JPCERT コーディネーションセンター

Weekly Report 2021-04-28号

JPCERT-WR-2021-1701
JPCERT/CC
2021-04-28

<<< JPCERT/CC WEEKLY REPORT 2021-04-28 >>>

■04/18(日)〜04/24(土) のセキュリティ関連情報

目 次

【1】Pulse Connect Secureに任意コード実行の脆弱性

【2】複数のトレンドマイクロ製品に脆弱性

【3】SonicWall Email Securityに複数の脆弱性

【4】2021年4月Oracle Critical Patch Updateについて

【5】Drupalにクロスサイトスクリプティングの脆弱性

【6】Google Chromeに複数の脆弱性

【7】複数のMozilla製品に脆弱性

【8】VMware NSX-Tに権限昇格の脆弱性

【9】三菱電機製GOTのVNCサーバー機能にパスワード認証回避の脆弱性

【今週のひとくちメモ】経済産業省が「OSSの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr211701.txt
https://www.jpcert.or.jp/wr/2021/wr211701.xml

【1】Pulse Connect Secureに任意コード実行の脆弱性

情報源

CISA Current Activity
CISA Releases Alert on Exploitation of Pulse Connect Secure Vulnerabilities
https://us-cert.cisa.gov/ncas/current-activity/2021/04/20/cisa-releases-alert-exploitation-pulse-connect-secure

概要

Pulse Connect Secureには、任意コード実行の脆弱性があります。結果として、
遠隔の第三者が認証を回避し、当該製品上で任意のコードを実行する可能性が
あります。

対象となるバージョンは次のとおりです。

- Pulse Connect Secure (PCS) 9.0R3およびそれ以降
- Pulse Connect Secure (PCS) 9.1R1およびそれ以降

2021年4月27日現在、本脆弱性の修正パッチおよびアップデートは提供されて
いません。脆弱性を悪用した攻撃による影響を軽減するため、開発者から回避
策が提示されています。また、当該製品で不審なファイル設置やファイルの改
ざんが行われていないか確認するためのツールが公開されています。詳細は、
Pulse Secureが提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC注意喚起
Pulse Connect Secureの脆弱性(CVE-2021-22893)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210019.html

Japan Vulnerability Notes JVNVU#94842247
Pulse Connect Secure に任意コード実行の脆弱性
https://jvn.jp/vu/JVNVU94842247/

Ivanti
Pulse Connect Secureセキュリティアップデート
https://www.ivanti.co.jp/blog/pulse-connect-secure-security-update

関連文書 (英語)

Pulse Secure
SA44784 - 2021-04: Out-of-Cycle Advisory: Pulse Connect Secure RCE Vulnerability (CVE-2021-22893)
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784/

Pulse Secure
KB44755 - Pulse Connect Secure (PCS) Integrity Assurance
https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB44755/

【2】複数のトレンドマイクロ製品に脆弱性

情報源

Japan Vulnerability Notes JVNVU#93491927
Apex One、Apex One SaaS およびウイルスバスター コーポレートエディションにおける複数の脆弱性
https://jvn.jp/vu/JVNVU93491927/

Japan Vulnerability Notes JVNVU#92208501
ウイルスバスター ビジネスセキュリティおよび Trend Micro Security (for Mac) における複数の脆弱性
https://jvn.jp/vu/JVNVU92208501/

Japan Vulnerability Notes JVNVU#97680506
ウイルスバスター ビジネスセキュリティサービスにおける複数の脆弱性
https://jvn.jp/vu/JVNVU97680506/

Japan Vulnerability Notes JVNVU#93009588
トレンドマイクロ製品に搭載された検索エンジンにおけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU93009588/

Japan Vulnerability Notes JVNVU#98074915
トレンドマイクロ株式会社製パスワードマネージャーにおける DLL 読み込みに関する脆弱性
https://jvn.jp/vu/JVNVU98074915/

概要

複数のトレンドマイクロ製品には、脆弱性があります。結果として、第三者が
任意のコードを実行するなどの可能性があります。

対象となる製品は、多岐に渡ります。詳細はトレンドマイクロ株式会社が提供
するアドバイザリ情報を参照してください。

この問題は、該当する製品をトレンドマイクロ株式会社が提供するパッチを適
用するか、修正済みのバージョンに更新するなどで解決します。詳細は、トレン
ドマイクロ株式会社が提供する情報を参照してください。

関連文書 (日本語)

トレンドマイクロ株式会社
アラート/アドバイザリ:Apex One、Apex One SaaSとウイルスバスター コーポレートエディションで確認された複数の脆弱性について(2020年9月)
https://success.trendmicro.com/jp/solution/000264540

トレンドマイクロ株式会社
【注意喚起】Trend Micro Apex One、Apex One SaaSおよびウイルスバスター コーポレートエディションの既知の脆弱性(CVE-2020-24557)を悪用した攻撃を確認したことによる最新修正プログラム適用のお願い
https://appweb.trendmicro.com/SupportNews/NewsDetail.aspx?id=4126

トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスター ビジネスセキュリティで確認された複数の脆弱性について(2020年8月)
https://success.trendmicro.com/jp/solution/000265546

トレンドマイクロ株式会社
アラート/アドバイザリ:弊社トレンドマイクロの検索エンジンに大量のメモリを消費させることにより DoS(denial-of-service)またはシステムの停止を誘発する攻撃を行える可能性のある脆弱性について
https://success.trendmicro.com/jp/solution/000285575

トレンドマイクロ株式会社
アラート/アドバイザリ:ServerProtect for Linux に大量のメモリを消費させることにより DoS(denial-of-service)攻撃を行える可能性のある脆弱性(CVE-2021-25224, 25225 および 25226)
https://success.trendmicro.com/jp/solution/000284232

トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスター for Mac の脆弱性について(CVE-2021-25227)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10189

トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスター クラウドの脆弱性について(CVE-2021-25252)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10190

トレンドマイクロ株式会社
アラート/アドバイザリ:パスワードマネージャーのセキュリティ情報(CVE-2021-28647)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10277

JPCERT/CC 注意喚起
Trend Micro Apex One,Apex One SaaSおよびウイルスバスター コーポレートエディションの脆弱性(CVE-2020-24557)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210020.html

【3】SonicWall Email Securityに複数の脆弱性

情報源

CISA Current Activity
SonicWall Releases Patches for Email Security Products
https://us-cert.cisa.gov/ncas/current-activity/2021/04/21/sonicwall-releases-patches-email-security-products

概要

SonicWall Email Securityには、複数の脆弱性があります。結果として、遠隔
の第三者が管理者アカウントを作成するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Email Security 10.0.9.6173より前のバージョン(Windows)
- Email Security 10.0.9.6177より前のバージョン(HardwareおよびESXi Virtual Appliance)
- Hosted Email Security 10.0.9.6173より前のバージョン

なお、すでにサポートが終了しているEmail Security 7.0.0から9.2.2までの
バージョンも本脆弱性の影響を受けるとのことです。

この問題は、該当する製品をSonicWallが提供する修正済みのバージョンに更
新することで解決します。なお、Hosted Email Securityについては自動的に
パッチが適用されるとのことです。詳細は、SonicWallが提供する情報を参照
してください。

関連文書 (英語)

SonicWall
Security Notice: SonicWall Email Security Zero-Day Vulnerabilities
https://www.sonicwall.com/support/product-notification/security-notice-sonicwall-email-security-zero-day-vulnerabilities/210416112932360/

SonicWall
SonicWall Email Security pre-authentication administrative account creation vulnerability
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0007

SonicWall
SonicWall Email Security post-authentication arbitrary file creation vulnerability
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0008

SonicWall
SonicWall Email Security post-authentication arbitrary file read vulnerability
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0010

【4】2021年4月Oracle Critical Patch Updateについて

情報源

CISA Current Activity
Oracle Releases April 2021 Critical Patch Update
https://us-cert.cisa.gov/ncas/current-activity/2021/04/20/oracle-releases-april-2021-critical-patch-update

概要

Oracleから複数の製品およびコンポーネントに含まれる脆弱性に対応した
Oracle Critical Patch Update Advisoryが公開されました。

詳細は、Oracleが提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC注意喚起
2021年4月Oracle製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2021/at210018.html

Japan Vulnerability Notes JVNVU#92599577
Windows 版 MySQL に権限昇格の脆弱性
https://jvn.jp/vu/JVNVU92599577/

関連文書 (英語)

Oracle
Oracle Critical Patch Update Advisory - April 2021
https://www.oracle.com/security-alerts/cpuapr2021.html

CERT/CC Vulnerability Note VU#567764
MySQL for Windows is vulnerable to privilege escalation due to OPENSSLDIR location
https://kb.cert.org/vuls/id/567764

【5】Drupalにクロスサイトスクリプティングの脆弱性

情報源

CISA Current Activity
Drupal Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/04/22/drupal-releases-security-updates

概要

Drupalには、クロスサイトスクリプティングの脆弱性があります。結果として、
遠隔の第三者がユーザーのブラウザー上で任意のコードを実行する可能性があ
ります。

対象となるバージョンは次のとおりです。

- Drupal 9.1.7より前の9.1系のバージョン
- Drupal 9.0.12より前の9.0系のバージョン
- Drupal 8.9.14より前の8.9系のバージョン
- Drupal 7.80より前の7系のバージョン

