-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2021-0101 JPCERT/CC 2021-01-06 <<< JPCERT/CC WEEKLY REPORT 2021-01-06 >>> ―――――――――――――――――――――――――――――――――――――― ■12/20(日)〜01/02(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Veritas Backup Execに権限昇格の脆弱性 【2】SolarWinds Orion APIに認証回避の脆弱性 【今週のひとくちメモ】2020年9月から12月を振り返って ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2021/wr210101.html https://www.jpcert.or.jp/wr/2021/wr210101.xml ============================================================================ 【1】Veritas Backup Execに権限昇格の脆弱性 情報源 CERT/CC Vulnerability Note VU#429301 Veritas Backup Exec is vulnerable to privilege escalation due to OPENSSLDIR location https://www.kb.cert.org/vuls/id/429301 概要 Veritas社が提供するVeritas Backup Execには、権限昇格の脆弱性が存在しま す。結果として、第三者がSYSTEM権限で任意のコードを実行する可能性があり ます。 対象となるバージョンは次のとおりです。 - Veritas BackupExec バージョン 21.x - Veritas BackupExec バージョン 20.x - Veritas BackupExec バージョン 16.x この問題は、該当するバージョンをVeritas社が提供する修正済みのバージョン に更新することで解決します。詳細は、Veritas社が提供する情報を参照して ください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#93089606 Veritas 製 Veritas Backup Exec に権限昇格の脆弱性 https://jvn.jp/vu/JVNVU93089606/ 関連文書 (英語) Veritas Backup Exec OpenSSL advisory https://www.veritas.com/content/support/en_US/security/VTS20-010 【2】SolarWinds Orion APIに認証回避の脆弱性 情報源 CERT/CC Vulnerability Note VU#843464 SolarWinds Orion API authentication bypass allows remote command execution https://www.kb.cert.org/vuls/id/843464 概要 SolarWinds社が提供するSolarWinds Orion Platformには、認証回避の脆弱性 が存在します。結果として、第三者が任意のコードを実行する可能性がありま す。 対象となるバージョンは次のとおりです。 - 2019.4 HF 6 より前のバージョン - 2020.2.1 HF 2 より前のバージョン - 2019.2 SUPERNOVA Patch より前のバージョン - 2018.4 SUPERNOVA Patch より前のバージョン - 2018.2 SUPERNOVA Patch より前のバージョン この問題は、該当するバージョンをSolarWinds社が提供する修正済みのバージョン に更新することで解決します。詳細は、SolarWinds社が提供する情報を参照し てください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#94395061 SolarWinds Orion API に認証回避の脆弱性 https://jvn.jp/vu/JVNVU94395061/ 関連文書 (英語) SolarWinds SolarWinds Security Advisory https://www.solarwinds.com/securityadvisory SolarWinds Security Advisory FAQ https://www.solarwinds.com/securityadvisory/faq ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○2020年9月から12月を振り返って 2020年12月23日、JPCERT/CCは「2020年9月から12月を振り返って」を公開しま した。2020年9月から12月にかけて、脆弱性を放置したままのSSL VPN製品が稼 働していることに起因する問題をはじめとして複数の注意喚起を公表していま す。また、利用者数の多い複数の製品について2020年内のサポート終了が告知 されています。自組織で利用している製品の脆弱性やサポート終了への対応状 況について今一度ご確認ください。 参考文献 (日本語) JPCERT/CC CyberNewsFlash 2020年9月から12月を振り返って https://www.jpcert.or.jp/newsflash/2020122301.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CCからのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下のURLからご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下のURLを参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJf9QX3AAoJEKntH+qu5CT/eh4P/2KgLE5iEt2bGRMSm/JzNYD0 b9G7QocOMES132Sda7FGefw1ddAWutBWZWD2H7xlM/cPcDC+3jl6+WekL7xQySxa iuIKiQ2f/mHYKe/3oWCYJFxPrPEVOfAeRcTOnG5U/R88q+he++3lr6mw0CzJkhlA VYQAgJa+iNs1TRYzl9wkc0TX14a1zeM4ZJ4JKqUtFJW5XazlrrUbPrRJltL6PIVE GZca8l6wzXchONtAnDl5c+nFcxWhprq1PPHLPTHgTsjbef+NZO0ugtFTCSDpL9m9 XYSJ6TkBknStiyJp6z9L0bfBo5Rg2SKRpP5bnUXlitI/TzNr/wRK/AZq+y56ArbJ vjWzjDPNlXXpAQWcgQ3+A3EEDINHjrmeZepY9IlT9JRRv33cTklmG4U/z3+BiRGv whkioYkqxKOlvih2DGHIq/MNTzBMA+tStFcY31rFgtNZ3RC8QmbS8yjz1d4asCEZ DIZTh2b4tETLUbN41t3wESblNKswD42JOVnXQFylLXCvS8B1/H0FNWs3VCTVJnku 1crJbj9j91nfKbH/Jc+bQT6LKCBAHVolz4aI0t90TX0JtmLOI/WUOihi01UH/BsF oUJRkmtPfFsBXlJSI5kCnrLmVN/gwLC1r9w3RK2CliKHNf0I2wbC3Z+LUq4ftrqK Yc4VVA3ltlP3rcXJ6PXi =JBbU -----END PGP SIGNATURE-----