<<< JPCERT/CC WEEKLY REPORT 2021-09-15 >>>

■09/05(日)〜09/11(土) のセキュリティ関連情報

目　次

【1】Microsoft MSHTMLに任意コード実行の脆弱性

【2】複数のCisco製品に脆弱性

【3】複数のMozilla製品に脆弱性

【4】WordPressに複数の脆弱性

【5】Citrix Hypervisorに複数の脆弱性

【6】ADSelfService Plusに認証回避の脆弱性

【7】RevoWorks Browserに複数の脆弱性

【今週のひとくちメモ】EthicsfIRST インシデント対応およびセキュリティチームのための倫理規範（日本語版）を公開

【1】Microsoft MSHTMLに任意コード実行の脆弱性

情報源

CISA Current Activity
Microsoft Releases Mitigations and Workarounds for CVE-2021-40444
https://us-cert.cisa.gov/ncas/current-activity/2021/09/07/microsoft-releases-mitigations-and-workarounds-cve-2021-40444

概要

複数のマイクロソフト製品には、Microsoft MSHTMLの脆弱性があります。結果
として、遠隔の第三者が、細工したMicrosoft Officeなどのファイルをユーザー
に開かせることで、任意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
- Windows Server 2008 R2
- Windows Server 2008
- Windows Server, version 20H2
- Windows Server, version 2004
- Windows 10
- Windows RT 8.1
- Windows 8.1
- Windows 7

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフトが提供する情報を参照してください。

関連文書 (日本語)

マイクロソフト株式会社
Microsoft MSHTML のリモートでコードが実行される脆弱性
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444

JPCERT/CC
Microsoft MSHTMLの脆弱性（CVE-2021-40444）に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210038.html

【2】複数のCisco製品に脆弱性

情報源

CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/09/09/cisco-releases-security-updates-multiple-products

概要

複数のCisco製品には、影響度Highを含む複数の脆弱性があります。結果とし
て、遠隔の第三者が任意のファイルを読み書きするなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ
情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供するアドバイザリ情報を参照して
ください。

関連文書 (英語)

Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

Cisco Security Advisory
Cisco IOS XR Software for ASR 9000 Series Routers Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-npspin-QYpwdhFD

Cisco Security Advisory
Cisco IOS XR Software IP Service Level Agreements and Two-Way Active Measurement Protocol Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ipsla-ZA3SRrpP

Cisco Security Advisory
Cisco IOS XR Software Arbitrary File Read and Write Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-scp-inject-QwZOCv2

Cisco Security Advisory
Cisco IOS XR Software Authenticated User Privilege Escalation Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-privescal-dZYMrKf

【3】複数のMozilla製品に脆弱性

情報源

CISA Current Activity
Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird
https://us-cert.cisa.gov/ncas/current-activity/2021/09/08/mozilla-releases-security-updates-firefox-firefox-esr-and

概要

複数のMozilla製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 92より前のバージョン
- Mozilla Firefox ESR 78.14より前のバージョン
- Mozilla Thunderbird 78.14より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)

Mozilla
Security Vulnerabilities fixed in Firefox 92
https://www.mozilla.org/en-US/security/advisories/mfsa2021-38/

Mozilla
Security Vulnerabilities fixed in Firefox ESR 78.14
https://www.mozilla.org/en-US/security/advisories/mfsa2021-39/

Mozilla
Security Vulnerabilities fixed in Thunderbird 78.14
https://www.mozilla.org/en-US/security/advisories/mfsa2021-42/

【4】WordPressに複数の脆弱性

情報源

CISA Current Activity
WordPress Releases Security Update
https://us-cert.cisa.gov/ncas/current-activity/2021/09/10/wordpress-releases-security-update

概要

WordPressには、複数の脆弱性があります。結果として、遠隔の第三者が情報
を窃取するなどの可能性があります。

対象となるバージョンは次のとおりです。

- WordPress 5.4から5.8までのすべてのバージョン

この問題は、WordPressをWordPressが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、WordPressが提供する情報を参照してください。

関連文書 (日本語)

WordPress
WordPress 5.8.1 セキュリティとメンテナンスのリリース
https://ja.wordpress.org/2021/09/09/wordpress-5-8-1-security-and-maintenance-release/

【5】Citrix Hypervisorに複数の脆弱性

情報源

CISA Current Activity
Citrix Releases Security Updates for Hypervisor
https://us-cert.cisa.gov/ncas/current-activity/2021/09/09/citrix-releases-security-updates-hypervisor

概要

Citrix Hypervisorには、複数の脆弱性があります。結果として、第三者がサー
ビス運用妨害（DoS）攻撃を行なったり、コード実行したりする可能性があり
ます。

対象となる製品およびバージョンは次のとおりです。

- Citrix Hypervisor 8.2 LTSR
- Citrix Hypervisor（XenServer） 7.1 LTSR CU2

なお、Citrixによると、Citrix Hypervisor 8.2 LTSRのみが影響を受ける
CVE-2021-28699を除き、全てのサポート対象のCitrix Hypervisorが影響を受
けるとのことです。脆弱性を修正するパッチは、上記のバージョン向けに公開
されています。

この問題は、該当する製品にCitrixが提供するパッチを適用することで解決し
ます。詳細は、Citrixが提供する情報を参照してください。

関連文書 (英語)

Citrix
Citrix Hypervisor Security Update
https://support.citrix.com/article/CTX325319

【6】ADSelfService Plusに認証回避の脆弱性

情報源

CISA Current Activity
Zoho Releases Security Update for ADSelfService Plus
https://us-cert.cisa.gov/ncas/current-activity/2021/09/07/zoho-releases-security-update-adselfservice-plus

概要

Zohoが提供するADSelfService Plusには、認証回避の脆弱性があります。結果
として、遠隔の第三者が任意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- ADSelfService Plus 6114より前のバージョン

この問題は、該当する製品をZohoが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Zohoが提供する情報を参照してください。

関連文書 (英語)

Zoho
Security Advisory - CVE-2021-40539
https://www.manageengine.com/products/self-service-password/kb/how-to-fix-authentication-bypass-vulnerability-in-REST-API.html

【7】RevoWorks Browserに複数の脆弱性

情報源

Japan Vulnerability Notes JVN#81658818
RevoWorks Browser における複数の脆弱性
https://jvn.jp/jp/JVN81658818/

概要

ジェイズ・コミュニケーション株式会社が提供するRevoWorks Browserには、
複数の脆弱性があります。結果として、当該製品へアクセス可能な第三者が任
意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- RevoWorks Browser 2.1.197から2.1.230までのバージョン

開発者によると、RevoWorks Browser 2.0系は本脆弱性の影響を受けないとの
ことです。

この問題は、該当する製品をジェイズ・コミュニケーション株式会社が提供す
る修正済みのバージョンに更新することで解決します。詳細は、ジェイズ・コ
ミュニケーション株式会社が提供する情報を参照してください。

関連文書 (日本語)

ジェイズ・コミュニケーション株式会社
【重要】RevoWorks Browser の複数の脆弱性(CVE-2021-20790、CVE-2021-20791)に関する注意喚起
https://jscom.jp/news-20210910_2/

■今週のひとくちメモ

○EthicsfIRST インシデント対応およびセキュリティチームのための倫理規範（日本語版）を公開

FIRST（Forum of Incident Response and Security Teams）のEthics SIGが作
成した、インシデント対応およびセキュリティチームのための倫理規範となる
Ethics for IncidentResponse and Security Teams（EthicsfIRST）について、
日本語版が公開されました。

EthicsfIRSTはインシデント対応に際して、チームメンバー全員の倫理的な行
動を奨励する手引きとなるように設計されており、信頼性や協調的な脆弱性開
示、機密保持の義務などの重要なポイントが記載されています。日本語版は、
日本シーサート協議会（NCA）の有志チームが翻訳し、JPCERT/CCおよび
NTT-CERTのレビューを経てFIRSTのWebサイトに公開されました。

参考文献 (日本語)

JPCERT/CC
EthicsfIRST インシデント対応およびセキュリティチームのための倫理規範（日本語版）
https://www.jpcert.or.jp/research/FIRST-EthicsfIRST.html

■JPCERT/CCからのお願い