknet's NEO におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN42199826/

概要
株式会社ネオジャパンが提供する desknet's NEO には、格納型のクロスサイ
トスクリプティングの脆弱性があります。遠隔の第三者が、当該製品にログイン
した状態のユーザのウェブブラウザ上で、任意のスクリプトを実行する可能性
があります。

対象となるバージョンは次のとおりです。

- desknet's NEO スモールライセンス V5.5 R1.5 およびそれ以前
- desknet's NEO エンタープライズライセンス V5.5 R1.5 およびそれ以前

この問題は、desknet's NEO を株式会社ネオジャパンが提供する修正済みのバージョン
に更新することで解決します。詳細は、株式会社ネオジャパンが提供する情報
を参照してください。

関連文書 (日本語)
desknet's NEO
desknet'sNEO 製品におけるセキュリティ上の問題(クロスサイト・スクリプティング)について
https://www.desknets.com/neo/support/mainte/9700/

【6】Apple iCloud for Windows に複数の脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates for iCloud for Windows
https://us-cert.cisa.gov/ncas/current-activity/2020/12/03/apple-releases-security-updates-icloud-windows

概要
Apple の iCloud for Windows には、複数の脆弱性があります。結果として、
第三者が任意のコードを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- iCloud for Windows 11.5 より前のバージョン

この問題は、iCloud for Windows を Apple が提供する修正済みのバージョン
に更新することで解決します。詳細は、Apple が提供する情報を参照してくだ
さい。

関連文書 (日本語)
Apple
Windows 用 iCloud 11.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211935

Japan Vulnerability Notes JVNVU#92370378
Apple iCloud for Windows における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU92370378/

【7】ファイル・データ転送アプライアンス FileZen のアップデートについて

情報源
株式会社ソリトンシステムズ
【重要】FileZen最新バージョンへのアップデートのお願い(V4.2.2以前)
https://www.soliton.co.jp/support/2020/004274.html

概要
2020年12月2日、株式会社ソリトンシステムズからファイル・データ転送アプ
ライアンス FileZen に対してアップデートを促す注意喚起が公開されました。
開発者は、FileZen を使用しているユーザーに対し、最新バージョンへの早急
なアップデートを呼びかけています。

対象となるバージョンは次のとおりです。

- FileZen V4.2.3 より前のバージョン

詳細は、株式会社ソリトンシステムズが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
ファイル・データ転送アプライアンス FileZen に関する注意喚起 (公開)
https://www.jpcert.or.jp/at/2020/at200044.html

【8】EC-CUBE に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#24457594
EC-CUBE における複数の脆弱性
https://jvn.jp/jp/JVN24457594/

概要
EC-CUBE には、複数の脆弱性があります。結果として、遠隔の第三者が、サー
ビス運用妨害 (DoS) 攻撃を行ったり、ユーザの意図しない操作を行ったりす
る可能性があります。

対象となるバージョンは次のとおりです。

- EC-CUBE 3.0.0 から 3.0.18 までのバージョン

この問題は、EC-CUBE を株式会社イーシーキューブが提供するパッチを適用す
ることで解決します。詳細は、株式会社イーシーキューブが提供する情報を参
照してください。

関連文書 (日本語)
株式会社イーシーキューブ
DoSの危険性(3.0系)
https://www.ec-cube.net/info/weakness/weakness.php?id=76

株式会社イーシーキューブ
クリックジャッキングの脆弱性(3.0系)
https://www.ec-cube.net/info/weakness/weakness.php?id=75

【9】三菱電機製 GOT およびテンションコントローラにサービス運用妨害 (DoS) の脆弱性

情報源
Japan Vulnerability Notes JVNVU#99277775
三菱電機製 GOT およびテンションコントローラにおけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU99277775/

概要
GOT2000 シリーズ GT21 モデルおよび GOT SIMPLE シリーズ GS21 モデル、テン
ションコントローラには、サービス運用妨害 (DoS) の脆弱性があります。結
果として、遠隔の第三者が、細工したパケットを送信することで、サービス運
用妨害 (DoS) 攻撃を行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

- GOT2000 シリーズ GT21 モデル GT2107-WTBD 全てのバージョン
- GOT2000 シリーズ GT21 モデル GT2107-WTSD 全てのバージョン
- GOT2000 シリーズ GT21 モデル GT2104-RTBD 全てのバージョン
- GOT2000 シリーズ GT21 モデル GT2104-PMBD 全てのバージョン
- GOT2000 シリーズ GT21 モデル GT2103-PMBD 全てのバージョン
- GOT SIMPLE シリーズ GS21 モデル GS2110-WTBD 全てのバージョン
- GOT SIMPLE シリーズ GS21 モデル GS2107-WTBD 全てのバージョン
- LE7-40GU-L 全てのバージョン

この問題は、該当する製品に次の回避策を適用することで脆弱性の影響を軽減
することが可能です。なお、開発者によると、本脆弱性に対応したバージョン
を近日中にリリースする予定とのことです。

- 当該製品への接続は、信頼できるネットワークやホストからのアクセスに制限する

詳細は、三菱電機株式会社が提供する情報を参照してください。

関連文書 (日本語)
三菱電機株式会社
GOT及びテンションコントローラのTCP/IPスタックにおけるサービス拒否(DoS)の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2020-017.pdf


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CC 「QuasarRAT analysis tools and research report」を公開

2020年12月2日 (米国時間)、JPCERT/CC は、GitHub にて 「QuasarRAT
analysis tools and research report」を公開しました。QuasarRAT はオープ
ンソースの RAT(Remote Administration Tool)で、多くの攻撃者に悪用され
ていることが報告されています。本サイトでは、QuasarRAT および派生ソフト
ウェアに関する解析レポートと解析に活用できるツールについて掲載していま
す。

参考文献 (日本語)
JPCERT/CC
QuasarRAT analysis tools and research report
https://github.com/JPCERTCC/QuasarRAT-Analysis

投稿時刻 10:06 セキュリティ | | コメント (0)

« | »