JPCERT コーディネーションセンター

Weekly Report 2021-03-17号

JPCERT-WR-2021-1101
JPCERT/CC
2021-03-17

<<< JPCERT/CC WEEKLY REPORT 2021-03-17 >>>

■03/07(日)〜03/13(土) のセキュリティ関連情報

目 次

【1】複数のマイクロソフト製品に脆弱性

【2】複数のF5 Networks製品に脆弱性

【3】複数のSAP製品に脆弱性

【4】複数のApple製品に脆弱性

【5】複数のアドビ製品に脆弱性

【6】MagicConnectクライアントプログラムのインストーラにDLL読み込みに関する脆弱性

【7】株式会社エム・システム技研製DL8に複数の脆弱性

【8】GROWIに複数の脆弱性

【今週のひとくちメモ】日本シーサート協議会が「FIRST CSIRT Services Framework v2.1 日本語版」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr211101.txt
https://www.jpcert.or.jp/wr/2021/wr211101.xml

【1】複数のマイクロソフト製品に脆弱性

情報源

CISA Current Activity
Microsoft Releases March 2021 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/03/10/microsoft-releases-march-2021-security-updates

概要

複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。

対象となる製品は、多岐に渡ります。詳細はマイクロソフトが提供するアドバ
イザリ情報を参照してください。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフトが提供する情報を参照してください。

関連文書 (日本語)

マイクロソフト株式会社
2021 年 3 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/releaseNote/2021-Mar

JPCERT/CC 注意喚起
2021年3月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2021/at210013.html

【2】複数のF5 Networks製品に脆弱性

情報源

CISA Current Activity
F5 Security Advisory for RCE Vulnerabilities in BIG-IP, BIG-IQ
https://us-cert.cisa.gov/ncas/current-activity/2021/03/10/f5-security-advisory-rce-vulnerabilities-big-ip-big-iq

概要

複数のF5 Networks製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコマンドを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

 - BIG-IP(LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO)
   - 16.0.0から16.0.1までのバージョン
   - 15.0.0から15.1.2までのバージョン
   - 14.1.0から14.1.3.1までのバージョン
   - 13.1.0から13.1.3.6までのバージョン
   - 12.1.0から12.1.5.2までのバージョン
   - 11.6.1から11.6.5.2までのバージョン
 - BIG-IP APM Clients
   - 7.2.1
   - 7.1.5から7.1.9までのバージョン
 - BIG-IQ Centralized Management
   - 7.1.0から7.1.0.2までのバージョン
   - 7.0.0から7.0.0.1までのバージョン
   - 6.0.0から6.1.0までのバージョン

この問題は、該当する製品をF5 Networksが提供する修正済みのバージョンに
更新することで解決します。詳細は、F5 Networksが提供する情報を参照して
ください。

関連文書 (英語)

F5 Networks
K02566623: Overview of F5 vulnerabilities (March 2021)
https://support.f5.com/csp/article/K02566623

【3】複数のSAP製品に脆弱性

情報源

CISA Current Activity
SAP Releases March 2021 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/03/09/sap-releases-march-2021-security-updates

概要

複数のSAP製品には、脆弱性があります。結果として、第三者が権限昇格する
などの可能性があります。

対象となる製品は、多岐に渡ります。詳細はSAPが提供するアドバイザリ情報
を参照してください。

この問題は、該当する製品をSAPが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、SAPが提供する情報を参照してください。

関連文書 (英語)

SAP
SAP Security Patch Day March 2021
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=571343107

【4】複数のApple製品に脆弱性

情報源

CISA Current Activity
Apple Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/03/09/apple-releases-security-updates

概要

複数のApple製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Safari 14.0.3より前のバージョン
- macOS Big Sur 11.2.3より前のバージョン
- watchOS 7.3.2より前のバージョン
- iOS 14.4.1より前のバージョン
- iPadOS 14.4.1より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC CyberNewsFlash
複数のApple製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021030901.html

関連文書 (英語)

Apple
About the security content of macOS Big Sur 11.2.3
https://support.apple.com/en-us/HT212220

Apple
About the security content of iOS 14.4.1 and iPadOS 14.4.1
https://support.apple.com/en-us/HT212221

Apple
About the security content of watchOS 7.3.2
https://support.apple.com/en-us/HT212222

Apple
About the security content of Safari 14.0.3
https://support.apple.com/en-us/HT212223

【5】複数のアドビ製品に脆弱性

情報源

CISA Current Activity
Adobe Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/03/09/adobe-releases-security-updates

概要

複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe Framemaker
- Adobe Photoshop 2020
- Adobe Photoshop 2021
- Adobe Creative Cloud Desktop Application
- Adobe Connect
- Adobe Animate

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021031001.html

関連文書 (英語)

アドビ
Security Updates Available for Adobe Framemaker | APSB21-14
https://helpx.adobe.com/security/products/framemaker/apsb21-14.html

アドビ
Security updates available for Adobe Photoshop | APSB21-17
https://helpx.adobe.com/security/products/photoshop/apsb21-17.html

アドビ
Security update available for Adobe Creative Cloud Desktop Application | APSB21-18
https://helpx.adobe.com/security/products/creative-cloud/apsb21-18.html

アドビ
Security updates available for Adobe Connect | APSB21-19
https://helpx.adobe.com/security/products/connect/apsb21-19.html

アドビ
Security updates available for Adobe Animate | APSB21-21
https://helpx.adobe.com/security/products/animate/apsb21-21.html

【6】MagicConnectクライアントプログラムのインストーラにDLL読み込みに関する脆弱性

情報源

Japan Vulnerability Notes JVN#18056666
MagicConnect クライアントプログラムのインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN18056666/

概要

NTTテクノクロス株式会社が提供するMagicConnectクライアントプログラムの
インストーラには、DLL読み込みに関する脆弱性が存在します。結果として第
三者がインストーラの実行権限で任意のコードを実行する可能性があります。

対象となるバージョンは以下のとおりです。

- MagicConnectクライアントプログラムの、2021年3月1日より前に配布されたインストーラ

この問題は、NTTテクノクロス株式会社が提供する修正済みのインストーラを
利用することで解決します。詳細は、NTTテクノクロス株式会社が提供する情
報を参照してください。

関連文書 (日本語)

NTTテクノクロス株式会社
クライアントアプリケーション インストーラを更新しました(不具合内容の詳細報告)
https://www.magicconnect.net/information/202103110900-2

【7】株式会社エム・システム技研製DL8に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#47497535
株式会社エム・システム技研製 DL8 における複数の脆弱性
https://jvn.jp/jp/JVN47497535/

概要

株式会社エム・システム技研が提供するDL8には複数の脆弱性が存在します。
結果として、簡易Webインタフェースにログイン可能な第三者がサービス運用
妨害(DoS)攻撃を行う可能性があります。

対象となるバージョンは以下のとおりです。

 - タイプA (DL8-A) Ver3.0 より前のバージョン
 - タイプB (DL8-B) Ver3.0 より前のバージョン
 - タイプC (DL8-C) Ver3.0 より前のバージョン
 - タイプD (DL8-D) Ver3.0 より前のバージョン
 - タイプE (DL8-E) Ver3.0 より前のバージョン

この問題は、株式会社エム・システム技研が提供する修正済みのファームウェ
アに更新することで解決します。詳細は、株式会社エム・システム技研が提供
する情報を参照してください。

関連文書 (日本語)

株式会社エム・システム技研
DL8Updater:データマル ファームウェアアップデータ
https://www.m-system.co.jp/kaisetu/dl_dl8updaterJ.html

【8】GROWIに複数の脆弱性

情報源

Japan Vulnerability Notes JVNVU#94889258
GROWI における複数の脆弱性
https://jvn.jp/vu/JVNVU94889258/

Japan Vulnerability Notes JVN#86438134
GROWI における複数のクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN86438134

概要

株式会社WESEEKが提供するGROWIには、複数の脆弱性が存在します。結果とし
て、管理者権限を取得した遠隔の第三者が任意のコードを実行するなどの可能
性があります。

対象となるバージョンは次のとおりです。

 - GROWI v4.2.2およびそれ以前
 - GROWI v4.2.0からv4.2.7までのバージョン (v4.2系)

この問題は、該当する製品を株式会社WESEEKが提供する修正済みのバージョン
に更新することで解決します。詳細は、株式会社WESEEKが提供する情報を参照
してください。

関連文書 (日本語)

株式会社WESEEK
GROWI 脆弱性対応のお知らせ (JVN#94889258)
https://weseek.co.jp/security/2021/03/08/vulnerability/growi-prevent-multiple-xss/

株式会社WESEEK
GROWI 脆弱性対応のお知らせ (JVN#86438134)
https://weseek.co.jp/security/2021/03/09/vulnerability/growi-prevent-xss5/

■今週のひとくちメモ

○日本シーサート協議会が「FIRST CSIRT Services Framework v2.1 日本語版」を公開

日本シーサート協議会は、FIRSTのEducation Advisory Boardがまとめた「CSIRT
が提供するサービスの一覧」の最新版の日本語訳を2021年3月10日に公開しま
した。本資料はCSIRTの役務(サービス)を体系立てて一覧化しています。各組
織のCSIRTが提供するサービスの改善等に役立ててください。

参考文献 (日本語)

日本シーサート協議会
FIRST CSIRT Services Framework v2.1 日本語版
https://www.nca.gr.jp/ttc/first_framework2_1.html

■JPCERT/CCからのお願い

  • 本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter