<<< JPCERT/CC WEEKLY REPORT 2021-12-22 >>>

■12/12(日)〜12/18(土) のセキュリティ関連情報

目　次

【1】複数のマイクロソフト製品に脆弱性

【2】複数のアドビ製品に脆弱性

【3】複数のSAP製品に脆弱性

【4】複数のApple製品に脆弱性

【5】Google Chromeに複数の脆弱性

【6】VMware Workspace ONE UEM consoleにサーバーサイドリクエストフォージェリの脆弱性

【7】OpenSSLのlibsslにX509_verify_cert()内部エラーの不正な処理の問題

【今週のひとくちメモ】JPCERT/CCが「Apache Log4j2のRCE脆弱性（CVE-2021-44228）を狙う攻撃観測」を公開

【1】複数のマイクロソフト製品に脆弱性

情報源

CISA Current Activity
Microsoft Releases December 2021 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2021/12/14/microsoft-releases-december-2021-security-updates

概要

複数のマイクロソフト製品には、複数の脆弱性があります。結果として、遠隔
の第三者が任意のコードを実行するなどの可能性があります。

対象となる製品は、多岐に渡ります。詳細はマイクロソフト株式会社が提供す
るアドバイザリ情報を参照してください。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく
ださい。

関連文書 (日本語)

マイクロソフト株式会社
2021 年 12 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2021-Dec

JPCERT/CC 注意喚起
2021年12月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2021/at210051.html

【2】複数のアドビ製品に脆弱性

情報源

CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2021/12/14/adobe-releases-security-updates-multiple-products

概要

複数のアドビ製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe Premiere Rush
- Adobe Experience Manager (AEM)
- Adobe Connect
- Photoshop 2021
- Photoshop 2022
- Adobe Prelude
- Adobe After Effects
- Adobe Dimension
- Adobe Premiere Pro
- Adobe Media Encoder
- Adobe Lightroom
- Adobe Audition

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021121501.html

関連文書 (英語)

アドビ
Security Updates Available for Adobe Premiere Rush | APSB21-101
https://helpx.adobe.com/security/products/premiere_rush/apsb21-101.html

アドビ
Security updates available for Adobe Experience Manager | APSB21-103
https://helpx.adobe.com/security/products/experience-manager/apsb21-103.html

アドビ
Security update available for Adobe Connect | APSB21-112
https://helpx.adobe.com/security/products/connect/apsb21-112.html

アドビ
Security update available for Adobe Photoshop | APSB21-113
https://helpx.adobe.com/security/products/photoshop/apsb21-113.html

アドビ
Security Updates Available for Adobe Prelude | APSB21-114
https://helpx.adobe.com/security/products/prelude/apsb21-114.html

アドビ
Security Updates Available for Adobe After Effects | APSB21-115
https://helpx.adobe.com/security/products/after_effects/apsb21-115.html

アドビ
Security updates available for Dimension | APSB21-116
https://helpx.adobe.com/security/products/dimension/apsb21-116.html

アドビ
Security Updates Available for Adobe Premiere Pro | APSB21-117
https://helpx.adobe.com/security/products/premiere_pro/apsb21-117.html

アドビ
Security Updates Available for Adobe Media Encoder | APSB21-118
https://helpx.adobe.com/security/products/media-encoder/apsb21-118.html

アドビ
Security Updates Available for Adobe Lightroom | APSB21-119
https://helpx.adobe.com/security/products/lightroom/apsb21-119.html

アドビ
Security Updates Available for Adobe Audition | APSB21-121
https://helpx.adobe.com/security/products/audition/apsb21-121.html

【3】複数のSAP製品に脆弱性

情報源

CISA Current Activity
SAP Releases December 2021 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2021/12/14/sap-releases-december-2021-security-updates

概要

複数のSAP製品には、脆弱性があります。結果として、遠隔の第三者が任意の
コードを実行するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はSAPが提供するアドバイザリ情
報を参照してください。

この問題は、該当する製品をSAPが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、SAPが提供する情報を参照してください。

関連文書 (英語)

SAP
SAP Security Patch Day December 2021
https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+-+December+2021

【4】複数のApple製品に脆弱性

情報源

CISA Current Activity
Apple Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2021/12/14/apple-releases-security-updates-multiple-products

概要

複数のApple製品には、複数の脆弱性があります。結果として、遠隔の第三者
が任意のコマンドを実行するなどの可能性があります。

対象となる製品及びバージョンは次のとおりです。

- Safari 15.2より前のバージョン
- iOS 15.2より前のバージョン
- iPadOS 15.2より前のバージョン
- macOS Monterey 12.1より前のバージョン
- macOS Big Sur 11.6.2より前のバージョン
- macOS Catalina（Security Update 2021-008 未適用）
- tvOS 15.2より前のバージョン
- watchOS 8.3より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC CyberNewsFlash
Apple製品のアップデートについて（2021年12月）
https://www.jpcert.or.jp/newsflash/2021121401.html

Apple
Safari 15.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212982

Apple
iOS 15.2 および iPadOS 15.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212976

Apple
macOS Monterey 12.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212978

Apple
macOS Big Sur 11.6.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212979

Apple
セキュリティアップデート 2021-008 Catalina のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212981

Apple
tvOS 15.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212980

Apple
watchOS 8.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212975

【5】Google Chromeに複数の脆弱性

情報源

CISA Current Activity
Google Releases Security Updates for Chrome
https://www.cisa.gov/uscert/ncas/current-activity/2021/12/14/google-releases-security-updates-chrome

概要

Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome  96.0.4664.110より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

関連文書 (英語)

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/12/stable-channel-update-for-desktop_13.html

【6】VMware Workspace ONE UEM consoleにサーバーサイドリクエストフォージェリの脆弱性

情報源

CISA Current Activity
VMware Releases Security Advisory
https://www.cisa.gov/uscert/ncas/current-activity/2021/12/17/vmware-releases-security-advisory

概要

VMware Workspace ONE UEM consoleには、サーバーサイドリクエストフォージェリ
の脆弱性があります。結果として遠隔の第三者が、機微な情報を窃取する可能
性があります。

対象となる製品は次のとおりです。

- VMware Workspace ONE UEM console

この問題は、VMware Workspace ONE UEM consoleをVMwareが提供する修正済み
のバージョンに更新することで解決します。詳細は、VMwareが提供する情報を
参照してください。

関連文書 (英語)

VMware
VMSA-2021-0029
https://www.vmware.com/security/advisories/VMSA-2021-0029.html

【7】OpenSSLのlibsslにX509_verify_cert()内部エラーの不正な処理の問題

情報源

Japan Vulnerability Notes JVNVU#90127554
OpenSSLのlibsslにおけるX509_verify_cert()内部エラーの不正な処理
https://jvn.jp/vu/JVNVU90127554/

概要

OpenSSLのlibsslには、内部エラーの発生を示すX509_verify_cert()関数から
の戻り値（負の値）の処理に問題があります。結果としてアプリケーションに
クラッシュなどが発生する可能性があります。

対象となるバージョンは次のとおりです。

- OpenSSL 3.0.0 SSL/TLS クライアント

この問題は、OpenSSLをOpenSSL Projectが提供する修正済みのバージョンに更
新することで解決します。詳細は、OpenSSL Projectが提供する情報を参照し
てください。

関連文書 (英語)

OpenSSL
OpenSSL Security Advisory [14 December 2021]
https://www.openssl.org/news/secadv/20211214.txt

■今週のひとくちメモ

○JPCERT/CCが「Apache Log4j2のRCE脆弱性（CVE-2021-44228）を狙う攻撃観測」を公開

2021年12月17日（金）、JPCERT/CCは、「Apache Log4j2のRCE脆弱性（CVE-202
1-44228）を狙う攻撃観測」をJPCERT/CC Eyesで公開しました。
本記事では、JPCERT/CCにてApache Log4j2において発見されたリモートコード
実行の脆弱性の攻撃の観測結果をまとめたものです。観測件数や攻撃文字列を
紹介しています。本製品は多数の製品に組み込まれているものと推測されます。
被害を受けていないかの確認や対策に活用ください。

参考文献 (日本語)

JPCERT/CC JPCERT/CC Eyes
Apache Log4j2のRCE脆弱性（CVE-2021-44228）を狙う攻撃観測
https://blogs.jpcert.or.jp/ja/2021/12/log4j-cve-2021-44228.html

■JPCERT/CCからのお願い