CISA Current Activity
Fortinet Releases Security Updates for FortiManager and FortiAnalyzer
https://us-cert.cisa.gov/ncas/current-activity/2021/07/19/fortinet-releases-security-updates-fortimanager-and-fortianalyzer

概要

複数のFortinet製品には、use-after-freeの脆弱性があります。結果として、
遠隔の第三者が任意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- FortiManager versions 5.6.10およびそれ以前
- FortiManager versions 6.0.10およびそれ以前
- FortiManager versions 6.2.7およびそれ以前
- FortiManager versions 6.4.5およびそれ以前
- FortiManager version 7.0.0
- FortiManager versions 5.4.x
- FortiAnalyzer versions 5.6.10およびそれ以前
- FortiAnalyzer versions 6.0.10およびそれ以前
- FortiAnalyzer versions 6.2.7およびそれ以前
- FortiAnalyzer versions 6.4.5およびそれ以前
- FortiAnalyzer version 7.0.0

この問題は、該当する製品をFortinetが提供する修正済みのバージョンに更新
することで解決します。詳細は、Fortinetが提供する情報を参照してください。

【2】複数のCitrix製品に脆弱性

情報源

CISA Current Activity
Citrix Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/07/20/citrix-releases-security-updates

概要

複数のCitrix製品には、脆弱性があります。結果として、第三者がSAML認証を
ハイジャックする等などしてシステムを制御する可能性があります。

対象となる製品は、多岐にわたります。

詳細はCitrixが提供する情報を参照してください。

【3】2021年7月Oracle Critical Patch Updateについて

情報源

CISA Current Activity
Oracle Releases July 2021 Critical Patch Update
https://us-cert.cisa.gov/ncas/current-activity/2021/07/20/oracle-releases-july-2021-critical-patch-update

概要

Oracleから複数の製品およびコンポーネントに含まれる脆弱性に対応したOracle
Critical Patch Update Advisoryが公開されました。脆弱性が悪用された場合、
リモートからの攻撃によって、不正な操作が実行されたり、機微な情報を不正
に削除や改ざんされたりする可能性があります。

詳細は、Oracleが提供する情報を参照してください

【4】複数のApple製品に脆弱性

情報源

CISA Current Activity
Apple Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/07/21/apple-releases-security-updates

概要

Appleの製品には、複数の脆弱性があります。

対象となる製品およびバージョンは次のとおりです。

- macOS Big Sur 11.5.1より前のバージョン
- macOS Catalina（セキュリティアップデート 2021-004未適用）
- macOS Mojave（セキュリティアップデート 2021-005未適用）
- iPadOS 14.7.1より前のバージョン
- iOS 14.7.1より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

【5】Google Chromeに複数の脆弱性

情報源

CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/07/21/google-releases-security-updates-chrome

概要

Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 92.0.4515.107より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

【6】複数のアドビ製品に脆弱性

情報源

CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/07/21/adobe-releases-security-updates-multiple-products

概要

複数のアドビ製品には、脆弱性があります。結果として、第三者が影響を受け
るシステムを制御するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe Photoshop
- Adobe Audition
- Adobe Character Animator
- Adobe Prelude
- Adobe Premiere Pro
- Adobe After Effects
- Adobe Media Encoder

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

【7】Drupalのサードパーティライブラリに脆弱性

情報源

CISA Current Activity
Drupal Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/07/22/drupal-releases-security-updates

概要

Drupalが使用するライブラリは、圧縮されたファイルのシンボリックリンクを
確認しない脆弱性があります。結果として、第三者が影響を受けるシステムを
制御する可能性があります。

対象となるバージョンは次のとおりです。

- Drupal 9.2.2より前の9.2系のバージョン
- Drupal 9.1.11より前の9.1系のバージョン
- Drupal 8.9.17より前の8.9系のバージョン
- Drupal 7.82より前の7系のバージョン

なお、Drupal 8.9系より前の8系と9.1系より前の9系のバージョンも影響を受
けますが、サポートが終了しており、今回のセキュリティに関する情報は提供
されていません。

この問題は、Drupalが提供する修正済みのバージョンに更新することで解決し
ます。詳細は、Drupalが提供する情報を参照してください。

【8】複数のCisco製品に脆弱性

情報源

CISA Current Activity
Cisco Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/07/22/cisco-releases-security-updates

概要

複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ
情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

【9】Microsoft WindowsにシステムフォルダーのACL設定不備による権限昇格の脆弱性

情報源

CERT/CC Vulnerability Note VU#506989
Microsoft Windows gives unprivileged user access to system32\config files
https://kb.cert.org/vuls/id/506989

概要

Microsoft Windowsには、システムフォルダーにおいてACLが適切に設定されな
いことに起因する権限昇格の脆弱性があります。結果として、第三者がSYSTEM
権限で任意のコードを実行する可能性があります。

