JPCERT-WR-2021-2301

JPCERT/CC

2021-06-16

<<< JPCERT/CC WEEKLY REPORT 2021-06-16 >>>

■06/06(日)〜06/12(土) のセキュリティ関連情報

目　次

【1】複数のマイクロソフト製品に脆弱性

【2】複数のアドビ製品に脆弱性

【3】複数のSAP製品に脆弱性

【4】Google Chromeに複数の脆弱性

【5】複数のIntel製品に脆弱性

【6】トレンドマイクロ製ウイルスバスター for Home Networkに複数の脆弱性

【7】urllib3に正規表現を用いたサービス運用妨害（ReDoS）の脆弱性

【8】WordPress用プラグインWelcart e-Commerceにクロスサイトスクリプティングの脆弱性

【今週のひとくちメモ】Japan Security Analyst Conference 2022のCFP募集開始

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr212301.txt
https://www.jpcert.or.jp/wr/2021/wr212301.xml

【1】複数のマイクロソフト製品に脆弱性

情報源

CISA Current Activity
Microsoft Releases June 2021 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/06/08/microsoft-releases-june-2021-security-updates

概要

複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はマイクロソフトが提供するアド
バイザリ情報を参照してください。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフトが提供する情報を参照してください。

【2】複数のアドビ製品に脆弱性

情報源

CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/06/08/adobe-releases-security-updates-multiple-products

概要

複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe Connect
- Adobe Acrobat and Reader
- Adobe Photoshop
- Adobe Experience Manager
- Adobe Creative Cloud Desktop Application (Installer)
- RoboHelp Server
- Photoshop Elements (Installer)
- Adobe Premiere Elements (Installer)
- Adobe After Effects
- Adobe Animate

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

【3】複数のSAP製品に脆弱性

情報源

CISA Current Activity
SAP Releases June 2021 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/06/08/sap-releases-june-2021-security-updates

概要

複数のSAP製品には、脆弱性があります。結果として、遠隔の第三者が任意の
コードを実行するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はSAPが提供するアドバイザリ情
報を参照してください。

この問題は、該当する製品をSAPが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、SAPが提供する情報を参照してください。

【4】Google Chromeに複数の脆弱性

情報源

CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/06/10/google-releases-security-updates-chrome

概要

Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 91.0.4472.101より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

【5】複数のIntel製品に脆弱性

情報源

Japan Vulnerability Notes JVNVU#99965981
Intel 製品に複数の脆弱性 (2021年6月)
https://jvn.jp/vu/JVNVU99965981/

JPCERT/CC CyberNewsFlash
Intel製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2021060902.html

概要

Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security
Center Advisoriesが公開されました。

詳細は、Intelが提供する情報を参照してください。

【6】トレンドマイクロ製ウイルスバスター for Home Networkに複数の脆弱性

情報源

Japan Vulnerability Notes JVNVU#92417259
トレンドマイクロ製ウイルスバスター for Home Network における複数の脆弱性
https://jvn.jp/vu/JVNVU92417259/

概要

トレンドマイクロ製ウイルスバスター for Home Networkには、複数の脆弱性
があります。結果として、第三者が権限昇格を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- ウイルスバスター for Home Network ファームウェアバージョン6.6.604およびそれ以前

この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正済みの
バージョンに更新することで解決します。詳細はトレンドマイクロ株式会社が
提供する情報を参照してください。

【7】urllib3に正規表現を用いたサービス運用妨害（ReDoS）の脆弱性

情報源

Japan Vulnerability Notes JVNVU#92413403
urllib3 における、正規表現を用いたサービス運用妨害 (ReDoS) の脆弱性
https://jvn.jp/vu/JVNVU92413403/

概要

urllib3には、不正なURLを評価する正規表現の処理中に、サービス運用妨害
（DoS）状態となる脆弱性があります。結果として、遠隔の第三者がサービス
運用妨害（DoS）攻撃を行う可能性があります。

対象となるバージョンは次のとおりです。

- urllib3 v1.26.5より前のバージョン

この問題は、urllib3を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

【8】WordPress用プラグインWelcart e-Commerceにクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#70566757
WordPress 用プラグイン Welcart e-Commerce におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN70566757/

概要

WordPress用プラグインWelcart e-Commerceには、クロスサイトスクリプティ
ングの脆弱性があります。結果として、遠隔の第三者がユーザーのブラウザー
上で任意のスクリプトを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Welcart e-Commerce 2.2.4より前のバージョン

この問題は、Welcart e-Commerceをコルネ株式会社が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、コルネ株式会社が提供する情報
を参照してください。

■今週のひとくちメモ

○Japan Security Analyst Conference 2022のCFP募集開始

2021年6月7日、JPCERT/CCは、Japan Security Analyst Conference（JSAC）2022
の講演およびWorkshopの募集（CFP）を開始しました。応募締切は2021年10月
4日です。JSACは、現場のセキュリティアナリストが集い、高度化するサイバー
攻撃に対抗するための情報を共有することを目的とした技術情報共有カンファ
レンスです。JSAC 2022の開催は2022年1月27日、28日を予定しています。今回
は、オンライン・オフラインの併催を予定していますが、最終的な開催方式に
ついては、2021年10月上旬までにアナウンスする予定です。

参考文献 (日本語)

JPCERT/CC JSAC2022
Call for Presentation & Workshop
https://jsac.jpcert.or.jp/cfp.html

■JPCERT/CCからのお願い

本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2021-06-16号

<<< JPCERT/CC WEEKLY REPORT 2021-06-16 >>>

■06/06(日)〜06/12(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

○Japan Security Analyst Conference 2022のCFP募集開始

参考文献 (日本語)

■JPCERT/CCからのお願い

目　次