JPCERT-WR-2021-4901

JPCERT/CC

2021-12-15

<<< JPCERT/CC WEEKLY REPORT 2021-12-15 >>>

■12/05(日)〜12/11(土) のセキュリティ関連情報

目　次

【1】Apache Log4jに任意のコード実行の脆弱性

【2】ManageEngine Desktop CentralおよびManageEngine Desktop Central MSPに認証回避の脆弱性

【3】Google Chromeに複数の脆弱性

【4】複数のCisco製品にApache HTTP Serverと関連する脆弱性

【5】SonicWall SMA 100シリーズ製品に複数の脆弱性

【6】複数のMozilla製品に脆弱性

【7】トレンドマイクロ製ウイルスバスタークラウドに複数の脆弱性

【8】Djangoにアクセス制御回避の脆弱性

【今週のひとくちメモ】制御システムセキュリティカンファレンス 2022 参加登録開始のお知らせ

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr214901.txt
https://www.jpcert.or.jp/wr/2021/wr214901.xml

【1】Apache Log4jに任意のコード実行の脆弱性

情報源

CISA Current Activity
Apache Releases Log4j Version 2.15.0 to Address Critical RCE Vulnerability Under Exploitation
https://www.cisa.gov/uscert/ncas/current-activity/2021/12/10/apache-releases-log4j-version-2150-address-critical-rce

概要

JavaベースのオープンソースのロギングライブラリのApache Log4jには、任意
のコード実行の脆弱性があります。結果として、遠隔の第三者が、Apache
Log4jが動作するサーバーにおいて、細工したデータを送信することで、任意
のコードを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Apache Log4j-core 2.15.0より前の2系のバージョン

なお、すでにEnd of Lifeを迎えているApache Log4j 1系のバージョンは、
Lookup機能が含まれておらず、JMS Appenderが有効でもクラス情報がデシリア
ライズされないため影響を受けないとの情報を確認しています。

この問題は、該当する製品をApache Software Foundationが提供する修正済み
のバージョンに更新することで解決します。詳細は、Apache Software
Foundationが提供する情報を参照してください。

【2】ManageEngine Desktop CentralおよびManageEngine Desktop Central MSPに認証回避の脆弱性

情報源

CISA Current Activity
Zoho Releases Security Advisory for ManageEngine Desktop Central and Desktop Central MSP
https://us-cert.cisa.gov/ncas/current-activity/2021/12/06/zoho-releases-security-advisory-manageengine-desktop-central-and

概要

Zohoが提供するManageEngine Desktop CentralおよびManageEngine Desktop
Central MSPには、認証回避の脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- ManageEngine Desktop Central ビルド番号10.1.2127.17およびそれ以前と、10.1.2128.0から10.1.2137.2までのバージョン
- ManageEngine Desktop Central MSP ビルド番号10.1.2127.17およびそれ以前と、10.1.2128.0から10.1.2137.2までのバージョン

この問題は、該当する製品をZohoが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Zohoが提供する情報を参照してください。

【3】Google Chromeに複数の脆弱性

情報源

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/12/stable-channel-update-for-desktop.html

概要

Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 96.0.4664.93より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

【4】複数のCisco製品にApache HTTP Serverと関連する脆弱性

情報源

CISA Current Activity
Cisco Releases Security Advisory for Multiple Products Affected by Apache HTTP Server Vulnerabilities
https://www.cisa.gov/uscert/ncas/current-activity/2021/12/09/cisco-releases-security-advisory-multiple-products-affected-apache

概要

複数のCisco製品には、Apache HTTP Serverに関連する脆弱性があります。結
果として、遠隔の第三者がシステムを制御するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細や最新の情報については、Cisco
が提供するアドバイザリ情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

【5】SonicWall SMA 100シリーズ製品に複数の脆弱性

情報源

SonicWall
SonicWall Releases Security Advisory for SMA 100 Series Appliances
https://www.cisa.gov/uscert/ncas/current-activity/2021/12/08/sonicwall-releases-security-advisory-sma-100-series-appliances

概要

SonicWall SMA 100シリーズには、複数の脆弱性があります。結果として、遠
隔の第三者が任意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

製品
- SMA 100シリーズ(SMA 200, 210, 400, 410, 500v (ESX, Hyper-V, KVM, AWS, Azure)

バージョン
- 10.2.1.3-27svより前のバージョン
- 10.2.0.9-41svより前のバージョン

この問題は、該当する製品をSonicWallが提供する修正済みのバージョンに更
新することで解決します。詳細は、SonicWallが提供する情報を参照してくだ
さい。

なお、バージョン9系のファームウェアは2021年10月31日にEOLとなっており、
バージョン9系を使用している場合は、最新の10.2.xバージョンへのアップグ
レードが推奨されています。

【6】複数のMozilla製品に脆弱性

情報源

CISA Current Activity
Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird
https://www.cisa.gov/uscert/ncas/current-activity/2021/12/08/mozilla-releases-security-updates-firefox-firefox-esr-and

概要

複数のMozilla製品には、脆弱性があります。結果として、第三者がなりすま
し攻撃をするなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 95より前のバージョン
- Mozilla Firefox ESR 91.4.0より前のバージョン
- Mozilla Thunderbird 91.4.0より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

【7】トレンドマイクロ製ウイルスバスタークラウドに複数の脆弱性

情報源

Japan Vulnerability Notes JVNVU#98117192
トレンドマイクロ製ウイルスバスタークラウドにおける複数の脆弱性
https://jvn.jp/vu/JVNVU98117192/

概要

トレンドマイクロ株式会社が提供するウイルスバスター クラウドには、複数
の脆弱性があります。結果として、当該製品がインストールされたシステムに
ログイン可能なユーザーが、管理者権限を取得し、任意のコードを実行するな
どの可能性があります。

対象となるバージョンは次のとおりです。

- ウイルスバスター クラウド バージョン17.0

この問題は、当該製品をトレンドマイクロ株式会社が提供する最新版へアップ
デートしたうえで、最新のパターンファイルを適用することで解決します。詳
細は、トレンドマイクロ株式会社が提供する情報を参照してください。

【8】Djangoにアクセス制御回避の脆弱性

情報源

Django Software Foundation
Django security releases issued: 3.2.10, 3.1.14, and 2.2.25
https://www.djangoproject.com/weblog/2021/dec/07/security-releases/

概要

Djangoには、アクセス制限回避の脆弱性があります。

対象となるバージョンは次のとおりです。

- Django main branch
- Django 4.0
- Django 3.2
- Django 3.1
- Django 2.2

この問題は、当該製品をDjango Software Foundationが提供する最新版へアッ
プデートすることで解決します。詳細は、Django Software Foundationが提供
する情報を参照してください。

■今週のひとくちメモ

○制御システムセキュリティカンファレンス 2022 参加登録開始のお知らせ

2022年2月3日（木）、JPCERT/CCは、制御システムセキュリティカンファレン
ス 2022をオンラインで開催します。ユーザー企業によるICSセキュリティガイ
ドラインの自社内策定の取り組みや、ICSベンダー視点でのランサムウェア感
染被害に遭った際の迅速な復旧までの道筋や対策など、今回も幅広く講演タイ
トルをご用意いたしました。

参加をご希望の場合、申し込みフォームに必要事項をご記入いただき、受付窓
口までメールでお申し込みください。

参考文献 (日本語)

JPCERT/CC
制御システムセキュリティカンファレンス 2022
https://www.jpcert.or.jp/event/ics-conference2022.html

■JPCERT/CCからのお願い

本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2021-12-15号

<<< JPCERT/CC WEEKLY REPORT 2021-12-15 >>>

■12/05(日)〜12/11(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

○制御システムセキュリティカンファレンス 2022 参加登録開始のお知らせ

参考文献 (日本語)

■JPCERT/CCからのお願い

目　次