対象となる製品は次のとおりです。

- Windows Server 2004
- Windows Server 2019
- Windows 10

この問題について、マイクロソフト株式会社はワークアラウンドの実施を推奨
しています。詳しくはマイクロソフト株式会社が提供する情報を参照してくだ
さい。

【10】Arcadyan製ソフトウェアを使用するルーターにディレクトリトラバーサルの脆弱性

情報源

CERT/CC Vulnerability Note VU#914124
Arcadyan-based routers and modems vulnerable to authentication bypass
https://kb.cert.org/vuls/id/914124

概要

Arcadyan製ソフトウェアを使用するルーターには、ディレクトリトラバーサル
の脆弱性があります。結果として、遠隔の第三者がルーターの設定を改ざんす
る可能性があります。

対象となる製品は次のとおりです。

- Arcadyan製ソフトウェアを使用するルーター

また、詳細についてはCERT/CCが提供する情報を参照してください。

この問題は、各機器のベンダーから提供される最新のファームウェアへアップ
デートするなどの対応を実施してください。

【11】Minecraft Java Editionにディレクトリトラバーサルの脆弱性

情報源

Japan Vulnerability Notes JVN#53278122
Minecraft Java Edition におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN53278122/

概要

Minecraft Java Editionには、ディレクトリトラバーサルの脆弱性があります。
結果として、遠隔の第三者が、当該製品を使用しているシステム上の任意のJSON
ファイルを削除する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Minecraft 1.17およびそれ以前

この問題は、MinecraftをMojang Studiosが提供する修正済みのバージョンに
更新することで解決します。詳細は、Mojang Studiosが提供する情報を参照し
てください。

【12】GroupSessionに複数の脆弱性

情報源

Japan Vulnerability Notes JVN#86026700
GroupSession における複数の脆弱性
https://jvn.jp/jp/JVN86026700/

概要

GroupSessionには、複数の脆弱性があります。結果として、遠隔の第三者が、
任意のスクリプト実行や、製品の設定変更をするなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- GroupSession 無料版 ver2.2.0からver5.1.0より前のバージョン
- GroupSession byCloud ver3.0.3からver5.1.0より前のバージョン
- GroupSession ZION ver3.0.3からver5.1.0より前のバージョン

この問題は、GroupSessionを日本トータルシステム株式会社が提供する修正済
みのバージョンに更新することで解決します。詳細は、日本トータルシステム
株式会社が提供する情報を参照してください。

【13】三菱電機製MELSEC FシリーズEthernetインタフェースブロックにNULLポインター参照の脆弱性

情報源

Japan Vulnerability Notes JVNVU#94348759
三菱電機製 MELSEC F シリーズ Ethernet インタフェースブロックにおける NULL ポインタ参照の脆弱性
https://jvn.jp/vu/JVNVU94348759/

概要

三菱電機製MELSEC FシリーズEthernetインタフェースブロックには、NULLポイン
ター参照の脆弱性があります。結果として、遠隔の第三者が当該機器をサービ
ス運用妨害 (DoS) 状態にする可能性があります。

対象となる製品およびバージョンは次のとおりです。

- FX3U-ENETファームウェアバージョン1.14 およびそれ以前
- FX3U-ENET-Lファームウェアバージョン1.14 およびそれ以前
- FX3U-ENET-P502ファームウェアバージョン1.14 およびそれ以前

この問題は、該当する製品を三菱電機株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、三菱電機株式会社が提供する情報を参
照してください。

■今週のひとくちメモ

○経済産業省および総務省が「DX時代における企業のプライバシーガバナンスガイドブックver1.1」を策定

2021年7月19日、経済産業省および総務省は「DX時代における企業のプライバ
シーガバナンスガイドブックver1.1」を策定しました。本ガイドブックは、企
業がプライバシーガバナンスの構築のために取り組むべきことを取りまとめて
おり、その実践にあたって、参考となる具体的事例を掲載しています。ver1.1
では、企業がプライバシーガバナンスを構築する上で参考となる具体的な事例
が更新されています。

参考文献 (日本語)

経済産業省
「DX時代における企業のプライバシーガバナンスガイドブックver1.1」を策定しました
https://www.meti.go.jp/press/2021/07/20210719001/20210715009.html

■JPCERT/CCからのお願い

本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2021-07-28号

<<< JPCERT/CC WEEKLY REPORT 2021-07-28 >>>

■07/18(日)〜07/24(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

○経済産業省および総務省が「DX時代における企業のプライバシーガバナンスガイドブックver1.1」を策定

参考文献 (日本語)

■JPCERT/CCからのお願い

目　次