JPCERT-WR-2020-4901
2020-12-16
2020-12-06
2020-12-12
複数の Microsoft 製品に脆弱性
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。
対象となる製品は次のとおりです。
- Microsoft Windows
- Microsoft Edge (EdgeHTML ベース)
- ChakraCore
- Microsoft Office、Microsoft Office Services および Web Apps
- Microsoft Windows Codecs Library
- Microsoft Exchange Server
- Azure DevOps
- Microsoft Dynamics
- Visual Studio
- Azure SDK
- Azure Sphere
この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
とで解決します。詳細は、Microsoft が提供する情報を参照してください。
マイクロソフト株式会社
2020 年 12 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2020-Dec
JPCERT/CC 注意喚起
2020年12月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200047.html
複数の Adobe 製品に脆弱性
複数の Adobe 製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。
対象となる製品は次のとおりです。
- Acrobat DC
- Acrobat 2017
- Acrobat 2020
- Acrobat Reader DC
- Acrobat Reader 2017
- Acrobat Reader 2020
- Adobe Experience Manager
- Adobe Experience Manager Forms アドオン
- Adobe Lightroom Classic
- Adobe Prelude
この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。
JPCERT/CC 注意喚起
Adobe Acrobat および Reader の脆弱性 (APSB20-75) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200049.html
JPCERT/CC CyberNewsFlash
複数の Adobe 製品のアップデートや予告について
https://www.jpcert.or.jp/newsflash/2020120901.html
Adobe
Adobe Prelude に関するセキュリティアップデート公開 | APSB20-70
https://helpx.adobe.com/jp/security/products/prelude/apsb20-70.html
Adobe
Adobe Experience Manager に関するセキュリティアップデート公開 | APSB20-72
https://helpx.adobe.com/jp/security/products/experience-manager/apsb20-72.html
Adobe
Adobe Lightroom に関するセキュリティアップデート公開 | APSB20-74
https://helpx.adobe.com/jp/security/products/lightroom/apsb20-74.html
Adobe
Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB20-75
https://helpx.adobe.com/jp/security/products/acrobat/apsb20-75.html
Apache Struts 2 に任意のコードが実行可能な脆弱性
Apache Software Foundation が提供する Apache Struts 2 には、不適切な入
力確認に起因する任意のコードが実行可能な脆弱性があります。結果として、
遠隔の第三者が、任意のコードを実行する可能性があります。
対象となるバージョンは次のとおりです。
- Apache Struts 2.0.0 から 2.5.25 までのバージョン
この問題は、Apache Struts 2 を Apache Software Foundation が提供する修
正済みのバージョンに更新することで解決します。詳細は Apache Software
Foundation が提供する情報を参照してください。
Japan Vulnerability Notes JVN#43969166
Apache Struts 2 において任意のコードが実行可能な脆弱性 (S2-061)
https://jvn.jp/jp/JVN43969166/
JPCERT/CC 注意喚起
Apache Struts 2 の脆弱性 (S2-061) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200046.html
The Apache Software Foundation
S2-061
https://cwiki.apache.org/confluence/display/WW/S2-061
OpenSSL に NULL ポインタ参照の脆弱性
OpenSSL Project が提供する OpenSSL には、NULL ポインタ参照の脆弱性があ
ります。結果として、遠隔の第三者が、OpenSSL を実行しているサーバーおよ
びクライアントアプリケーションにおいて、サービス運用妨害 (DoS) 攻撃を
行う可能性があります。
対象となるバージョンは次のとおりです。
- OpenSSL 1.1.1 から 1.1.1h までのバージョン
- OpenSSL 1.0.2 から 1.0.2w までのバージョン
この問題は、OpenSSL を OpenSSL Project が提供する修正済みのバージョン
に更新することで解決します。詳細は OpenSSL Project が提供する情報を参
照してください。
Japan Vulnerability Notes JVNVU#91053554
OpenSSL における NULL ポインタ参照の脆弱性
https://jvn.jp/vu/JVNVU91053554/
JPCERT/CC 注意喚起
OpenSSL の脆弱性 (CVE-2020-1971) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200048.html
OpenSSL Project
OpenSSL Security Advisory [08 December 2020]
https://www.openssl.org/news/secadv/20201208.txt
複数の SAP 製品に脆弱性
複数の SAP 製品には、脆弱性があります。結果として、遠隔の第三者が管理
者権限を取得し、システムを停止するなどの可能性があります。
対象となる製品は、多岐に渡ります。詳細は SAP が提供するアドバイザリ情
報を参照してください。
この問題は、該当する製品を SAP が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、SAP が提供する情報を参照してください。
SAP
SAP Security Patch Day December 2020
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=564757079
Cisco Jabber に複数の脆弱性
Cisco Jabber には、複数の脆弱性があります。結果として、遠隔の第三者が
システム上で任意のプログラムを実行するなどの可能性があります。
対象となる製品は次のとおりです。
- Cisco Jabber for Windows
- Cisco Jabber for MacOS
- Cisco Jabber for Android and iOS
この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。
Cisco
Cisco Jabber Desktop and Mobile Client Software Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-jabber-ZktzjpgO
三菱電機製 MELSEC iQ-F シリーズにサービス運用妨害 (DoS) の脆弱性
三菱電機株式会社が提供する MELSEC iQ-F シリーズ FX5U(C) CPU ユニットに
は、サービス運用妨害 (DoS) の脆弱性があります。 結果として、遠隔の第三
者が、プログラム実行および通信をサービス運用妨害 (DoS) 状態にする可能
性があります。
対象となるバージョンは次のとおりです。
- FX5U(C) CPU ユニット ファームウェアバージョン 1.060 およびそれ以前
この問題は、FX5U(C) CPU ユニット を三菱電機株式会社が提供する修正済み
のバージョンに更新することで解決します。詳細は、三菱電機株式会社が提供
する情報を参照してください。
三菱電機株式会社
MELSEC iQ-FシリーズCPUユニット のEthernetポートにおけるサービス拒否(DoS)の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2020-018.pdf
ICS Advisory (ICSA-20-345-01)
Mitsubishi Electric MELSEC iQ-F Series
https://us-cert.cisa.gov/ics/advisories/icsa-20-345-01
NEC Aterm SA3500G に複数の脆弱性
日本電気株式会社が提供する Aterm SA3500G には、複数の脆弱性があります。
結果として、当該製品にアクセスが可能な第三者が、任意のコマンドを実行す
るなどの可能性があります。
対象となるバージョンは次のとおりです。
- Aterm SA3500G ファームウェア Ver3.5.9 およびそれ以前
この問題は、Aterm SA3500G を日本電気株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、日本電気株式会社が提供する情報を参
照してください。
NECプラットフォームズ株式会社
Aterm SA3500Gにおける複数の脆弱性
https://www.necplatforms.co.jp/product/security_ap/info_20201211.html
Apache Cordova Plugin camera に情報漏えいの脆弱性
Apache Cordova Project が提供する Apache Cordova Plugin camera には、
情報漏えいの脆弱性があります。外部ストレージを持っている Android デバ
イスで当該製品を利用している場合、外部ストレージに保存された画像データ
にアクセスされる可能性があります。
対象となるバージョンは次のとおりです。
- Apache Cordova Plugin camera 5.0.0 より前のバージョン
この問題は、Apache Cordova Plugin camera を Apache Cordova Project が
提供する修正済みのバージョンに更新することで解決します。詳細は、Apache
Cordova Project が提供する情報を参照してください。
Apache Cordova Project
Security Advisory CVE-2020-11990
https://cordova.apache.org/news/2020/11/30/cve-2020-11990.html
トレンドマイクロ株式会社製 ServerProtect for Linux にヒープベースのバッファオーバーフローの脆弱性
トレンドマイクロ株式会社が提供する ServerProtect for Linux には、ヒー
プベースのバッファオーバーフローの脆弱性があります。 結果として、高特
権コードを実行可能な第三者が、権限を昇格する可能性があります。
対象となるバージョンは次のとおりです。
- ServerProtect for Linux バージョン 3.0
この問題は、ServerProtect for Linux をトレンドマイクロ株式会社が提供す
る修正済みのバージョンに更新することで解決します。詳細は、トレンドマイ
クロ株式会社が提供する情報を参照してください。
トレンドマイクロ株式会社
アラート/アドバイザリ:ServerProtect for Linuxのヒープベースバッファオーバーフロー特権昇格脆弱性(CVE-2020-28575)について
https://success.trendmicro.com/jp/solution/000281952
JPCERT/CC Eyes 「Quasar Familyによる攻撃活動」を公開
2020年12月10日、JPCERT/CC は、公式ブログ JPCERT/CC Eyes にて「Quasar
Familyによる攻撃活動」を公開しました。Quasar はオープンソースの RAT(Remote
Administration Tool)で、多くの攻撃者に悪用されていることが報告されて
います。また、Quasar は、多くの派生があり、それらは Quasar Family と呼
ばれています。今回は Quasar および Quasar Family の詳細について紹介し
ています。
JPCERT/CC
Quasar Familyによる攻撃活動
https://blogs.jpcert.or.jp/ja/2020/12/quasar-family.html