なお、Drupal 8.9系より前の8系のバージョンはサポートが終了しており、今
回のセキュリティに関する情報は提供されていません。

この問題は、DrupalをDrupalが提供する修正済みのバージョンに更新すること
で解決します。詳細は、Drupalが提供する情報を参照してください。

関連文書 (英語)

Drupal
Drupal core - Critical - Cross-site scripting - SA-CORE-2021-002
https://www.drupal.org/sa-core-2021-002

【6】Google Chromeに複数の脆弱性

情報源

CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/04/21/google-releases-security-updates-chrome

概要

Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 90.0.4430.85より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/04/stable-channel-update-for-desktop_20.html

【7】複数のMozilla製品に脆弱性

情報源

CISA Current Activity
Mozilla Releases Security Update for Firefox, Firefox ESR, and Thunderbird
https://us-cert.cisa.gov/ncas/current-activity/2021/04/20/mozilla-releases-security-update-firefox-firefox-esr-and

概要

複数のMozilla製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 88より前のバージョン
- Mozilla Firefox ESR 78.10より前のバージョン
- Mozilla Thunderbird 78.10より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)

Mozilla
Security Vulnerabilities fixed in Firefox 88
https://www.mozilla.org/en-US/security/advisories/mfsa2021-16/

Mozilla
Security Vulnerabilities fixed in Firefox ESR 78.10
https://www.mozilla.org/en-US/security/advisories/mfsa2021-15/

Mozilla
Security Vulnerabilities fixed in Thunderbird 78.10
https://www.mozilla.org/en-US/security/advisories/mfsa2021-14/

【8】VMware NSX-Tに権限昇格の脆弱性

情報源

CISA Current Activity
VMware Releases Security Update
https://us-cert.cisa.gov/ncas/current-activity/2021/04/20/vmware-releases-security-update

概要

VMware NSX-Tには、権限昇格の脆弱性があります。結果として、ローカルのゲ
ストユーザーの権限を有する第三者が権限を昇格する可能性があります。

対象となるバージョンは次のとおりです。

- VMware NSX-T 3.1.1

この問題は、VMware NSX-TをVMwareが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、VMwareが提供する情報を参照してください。

関連文書 (英語)

VMware Security Advisories
VMSA-2021-0006
https://www.vmware.com/security/advisories/VMSA-2021-0006.html

【9】三菱電機製GOTのVNCサーバー機能にパスワード認証回避の脆弱性

情報源

Japan Vulnerability Notes JVNVU#97615777
三菱電機製 GOT の VNC サーバ機能におけるパスワード認証回避の脆弱性
https://jvn.jp/vu/JVNVU97615777/

概要

三菱電機株式会社が提供するGOT2000シリーズ、GOT SIMPLEシリーズのVNCサー
バー機能には、パスワード認証回避の脆弱性があります。結果として、遠隔の
第三者が、細工した不正なパケットを送信することで、パスワード認証を回避
する可能性があります。

対象となる製品およびバージョンは次のとおりです。

VNC サーバー機能を有効化している次の製品
- GOT2000 GT27 モデル
- GOT2000 GT25 モデル
- GOT2000 GT21 モデル GT2107-WTBD
- GOT2000 GT21 モデル GT2107-WTSD
- GOT SIMPLE GS21 モデル GS2110-WTBD-N
- GOT SIMPLE GS21 モデル GS2107-WTBD-N

2021年4月27日現在、本脆弱性に対するアップデートは提供されていません。
なお、対策済みバージョンは、近日中にリリースする予定とのことです。この
問題について、該当する製品に対して次の回避策を適用することで、本脆弱性
の影響を軽減できます。

- 当該製品へのVNCによるアクセスを、信頼できるネットワークやホストからのアクセスのみに制限する

詳細は、三菱電機株式会社が提供する情報を参照してください。

関連文書 (日本語)

三菱電機株式会社
GOTのVNCサーバ機能におけるパスワード認証回避の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-001.pdf

■今週のひとくちメモ

○経済産業省が「OSSの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集」を公開

2021年4月21日、経済産業省は、オープンソースソフトウェア(OSS)を利活用
するに当たって留意すべきポイントを整理し、そのポイントごとに参考となる
取組を実施している企業の事例などをとりまとめた「OSSの利活用及びそのセキュ
リティ確保に向けた管理手法に関する事例集」を公開しました。

産業界におけるOSSの利活用の重要性が高まる中、多くの企業がOSSを含むソフ
トウェアの管理手法、脆弱性対応などに課題を抱えている現状を踏まえ、参考
になる取組を実施している企業に対するヒアリングなどによる調査の結果が取
りまとめられています。

参考文献 (日本語)

経済産業省
オープンソースソフトウェアの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集を取りまとめました
https://www.meti.go.jp/press/2021/04/20210421001/20210421001.html

■JPCERT/CCからのお願い

  • 本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter