JPCERT-WR-2021-0601 2021-02-10 2021-01-31 2021-02-06

SonicWall https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0001 CISA Current Activity https://us-cert.cisa.gov/ncas/current-activity/2021/02/02/zero-day-vulnerability-sonicwall-sma-100-series-version-10x

SonicWall SMA 100シリーズには、SQLインジェクションの脆弱性があります。 結果として、遠隔の第三者が認証情報を窃取する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - ファームウェア 10系のバージョンで稼働する次のSMA 100シリーズ製品 - SMA 200 - SMA 210 - SMA 400 - SMA 410 - SMA 500v この問題は、該当する製品にSonicWallが提供するパッチを適用することで解 決します。詳細は、SonicWallが提供する情報を参照してください。

SonicWall https://www.sonicwall.com/support/product-notification/urgent-patch-available-for-sma-100-series-10-x-firmware-zero-day-vulnerability-updated-feb-3-2-p-m-cst/210122173415410/ JPCERT/CC注意喚起 https://www.jpcert.or.jp/at/2021/at210006.html

CISA Current Activity https://us-cert.cisa.gov/ncas/current-activity/2021/02/03/google-releases-security-updates-chrome CISA Current Activity https://us-cert.cisa.gov/ncas/current-activity/2021/02/05/google-releases-security-updates-chrome

Google Chromeには、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 88.0.4324.150より前のバージョン この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新 することで解決します。詳細は、Googleが提供する情報を参照してください。

Google https://chromereleases.googleblog.com/2021/02/stable-channel-update-for-desktop.html Google https://chromereleases.googleblog.com/2021/02/stable-channel-update-for-desktop_4.html

CISA Current Activity https://us-cert.cisa.gov/ncas/current-activity/2021/02/02/apple-releases-security-updates Apple https://support.apple.com/en-us/HT212152 Apple https://support.apple.com/en-us/HT212147

複数のApple製品には、脆弱性があります。結果として、第三者が任意のコー ドを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - macOS Big Sur 11.2より前のバージョン - macOS Catalina (Security Update 2021-001未適用) - macOS Mojave (Security Update 2021-001未適用) - Safari 14.0.3より前のバージョン この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Appleが提供する情報を参照してください。

JPCERT/CC CyberNewsFlash https://www.jpcert.or.jp/newsflash/2021012801.html

CISA Current Activity https://us-cert.cisa.gov/ncas/current-activity/2021/02/04/cisco-releases-security-updates

複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が任意 のコードを実行するなどの可能性があります。 対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ 情報を参照してください。 この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

Cisco https://tools.cisco.com/security/center/publicationListing.x

Japan Vulnerability Notes JVNVU#98209799 https://jvn.jp/vu/JVNVU98209799/ Japan Vulnerability Notes JVNVU#99814910 https://jvn.jp/vu/JVNVU99814910/

複数のトレンドマイクロ株式会社製品には、脆弱性があります。結果として、 第三者が管理者権限で任意のコードを実行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - ウイルスバスター クラウド バージョン16 - ウイルスバスター クラウド バージョン15 - スマートホームスキャナー(Windows版) 5.3.1063およびそれ以前のバージョン この問題への対策は製品によって異なります。詳細は、トレンドマイクロ株式 会社が提供する情報を参照してください。

トレンドマイクロ株式会社 https://helpcenter.trendmicro.com/ja-jp/article/TMKA-09955 トレンドマイクロ株式会社 https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10179

Mozilla https://www.mozilla.org/en-US/security/advisories/mfsa2021-06/

Mozilla Firefoxには、脆弱性があります。 対象となる製品およびバージョンは次のとおりです。 - Mozilla Firefox 85.0.1より前のバージョン（Windows版） - Mozilla Firefox ESR 78.7.1より前のバージョン（Windows版） この問題は、Mozilla FirefoxをMozillaが提供する修正済みのバージョンに更 新することで解決します。詳細は、Mozillaが提供する情報を参照してくださ い。

Japan Vulnerability Notes JVN#42252698 https://jvn.jp/jp/JVN42252698/

パナソニック株式会社が提供するVideo Insight VMSには、任意のコード実行 が可能な脆弱性があります。結果として、遠隔の第三者がSYSTEMユーザーの権 限で任意のコードを実行する可能性があります。 対象となるバージョンは次のとおりです。 - Video Insight VMS 7.8より前のバージョン この問題は、Video Insight VMSをパナソニック株式会社が提供する修正済み のバージョンに更新することで解決します。詳細は、パナソニック株式会社が 提供する情報を参照してください。

パナソニック株式会社 http://downloadvi.com/downloads/IPServer/v7.8/780182/v780182RN.pdf

CERT/CC Vulnerability Note VU#125331 https://kb.cert.org/vuls/id/125331

Adobe ColdFusionには、ACLを適切に設定できないことに起因する権限昇格の 脆弱性があります。結果として、第三者がSYSTEM権限で任意のコードを実行す る可能性があります。 対象となるバージョンは次のとおりです。 - Adobe ColdFusion 2021 - Adobe ColdFusion 2018 - Adobe ColdFusion 2016 この問題は、該当する製品でロックダウン機能を設定することで本脆弱性から 保護することが可能です。詳細は、Adobeなどが提供する情報を参照してくだ さい。

Japan Vulnerability Notes JVNVU#91588948 https://jvn.jp/vu/JVNVU91588948/ Adobe https://www.adobe.com/support/coldfusion/downloads.html#cf2021ldg Adobe https://www.adobe.com/support/coldfusion/downloads.html#cf2018ldg Adobe https://wwwimages.adobe.com/content/dam/acom/en/products/coldfusion/pdfs/coldfusion-2016-lockdown-guide.pdf

Wireshark Foundation https://www.wireshark.org/docs/relnotes/wireshark-3.4.3.html

Wiresharkには、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Wireshark 3.4.3より前の3.4系のバージョン この問題は、WiresharkをWireshark Foundationが提供する修正済みのバージョン に更新することで解決します。詳細は、Wireshark Foundationが提供する情報 を参照してください。

Japan Vulnerability Notes JVN#50470170 https://jvn.jp/jp/JVN50470170/

WordPress用プラグインName Directoryには、クロスサイトリクエストフォー ジェリの脆弱性があります。結果として、当該製品にログインした状態の管理 者権限を持つユーザーが、細工されたページにアクセスした場合、意図しない 操作をさせられる可能性があります。 対象となるバージョンは次のとおりです。 - Name Directory 1.17.4およびそれ以前 この問題は、Name Directoryを開発者が提供する修正済みのバージョンに更新 することで解決します。詳細は、開発者が提供する情報を参照してください。

Jeroen Peters https://wordpress.org/plugins/name-directory/

2月1日から3月18日は「サイバーセキュリティ月間」です。サイバーセキュリ ティに対する取組の推進を目的とした普及啓発活動やイベント、情報発信など が行われます。 内閣サイバーセキュリティセンター(NISC) https://www.nisc.go.jp/security-site/month/