JPCERT コーディネーションセンター

Weekly Report 2021-10-20号

JPCERT-WR-2021-4101
JPCERT/CC
2021-10-20

<<< JPCERT/CC WEEKLY REPORT 2021-10-20 >>>

■10/10(日)〜10/16(土) のセキュリティ関連情報

目 次

【1】複数のマイクロソフト製品に脆弱性

【2】Google Chromeに複数の脆弱性

【3】iOSおよびiPadOSにメモリ破損の脆弱性

【4】複数のアドビ製品に脆弱性

【5】複数のJuniper製品に脆弱性

【6】Apache Tomcatにサービス運用妨害(DoS)の脆弱性

【7】複数のIntel製品に脆弱性

【8】オムロン製CX-Supervisorに領域外のメモリ参照の脆弱性

【今週のひとくちメモ】内閣サイバーセキュリティセンター(NISC)がランサムウェア特設ページ「ストップ!ランサムウェア」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr214101.txt
https://www.jpcert.or.jp/wr/2021/wr214101.xml

【1】複数のマイクロソフト製品に脆弱性

情報源

CISA Current Activity
Microsoft Releases October 2021 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/10/12/microsoft-releases-october-2021-security-updates

概要

複数のマイクロソフト製品には、複数の脆弱性があります。結果として、第三
者が任意のコードを実行するなどの可能性があります。

対象となる製品は、多岐に渡ります。詳細はマイクロソフト株式会社が提供す
るアドバイザリ情報を参照してください。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく
ださい。

関連文書 (日本語)

マイクロソフト株式会社
2021 年 10 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/releaseNote/2021-Oct

JPCERT/CC 注意喚起
2021年10月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2021/at210045.html

【2】Google Chromeに複数の脆弱性

情報源

CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/10/12/google-releases-security-updates-chrome

概要

Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 94.0.4606.81より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/10/stable-channel-update-for-desktop.html

【3】iOSおよびiPadOSにメモリ破損の脆弱性

情報源

CISA Current Activity
Apple Releases Security Update to Address CVE-2021-30883
https://us-cert.cisa.gov/ncas/current-activity/2021/10/12/apple-releases-security-update-address-cve-2021-30883

概要

iOSおよびiPadOSには、メモリ破損の脆弱性があります。結果として、第三者
が任意のコードを実行する可能性があります。

対象となるOSおよびバージョンは次のとおりです。

- iOS 15.0.2より前のバージョン
- iPadOS 15.0.2より前のバージョン

この問題は、該当するOSをAppleが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)

Apple
iOS 15.0.2 および iPadOS 15.0.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212846

JPCERT/CC CyberNewsFlash
Apple製品のアップデートについて(2021年10月)
https://www.jpcert.or.jp/newsflash/2021101201.html

【4】複数のアドビ製品に脆弱性

情報源

CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/10/12/adobe-releases-security-updates-multiple-products

概要

複数のアドビ製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe Campaign Standard
- Adobe Commerce
- Adobe ops-cli
- Adobe Acrobat Reader for Android
- Adobe Connect
- Adobe Acrobat
- Adobe Acrobat Reader

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC 注意喚起
Adobe AcrobatおよびReaderの脆弱性(APSB21-104)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210044.html

JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021101501.html

アドビ
Adobe Campaign Standard に関するセキュリティアップデート公開 | APSB21-52
https://helpx.adobe.com/jp/security/products/campaign/apsb21-52.html

アドビ
Adobe Commerce に関するセキュリティアップデート公開 | APSB21-86
https://helpx.adobe.com/jp/security/products/magento/apsb21-86.html

アドビ
Adobe ops-cli で利用可能なセキュリティ更新プログラム | APSB21-88
https://helpx.adobe.com/jp/security/products/ops_cli/apsb21-88.html

アドビ
Adobe Acrobat Reader for Android で利用可能なセキュリティ更新プログラム | APSB21-89
https://helpx.adobe.com/jp/security/products/reader-mobile/apsb21-89.html

アドビ
Adobe Connect で利用可能なセキュリティ更新プログラム | APSB21-91
https://helpx.adobe.com/jp/security/products/connect/apsb21-91.html

アドビ
Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB21-104
https://helpx.adobe.com/jp/security/products/acrobat/apsb21-104.html

【5】複数のJuniper製品に脆弱性

情報源

CISA Current Activity
Juniper Networks Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/10/14/juniper-networks-releases-security-updates-multiple-products

概要

複数のJuniper製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は、多岐に渡ります。詳細はJuniperが提供するアドバイザリ
情報を参照してください。

