JPCERT-WR-2021-0601
2021-02-10
2021-01-31
2021-02-06
SonicWall SMA 100シリーズにSQLインジェクションの脆弱性
SonicWall SMA 100シリーズには、SQLインジェクションの脆弱性があります。
結果として、遠隔の第三者が認証情報を窃取する可能性があります。
対象となる製品およびバージョンは次のとおりです。
- ファームウェア 10系のバージョンで稼働する次のSMA 100シリーズ製品
- SMA 200
- SMA 210
- SMA 400
- SMA 410
- SMA 500v
この問題は、該当する製品にSonicWallが提供するパッチを適用することで解
決します。詳細は、SonicWallが提供する情報を参照してください。
SonicWall
Urgent Patch Available for SMA 100 Series 10.x Firmware Zero-Day Vulnerability [Updated Feb. 3, 2 P.M. CST]
https://www.sonicwall.com/support/product-notification/urgent-patch-available-for-sma-100-series-10-x-firmware-zero-day-vulnerability-updated-feb-3-2-p-m-cst/210122173415410/
JPCERT/CC注意喚起
SonicWall製SMA100シリーズの脆弱性(CVE-2021-20016)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210006.html
Google Chromeに複数の脆弱性
Google Chromeには、複数の脆弱性があります。
対象となるバージョンは次のとおりです。
- Google Chrome 88.0.4324.150より前のバージョン
この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/02/stable-channel-update-for-desktop.html
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/02/stable-channel-update-for-desktop_4.html
複数のApple製品に脆弱性
複数のApple製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- macOS Big Sur 11.2より前のバージョン
- macOS Catalina (Security Update 2021-001未適用)
- macOS Mojave (Security Update 2021-001未適用)
- Safari 14.0.3より前のバージョン
この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。
JPCERT/CC CyberNewsFlash
複数のApple製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021012801.html
複数のCisco製品に脆弱性
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。
対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ
情報を参照してください。
この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x
複数のトレンドマイクロ株式会社製品に脆弱性
複数のトレンドマイクロ株式会社製品には、脆弱性があります。結果として、
第三者が管理者権限で任意のコードを実行する可能性があります。
対象となる製品およびバージョンは次のとおりです。
- ウイルスバスター クラウド バージョン16
- ウイルスバスター クラウド バージョン15
- スマートホームスキャナー(Windows版) 5.3.1063およびそれ以前のバージョン
この問題への対策は製品によって異なります。詳細は、トレンドマイクロ株式
会社が提供する情報を参照してください。
トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスター クラウドの脆弱性について(CVE-2020-27695,CVE-2020-27696,CVE-2020-27697)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-09955
トレンドマイクロ株式会社
アラート/アドバイザリ:スマートホームスキャナー(Windows版)の脆弱性について (CVE-2021-25247)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10179
Mozilla Firefoxに脆弱性
Mozilla Firefoxには、脆弱性があります。
対象となる製品およびバージョンは次のとおりです。
- Mozilla Firefox 85.0.1より前のバージョン(Windows版)
- Mozilla Firefox ESR 78.7.1より前のバージョン(Windows版)
この問題は、Mozilla FirefoxをMozillaが提供する修正済みのバージョンに更
新することで解決します。詳細は、Mozillaが提供する情報を参照してくださ
い。
パナソニックVideo Insight VMSに任意のコードが実行可能な脆弱性
パナソニック株式会社が提供するVideo Insight VMSには、任意のコード実行
が可能な脆弱性があります。結果として、遠隔の第三者がSYSTEMユーザーの権
限で任意のコードを実行する可能性があります。
対象となるバージョンは次のとおりです。
- Video Insight VMS 7.8より前のバージョン
この問題は、Video Insight VMSをパナソニック株式会社が提供する修正済み
のバージョンに更新することで解決します。詳細は、パナソニック株式会社が
提供する情報を参照してください。
パナソニック株式会社
Release Notes - Video Insight IP Server 7.8 Minor Release
http://downloadvi.com/downloads/IPServer/v7.8/780182/v780182RN.pdf
Adobe ColdFusionにインストールディレクトリのACL設定不備による権限昇格の脆弱性
Adobe ColdFusionには、ACLを適切に設定できないことに起因する権限昇格の
脆弱性があります。結果として、第三者がSYSTEM権限で任意のコードを実行す
る可能性があります。
対象となるバージョンは次のとおりです。
- Adobe ColdFusion 2021
- Adobe ColdFusion 2018
- Adobe ColdFusion 2016
この問題は、該当する製品でロックダウン機能を設定することで本脆弱性から
保護することが可能です。詳細は、Adobeなどが提供する情報を参照してくだ
さい。
Japan Vulnerability Notes JVNVU#91588948
Adobe ColdFusion にインストールディレクトリの ACL 設定不備による権限昇格の脆弱性
https://jvn.jp/vu/JVNVU91588948/
Adobe
ColdFusion (2021 release) Server Auto-Lockdown
https://www.adobe.com/support/coldfusion/downloads.html#cf2021ldg
Adobe
ColdFusion (2018 release) Server Auto-Lockdown
https://www.adobe.com/support/coldfusion/downloads.html#cf2018ldg
Adobe
ColdFusion (2016 release) Lockdown Guide
https://wwwimages.adobe.com/content/dam/acom/en/products/coldfusion/pdfs/coldfusion-2016-lockdown-guide.pdf
Wiresharkに複数の脆弱性
Wiresharkには、複数の脆弱性があります。
対象となるバージョンは次のとおりです。
- Wireshark 3.4.3より前の3.4系のバージョン
この問題は、WiresharkをWireshark Foundationが提供する修正済みのバージョン
に更新することで解決します。詳細は、Wireshark Foundationが提供する情報
を参照してください。
WordPress用プラグインName Directoryにクロスサイトリクエストフォージェリの脆弱性
WordPress用プラグインName Directoryには、クロスサイトリクエストフォー
ジェリの脆弱性があります。結果として、当該製品にログインした状態の管理
者権限を持つユーザーが、細工されたページにアクセスした場合、意図しない
操作をさせられる可能性があります。
対象となるバージョンは次のとおりです。
- Name Directory 1.17.4およびそれ以前
この問題は、Name Directoryを開発者が提供する修正済みのバージョンに更新
することで解決します。詳細は、開発者が提供する情報を参照してください。
Jeroen Peters
Name Directory
https://wordpress.org/plugins/name-directory/
サイバーセキュリティ月間
2月1日から3月18日は「サイバーセキュリティ月間」です。サイバーセキュリ
ティに対する取組の推進を目的とした普及啓発活動やイベント、情報発信など
が行われます。
内閣サイバーセキュリティセンター(NISC)
サイバーセキュリティ月間
https://www.nisc.go.jp/security-site/month/