VMware vCenter Serverには、複数の脆弱性があります。結果として、ポート
443に接続可能な第三者がvCenter Serverが稼働するシステム上で任意のコマ
ンドを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- vCenter Server 7.0系 7.0 U2bより前のバージョン
- vCenter Server 6.7系 6.7 U3nより前のバージョン
- vCenter Server 6.5系 6.5 U3pより前のバージョン
- Cloud Foundation (vCenter Server) 4系 4.2.1より前のバージョン
- Cloud Foundation (vCenter Server) 3系 3.10.2.1より前のバージョン

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、VMwareが提供する情報を参照してください。

【2】複数のApple製品に脆弱性

情報源

CISA Current Activity
Apple Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/05/25/apple-releases-security-updates

概要

複数のApple製品には、複数の脆弱性があります。結果として、遠隔の第三者
が任意のコマンドを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Safari 14.1.1より前のバージョン
- watchOS 7.5より前のバージョン
- tvOS 14.6より前のバージョン
- macOS Catalina（Security Update 2021-003 未適用）
- macOS Mojave（Security Update 2021-004 未適用）
- macOS Big Sur 11.4より前のバージョン
- iOS 14.6より前のバージョン
- iPadOS 14.6より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

【3】Google Chromeに複数の脆弱性

情報源

CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/05/26/google-releases-security-updates-chrome

概要

Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 91.0.4472.77より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

【4】Drupalにクロスサイトスクリプティングの脆弱性

情報源

CISA Current Activity
Drupal Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/05/27/drupal-releases-security-updates

概要

Drupalには、使用しているサードパーティライブラリに起因するクロスサイト
スクリプティングの脆弱性があります。結果として、ユーザーのブラウザー上
で任意のスクリプトが実行される可能性があります。

対象となるバージョンは次のとおりです。

- Drupal 9.1.9より前の9.1系バージョン
- Drupal 9.0.14より前の9.0系バージョン
- Drupal 8.9.16より前の8.9系バージョン

この問題は、該当する製品をDrupalが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Drupalが提供する情報を参照してください。

【5】ISC DHCPにバッファーオーバーフローの脆弱性

情報源

Japan Vulnerability Notes JVNVU#95111565
ISC DHCP におけるバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU95111565/

概要

ISC DHCPには、バッファーオーバーフローの脆弱性があります。結果として、第
三者が、当該システムをサービス運用妨害（DoS）状態にするなどの可能性が
あります。

対象となるバージョンは次のとおりです。

- ISC DHCP 4.1-ESV-R1から4.1-ESV-R16までのバージョン
- ISC DHCP 4.4.0から4.4.2までのバージョン

この問題は、開発者が提供する修正済みのバージョンに更新することで解決し
ます。詳細は、開発者が提供する情報を参照してください。

【6】Bluetoothコア仕様およびメッシュ仕様に複数の脆弱性

情報源

CERT/CC Vulnerability Note VU#799380
Devices supporting Bluetooth Core and Mesh Specifications are vulnerable to impersonation attacks and AuthValue disclosure
https://kb.cert.org/vuls/id/799380

概要

Bluetoothコア仕様およびメッシュ仕様には、複数の脆弱性があります。結果
として、Bluetoothの電波到達範囲にいる第三者が、端末と機器の意図しない
ペアリングをするなどの可能性があります。

対象となる製品は次のとおりです。

- BR/EDR Secure Simple Pairing（SSP）コア仕様2.1から5.2までに対応する機器
- BR/EDR Secure Connections（SC）コア仕様4.1から5.2までに対応する機器
- BLE Secure Connections（LESC）コア仕様4.2から5.2までに対応する機器
- BR/EDR Secure Simple Pairing（SSP）コア仕様 1.0Bから5.2までに対応する機器
- Bluetooth メッシュプロファイル仕様 1.0から1.0.1までに対応する機器

この問題は、各機器のベンダーから提供される最新のファームウェアへアップ
デートするなどの対応を実施してください。詳細は、ベンダーが提供する情報
を参照してください。

【7】Checkbox Surveyに安全でないデシリアライゼーションの脆弱性

情報源

CERT/CC Vulnerability Note VU#706695
Checkbox Survey insecurely deserializes ASP.NET View State data
https://kb.cert.org/vuls/id/706695

概要

Checkbox Surveyには、安全でないデシリアライゼーションの脆弱性がありま
す。結果として、遠隔の第三者が細工したリクエストを送信し、サーバー上で
任意のコードを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Checkbox Survey 7.0より前のバージョン

この問題は、該当する製品をCheckboxが提供する修正済みのバージョンに更新
することで解決します。詳細は、Checkboxが提供する情報を参照してください。

【8】Zettlrにクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#98239374
Zettlr におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN98239374/

概要

Zettlrには、クロスサイトスクリプティングの脆弱性があります。結果として
製品が動作するシステム上で任意のスクリプトが実行される可能性があります。

対象となるバージョンは次のとおりです。

- Zettlr 0.20.0から1.8.8までのバージョン

この問題は、開発者が提供する修正済みのバージョンに更新することで解決し
ます。詳細は、開発者が提供する情報を参照してください。

【9】三菱電機製 MELSEC iQ-RシリーズのMELSOFT交信ポートにリソース枯渇の脆弱性

情報源

Japan Vulnerability Notes JVN#98060539
三菱電機製 MELSEC iQ-R シリーズの MELSOFT 交信ポートにおけるリソース枯渇の脆弱性
https://jvn.jp/vu/JVNVU98060539/

概要

三菱電機製MELSEC iQ-RシリーズCPUユニットのMELSOFT交信ポート（TCP/IP）
には、リソース枯渇の脆弱性があります。結果として、遠隔の第三者が当該機
器をサービス運用妨害 (DoS) 状態にする可能性があります。

対象となる製品およびバージョンは次のとおりです。

- R00/01/02CPU 全バージョン
- R04/08/16/32/120 (EN) CPU 全バージョン
- R08/16/32/120SFCPU 全バージョン
- R08/16/32/120PCPU 全バージョン
- R08/16/32/120PSFCPU 全バージョン

この問題は、三菱電機株式会社が提供するワークアラウンドを適用することで
影響が軽減します。詳細は、三菱電機株式会社が提供する情報を参照してくだ
さい。

■今週のひとくちメモ

○JNSAが「セキュリティ業務職種のキャリア展望について」を公開

日本ネットワークセキュリティ協会 (JNSA) は、「セキュリティ業務職種のキ
ャリア展望について」を公開しました。本資料は、セキュリティ人材不足の解
消やセキュリティ人材の働き方の多様化に向けた「JTAG活動」の一環です。
本書は、JTAG財団が定めたプロファイルと「個人のキャリアの8割は、偶然の
出来事によって決定される」という計画的偶発性理論を用いて、特性の考察を
行い、さまざまなセキュリティ人材の長期的な指標やキャリアパスの検討時の
参考として活用することを目的としています。

参考文献 (日本語)

日本ネットワークセキュリティ協会 (JNSA)
セキュリティ業務職種のキャリア展望について
https://www.jnsa.org/isepa/images/outputs/JTAG-CD_20210520_rep.pdf

■JPCERT/CCからのお願い

本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2021-06-02号

<<< JPCERT/CC WEEKLY REPORT 2021-06-02 >>>

■05/23(日)〜05/29(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

○JNSAが「セキュリティ業務職種のキャリア展望について」を公開

参考文献 (日本語)

■JPCERT/CCからのお願い

目　次