この問題は、該当する製品をJuniperが提供する修正済みのバージョンに更新
することで解決します。詳細は、Juniperが提供する情報を参照してください。

関連文書 (英語)

Juniper Networks
Browse by Category: Security Advisories - Security Advisories
https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES

【6】Apache Tomcatにサービス運用妨害(DoS)の脆弱性

情報源

CISA Current Activity
Apache Releases Security Advisory for Tomcat
https://us-cert.cisa.gov/ncas/current-activity/2021/10/15/apache-releases-security-advisory-tomcat

Japan Vulnerability Notes JVNVU#92237586
Apache Tomcatにおけるサービス運用妨害(DoS)の脆弱性
https://jvn.jp/vu/JVNVU92237586/

概要

Apache Tomcatには、サービス運用妨害(DoS)の脆弱性があります。結果とし
て、遠隔の第三者がサービス運用妨害(DoS)攻撃を行う可能性があります。

対象となるバージョンは次のとおりです。

- Apache Tomcat 10.1.0-M1から10.1.0-M5まで
- Apache Tomcat 10.0.0-M10から10.0.11まで
- Apache Tomcat 9.0.40から9.0.53まで
- Apache Tomcat 8.5.60から8.5.71まで

この問題は、Apache TomcatをThe Apache Software Foundationが提供する修
正済みのバージョンに更新することで解決します。詳細は、
The Apache Software Foundationが提供する情報を参照してください。

関連文書 (英語)

The Apache Software Foundation
CVE-2021-42340 Denial of Service
https://lists.apache.org/thread.html/r83a35be60f06aca2065f188ee542b9099695d57ced2e70e0885f905c%40%3Cannounce.apache.org%3E

The Apache Software Foundation
Fixed in Apache Tomcat 10.1.0-M6
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.0-M6

The Apache Software Foundation
Fixed in Apache Tomcat 10.0.12
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.12

The Apache Software Foundation
Fixed in Apache Tomcat 9.0.54
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.54

The Apache Software Foundation
Fixed in Apache Tomcat 8.5.72
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.72

【7】複数のIntel製品に脆弱性

情報源

Japan Vulnerability Notes JVNVU#92532697
Intel製品に複数の脆弱性(2021年10月)
https://jvn.jp/vu/JVNVU92532697/

概要

複数のIntel製品には、脆弱性があります。結果として、第三者が権限を昇格
したり、情報を窃取したりする可能性があります。

対象となる製品は、多岐にわたります。詳細は、Intelが提供する情報を参照
してください。

関連文書 (日本語)

JPCERT/CC CyberNewsFlash
Intel製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2021101301.html

関連文書 (英語)

Intel
Intel HAXM Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00544.html

Intel
Intel SGX SDK Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00548.html

【8】オムロン製CX-Supervisorに領域外のメモリ参照の脆弱性

情報源

Japan Vulnerability Notes JVNVU#90041391
オムロン製CX-Supervisorにおける領域外のメモリ参照の脆弱性
https://jvn.jp/vu/JVNVU90041391/

概要

オムロン株式会社が提供するCX-Supervisorには、領域外のメモリ参照の脆弱
性があります。結果として、当該製品の設定を変更可能なユーザーが、細工さ
れたSCSプロジェクトファイルを開くことで、情報漏えいが起きたり、任意の
コードを実行されたりする可能性があります。

対象となるバージョンは次のとおりです。

- CX-Supervisor v4.0.0.13、v4.0.0.16

開発者によると、本脆弱性を検証し再現することを確認したバージョンは上記
であるとのことです。また、CX-Supervisorは日本国外でのみ販売されている
製品であるとのことです。

この問題は、該当する製品をオムロン株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、オムロン株式会社が提供する情報を参
照してください。

関連文書 (英語)

オムロン株式会社
Release Notes For CX-Supervisor 4.1.1.2
https://www.myomron.com/index.php?action=kb&article=1692

■今週のひとくちメモ

○内閣サイバーセキュリティセンター(NISC)がランサムウェア特設ページ「ストップ!ランサムウェア」を公開

2021年10月13日、内閣サイバーセキュリティセンター(NISC)は、日本国内の
関係機関におけるランサムウェアに関する取り組みを紹介する特設ページ
「ストップ!ランサムウェア」を公開しました。ランサムウェアによるサイバー
攻撃は国内外のさまざまな組織で確認されており、注意が必要です。被害防止
の対策や緊急時の対応体制などをご検討いただく上での参考情報としてご活用
ください。

参考文献 (日本語)

内閣サイバーセキュリティセンター(NISC)
ランサムウェア特設ページ
https://security-portal.nisc.go.jp/stopransomware/

■JPCERT/CCからのお願い

  • 本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter