-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2020-5001 JPCERT/CC 2020-12-23 <<< JPCERT/CC WEEKLY REPORT 2020-12-23 >>> ―――――――――――――――――――――――――――――――――――――― ■12/13(日)〜12/19(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Mozilla 製品に脆弱性 【2】複数の Apple 製品に脆弱性 【3】GROWI に複数の脆弱性 【4】日本電気株式会社製ディスクアレイ管理ソフトウェアにサーバ証明書の検証不備の脆弱性 【5】複数のセイコーエプソン製品で作成された自己解凍形式ファイルに DLL 読み込みの脆弱性 【6】経済産業省が「サイバーセキュリティの取組の強化に関する注意喚起」を公開 【今週のひとくちメモ】制御システムセキュリティカンファレンス 2021 参加登録開始のお知らせ ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2020/wr205001.html https://www.jpcert.or.jp/wr/2020/wr205001.xml ============================================================================ 【1】複数の Mozilla 製品に脆弱性 情報源 CISA Current Activity Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird https://us-cert.cisa.gov/ncas/current-activity/2020/12/16/mozilla-releases-security-updates-firefox-firefox-esr-and 概要 複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が 製品をクラッシュするなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Mozilla Firefox 84 より前のバージョン - Mozilla Firefox ESR 78.6 より前のバージョン - Mozilla Thunderbird 78.6 より前のバージョン この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更 新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ い。 関連文書 (英語) Mozilla Security Vulnerabilities fixed in Firefox 84 https://www.mozilla.org/en-US/security/advisories/mfsa2020-54/ Mozilla Security Vulnerabilities fixed in Firefox ESR 78.6 https://www.mozilla.org/en-US/security/advisories/mfsa2020-55/ Mozilla Security Vulnerabilities fixed in Thunderbird 78.6 https://www.mozilla.org/en-US/security/advisories/mfsa2020-56/ 【2】複数の Apple 製品に脆弱性 情報源 CISA Current Activity Apple Releases Security Updates for Multiple Products https://us-cert.cisa.gov/ncas/current-activity/2020/12/15/apple-releases-security-updates-multiple-products Japan Vulnerability Notes JVNVU#95288122 複数の Apple 製品における脆弱性に対するアップデート https://jvn.jp/vu/JVNVU95288122/ 概要 複数の Apple 製品には、脆弱性があります。結果として、第三者が任意の コードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - iOS 14.3 より前のバージョン - iPadOS 14.3 より前のバージョン - tvOS 14.3 より前のバージョン - watchOS 7.2 より前のバージョン - Safari 14.0.2 より前のバージョン - macOS Big Sur 11.1 より前のバージョン - macOS Catalina (Security Update 2020-001 未適用) - macOS Mojave (Security Update 2020-007 未適用) - macOS Server 5.11 より前のバージョン この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新 することで解決します。詳細は、Apple が提供する情報を参照してください。 関連文書 (日本語) Apple iOS 14.3 および iPadOS 14.3 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT212003 Apple iOS 12.5 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT212004 Apple tvOS 14.3 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT212005 Apple watchOS 7.2 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT212009 Apple watchOS 6.3 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT212006 Apple Safari 14.0.2 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT212007 Apple macOS Big Sur 11.1、セキュリティアップデート 2020-001 Catalina、セキュリティアップデート 2020-007 Mojave のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT212011 Apple macOS Server 5.11 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT211932 【3】GROWI に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#94169589 GROWI における複数の脆弱性 https://jvn.jp/jp/JVN94169589/ 概要 株式会社WESEEK が提供する GROWI には、複数の脆弱性があります。