CISA Current Activity
Microsoft Releases May 2021 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/05/11/microsoft-releases-may-2021-security-updates

概要

複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。

対象となる製品は、多岐に渡ります。詳細はマイクロソフトが提供するアドバ
イザリ情報を参照してください。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフトが提供する情報を参照してください。

【2】複数のアドビ製品に脆弱性

情報源

CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/05/11/adobe-releases-security-updates-multiple-products

概要

複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe Experience Manager
- Adobe InDesign
- Adobe Illustrator
- Adobe InCopy
- Adobe Genuine Service
- Adobe Acrobat and Reader
- Magento
- Adobe Media Encoder
- Adobe After Effects
- Adobe Medium
- Adobe Animate

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

【3】Google Chromeに複数の脆弱性

情報源

CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/05/11/google-releases-security-updates-chrome

概要

Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 90.0.4430.212より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

【4】Citrix Workspace App for Windowsに権限昇格の脆弱性

情報源

CISA Current Activity
Citrix Releases Security Updates for Workspace App for Windows
https://us-cert.cisa.gov/ncas/current-activity/2021/05/11/citrix-releases-security-updates-workspace-app-windows

概要

Citrix Workspace App for Windowsには、権限昇格の脆弱性があります。結果
として、ユーザーがユーザー権限でSYSTEM権限の操作をする可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Citrix Workspace App 2105以降
- Citrix Workspace App 1912 LTSR CU4以降

この問題は、Citrixが提供する修正済みのバージョンに更新することで解決し
ます。詳細は、Citrixが提供する情報を参照してください。

【5】WordPressに複数の脆弱性

情報源

CISA Current Activity
WordPress Releases Security Update
https://us-cert.cisa.gov/ncas/current-activity/2021/05/13/wordpress-releases-security-update

概要

WordPressには、複数の脆弱性があります。結果として、第三者がシステムを
制御するなどの可能性があります。

対象となるバージョンは次のとおりです。

- WordPress 3.7から5.7

この問題は、WordPressをWordPressが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、WordPressが提供する情報を参照してください。

【6】複数のIntel製品に脆弱性

情報源

JPCERT/CC CyberNewsFlash
Intel製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2021051202.html

概要

Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security
Center Advisoriesが公開されました。

詳細は、Intelが提供する情報を参照してください。

【7】複数のトレンドマイクロ製品に脆弱性

情報源

Japan Vulnerability Notes JVNVU#97581596
トレンドマイクロ製 Apex One およびウイルスバスターシリーズにおける複数の脆弱性
https://jvn.jp/vu/JVNVU97581596/

概要

複数のトレンドマイクロ製品には、脆弱性があります。結果として、遠隔の第
三者が情報を窃取するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Apex One 2019、SaaS
- ウイルスバスターコーポレートエディション XG SP1
- ウイルスバスタービジネスセキュリティ 9.5および10 SP1
- ウイルスバスタービジネスセキュリティサービス 6.7

この問題は、該当する製品にトレンドマイクロ株式会社が提供するパッチを適
用するか、修正済みのバージョンに更新することで解決します。詳細は、トレ
ンドマイクロ株式会社が提供する情報を参照してください。

【8】EC-CUBEにクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#97554111
EC-CUBE におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN97554111/

概要

EC-CUBEには、クロスサイトスクリプティングの脆弱性があります。結果とし
て、遠隔の第三者がユーザーのブラウザー上で任意のスクリプトを実行する可
能性があります。

対象となるバージョンは次のとおりです。

- EC-CUBE 4.0.0から4.0.5までのバージョン

この問題は、EC-CUBEに株式会社イーシーキューブが提供するパッチを適用す
るか、修正済みのバージョンに更新することで解決します。詳細は、株式会社
イーシーキューブが提供する情報を参照してください。

【9】RFNTPSにOSコマンドインジェクションの脆弱性

情報源

Japan Vulnerability Notes JVN#13076220
RFNTPS における OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN13076220/

概要

RFNTPSには、OSコマンドインジェクションの脆弱性があります。結果として、
同一LANにアクセス可能な第三者が任意のOSコマンドを実行する可能性があり
ます。

対象となるバージョンは次のとおりです。

- System_01000005、Web_01000005より前のバージョン

この問題は、日本アンテナ株式会社が提供する最新版にファームウェアをアッ
プデートすることで解決します。詳細は、日本アンテナ株式会社が提供する情
報を参照してください。

【10】KonaWiki2に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#34232719
KonaWiki2 における複数の脆弱性
https://jvn.jp/jp/JVN34232719/

概要

KonaWiki2には、複数の脆弱性があります。結果として、遠隔の第三者が、情
報を窃取したり、任意のコードを実行したりするなどの可能性があります。

対象となるバージョンは次のとおりです。

- KonaWiki2.2.4より前のバージョン

この問題は、KonaWiki2をくじらはんどが提供する修正済みのバージョンに更
新することで解決します。詳細は、くじらはんどが提供する情報を参照してだ
さい。

【11】mod_auth_openidcにサービス運用妨害（DoS）の脆弱性

情報源

Japan Vulnerability Notes JVN#49704918
mod_auth_openidc におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN49704918/

概要

mod_auth_openidcには、脆弱性があります。結果として、遠隔の第三者が、サー
ビス運用妨害（DoS）攻撃を行う可能性があります。

対象となるバージョンは次のとおりです。

- mod_auth_openidc 2.4.0から2.4.7

この問題は、mod_auth_openidcをZmartZoneが提供する修正済みのバージョン
に更新することで解決します。詳細は、ZmartZoneが提供する情報を参照して
ください。

【12】IEEE802.11規格のフレームアグリゲーションやフラグメンテーションに複数の脆弱性

情報源

Japan Vulnerability Notes JVNVU#93485736
IEEE802.11 規格のフレームアグリゲーションやフラグメンテーションに関する複数の問題（FragAttack）
https://jvn.jp/vu/JVNVU93485736/

概要

IEEE802.11規格のフレームアグリゲーションやフラグメンテーションには、複
数の脆弱性があります。結果として、遠隔の第三者が、通信内容を窃取したり、
不正なパケットを挿入したりする可能性があります。

対象となる製品は次のとおりです。

- IEEE802.11規格のフレームアグリゲーションやフラグメンテーションを実装している製品

製品の開発者が提供する情報を注視し、可能な限り最新版にアップデートし
てください。

■今週のひとくちメモ

○NISCが「次期サイバーセキュリティ戦略の骨子」を公開

2021年5月13日、内閣サイバーセキュリティセンター（NISC）は、「次期サイ
バーセキュリティ戦略の骨子」を公開しました。この骨子は、今後3年間にお
ける日本政府の目標や実施方針を示すものとなっており、次期サイバーセキュ
リティ戦略の課題と方向性を示しています。経済社会の活力の向上および持続
的発展、国民が安全で安心して暮らせるデジタル社会、国際社会の平和・安定
および日本の安全保障への寄与などについて記述しています。

参考文献 (日本語)

内閣サイバーセキュリティセンター（NISC）
次期サイバーセキュリティ戦略の骨子
https://www.nisc.go.jp/conference/cs/dai28/pdf/28shiryou01.pdf

■JPCERT/CCからのお願い

本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2021-05-19号

<<< JPCERT/CC WEEKLY REPORT 2021-05-19 >>>

■05/09(日)〜05/15(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

○NISCが「次期サイバーセキュリティ戦略の骨子」を公開

参考文献 (日本語)

■JPCERT/CCからのお願い

目　次