結果と して、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行うなどの可能性があ ります。 対象となる製品バージョンは次のとおりです。 - GROWI v4.2.3 よりも前のバージョン (v4.2系) - GROWI v4.1.12 よりも前のバージョン (v4.1系) - GROWI v3系およびそれ以前のバージョン この問題は、GROWI を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。 【4】日本電気株式会社製ディスクアレイ管理ソフトウェアにサーバ証明書の検証不備の脆弱性 情報源 Japan Vulnerability Notes JVN#10100024 日本電気株式会社製ディスクアレイ管理ソフトウェアにサーバ証明書の検証不備の脆弱性 https://jvn.jp/jp/JVN10100024/ 概要 日本電気株式会社が提供するディスクアレイ管理ソフトウェアには、サーバ証 明書の検証不備の脆弱性があります。結果として、第三者が通信内容を窃取し たり、改ざんしたりする可能性があります。 対象となる製品およびバージョンは次のとおりです。 - WebSAM iStorageManager および iStorageManager Express で動作する次の製品 - iSM クライアント V5.1 から V12.1 より前のバージョン この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) 日本電気株式会社 iStorageManagerにおけるメッセージ改ざんの脆弱性 https://jpn.nec.com/security-info/secinfo/nv20-015.html 【5】複数のセイコーエプソン製品で作成された自己解凍形式ファイルに DLL 読み込みの脆弱性 情報源 Japan Vulnerability Notes JVN#94244575 複数のセイコーエプソン製品で作成された自己解凍形式ファイルにおける DLL 読み込みに関する脆弱性 https://jvn.jp/jp/JVN94244575/ 概要 セイコーエプソン株式会社が提供する複数の製品で作成された自己解凍形式ファ イルには、DLL 読み込みに関する脆弱性があります。結果として、第三者が当該 ファイルを実行している権限で、任意のコードを実行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - 下記バージョンの製品で作成された自己解凍形式ファイル - EpsonNet SetupManager バージョン 2.2.14 およびそれ以前 - Offirio SynergyWare PrintDirector バージョン 1.6x/1.6y およびそれ以前 この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) セイコーエプソン株式会社 エプソン製ソフトウェアで作成した自己解凍形式ファイルのDLL読み込みに関する脆弱性について https://www.epson.jp/support/misc_t/201217_oshirase.htm 【6】経済産業省が「サイバーセキュリティの取組の強化に関する注意喚起」を公開 情報源 経済産業省 最近のサイバー攻撃の状況を踏まえ、経営者の皆様へサイバーセキュリティの取組の強化に関する注意喚起を行います https://www.meti.go.jp/press/2020/12/20201218008/20201218008.html 概要 2020年12月18日、経済産業省は、サイバーセキュリティの取組の強化に関する 注意喚起を公開しました。サイバー攻撃の起点の拡大や烈度の増大が続いてい ることを受け、企業の経営者の方々に対し、サイバーセキュリティの取組の一 層の強化を促すため、最近の攻撃の特徴と目的を明らかにし、企業やその関係 機関等が対応する際に注意すべき点を整理しています。 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○制御システムセキュリティカンファレンス 2021 参加登録開始のお知らせ 2021年2月12日(金)、JPCERT/CC は、制御システムセキュリティカンファレン ス 2021 をオンラインで開催します。国内外の制御システムにおける脅威の現 状と関連業界や企業で行われているセキュリティに関する先進的な取り組みを 共有し、制御システムのセキュリティ対策技術の向上やベストプラクティス確 立を目的とした、制御システム関係者のためのイベントです。 参加をご希望の場合、申し込みフォームに必要事項をご記入いただき、受付窓 口までメールでお申し込みください。 参考文献 (日本語) JPCERT/CC 制御システムセキュリティカンファレンス 2021 https://www.jpcert.or.jp/event/ics-conference2021.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJf4pAPAAoJEKntH+qu5CT/IaYP/1i5ykoarE4W6jP2hRjrQ+4x ZgOATEw6Z7gv//RjvFRLUfmEq+Je3LC0lIWSN8szdf5WX1FnsGXrVpb0ZdSFU0IN 7Ap2T59aPcWucz4hgO/yfuzXcBaw46IkgKY6/ah1VE1yxTjpOS4l9rKAfvFqgnm1 FV10Dg6NUIkMjFTYSsRnwWYqOUl8ws3+dPbw4JrBXiXf5tkpPtp0QWfhavb7z7ye A+RmJ/uZ+GM5ORLz2SCAoBtK6LcGcUSIu9RPBglQKod2a7NdtAAScp2gvpuTrKBl HygIUQiHV2HPowzJ8EFi/xrqMn1nIBlksRGrcWGtiOzU2HJghpcrfyXChvrGS8SY HkIyT9H2U2G94YrTT2XOo2f0RaQTIgpsF/E4jxmBf4t+XQuo715hMWI1MfZFW5/5 4ayPJ7tk7SG5OjkqdzVhTmeoSqaLrVkTaTaqTEEWqvDTxcwHogJaQuGXmvCHUdhg 3zha7N2OpaZ4WgOF+SW4L35hqI6Dx/QNKpqsHTe8ecy9d6AgPvyupUId3s03MXve LOoCrroMNhn4txDte1PKaWBIPgdWnFjAzdmuKOTfpP4z4pyKoo4iZ7sdCEKiO/gJ cFpKYZ5UKBLqVy5dUvjz0t7yh5T/29KWMOG99x70uYFzAQLR6r7os2J57450xJ4W Ml3D+2Fcm7kSKX2Prf3M =VjIx -----END PGP SIGNATURE-----