-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2021-1101 JPCERT/CC 2021-03-17 <<< JPCERT/CC WEEKLY REPORT 2021-03-17 >>> ―――――――――――――――――――――――――――――――――――――― ■03/07(日)〜03/13(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数のマイクロソフト製品に脆弱性 【2】複数のF5 Networks製品に脆弱性 【3】複数のSAP製品に脆弱性 【4】複数のApple製品に脆弱性 【5】複数のアドビ製品に脆弱性 【6】MagicConnectクライアントプログラムのインストーラにDLL読み込みに関する脆弱性 【7】株式会社エム・システム技研製DL8に複数の脆弱性 【8】GROWIに複数の脆弱性 【今週のひとくちメモ】日本シーサート協議会が「FIRST CSIRT Services Framework v2.1 日本語版」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2021/wr211101.html https://www.jpcert.or.jp/wr/2021/wr211101.xml ============================================================================ 【1】複数のマイクロソフト製品に脆弱性 情報源 CISA Current Activity Microsoft Releases March 2021 Security Updates https://us-cert.cisa.gov/ncas/current-activity/2021/03/10/microsoft-releases-march-2021-security-updates 概要 複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三 者が任意のコードを実行するなどの可能性があります。 対象となる製品は、多岐に渡ります。詳細はマイクロソフトが提供するアドバ イザリ情報を参照してください。 この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること で解決します。詳細は、マイクロソフトが提供する情報を参照してください。 関連文書 (日本語) マイクロソフト株式会社 2021 年 3 月のセキュリティ更新プログラム https://msrc.microsoft.com/update-guide/releaseNote/2021-Mar JPCERT/CC 注意喚起 2021年3月マイクロソフトセキュリティ更新プログラムに関する注意喚起 https://www.jpcert.or.jp/at/2021/at210013.html 【2】複数のF5 Networks製品に脆弱性 情報源 CISA Current Activity F5 Security Advisory for RCE Vulnerabilities in BIG-IP, BIG-IQ https://us-cert.cisa.gov/ncas/current-activity/2021/03/10/f5-security-advisory-rce-vulnerabilities-big-ip-big-iq 概要 複数のF5 Networks製品には、脆弱性があります。結果として、遠隔の第三者 が任意のコマンドを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - BIG-IP(LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO) - 16.0.0から16.0.1までのバージョン - 15.0.0から15.1.2までのバージョン - 14.1.0から14.1.3.1までのバージョン - 13.1.0から13.1.3.6までのバージョン - 12.1.0から12.1.5.2までのバージョン - 11.6.1から11.6.5.2までのバージョン - BIG-IP APM Clients - 7.2.1 - 7.1.5から7.1.9までのバージョン - BIG-IQ Centralized Management - 7.1.0から7.1.0.2までのバージョン - 7.0.0から7.0.0.1までのバージョン - 6.0.0から6.1.0までのバージョン この問題は、該当する製品をF5 Networksが提供する修正済みのバージョンに 更新することで解決します。詳細は、F5 Networksが提供する情報を参照して ください。 関連文書 (英語) F5 Networks K02566623: Overview of F5 vulnerabilities (March 2021) https://support.f5.com/csp/article/K02566623 【3】複数のSAP製品に脆弱性 情報源 CISA Current Activity SAP Releases March 2021 Security Updates https://us-cert.cisa.gov/ncas/current-activity/2021/03/09/sap-releases-march-2021-security-updates 概要 複数のSAP製品には、脆弱性があります。結果として、第三者が権限昇格する などの可能性があります。 対象となる製品は、多岐に渡ります。詳細はSAPが提供するアドバイザリ情報 を参照してください。 この問題は、該当する製品をSAPが提供する修正済みのバージョンに更新する ことで解決します。詳細は、SAPが提供する情報を参照してください。 関連文書 (英語) SAP SAP Security Patch Day March 2021 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=571343107 【4】複数のApple製品に脆弱性 情報源 CISA Current Activity Apple Releases Security Updates https://us-cert.cisa.gov/ncas/current-activity/2021/03/09/apple-releases-security-updates 概要 複数のApple製品には、脆弱性があります。結果として、第三者が任意のコー ドを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Safari 14.0.3より前のバージョン - macOS Big Sur 11.2.3より前のバージョン - watchOS 7.3.2より前のバージョン - iOS 14.4.1より前のバージョン - iPadOS 14.4.1より前のバージョン この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Appleが提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC CyberNewsFlash 複数のApple製品のアップデートについて https://www.jpcert.or.jp/newsflash/2021030901.html 関連文書 (英語) Apple About the security content of macOS Big Sur 11.2.3 https://support.apple.com/en-us/HT212220 Apple About the security content of iOS 14.4.1 and iPadOS 14.4.1 https://support.apple.com/en-us/HT212221 Apple About the security content of watchOS 7.3.2 https://support.apple.com/en-us/HT212222 Apple About the security content of Safari 14.0.3 https://support.apple.com/en-us/HT212223 【5】複数のアドビ製品に脆弱性 情報源 CISA Current Activity Adobe Releases Security Updates https://us-cert.cisa.gov/ncas/current-activity/2021/03/09/adobe-releases-security-updates 概要 複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー ドを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Adobe Framemaker - Adobe Photoshop 2020 - Adobe Photoshop 2021 - Adobe Creative Cloud Desktop Application - Adobe Connect - Adobe Animate この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す ることで解決します。詳細は、アドビが提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC CyberNewsFlash 複数のアドビ製品のアップデートについて https://www.jpcert.or.jp/newsflash/2021031001.html 関連文書 (英語) アドビ Security Updates Available for Adobe Framemaker | APSB21-14 https://helpx.adobe.com/security/products/framemaker/apsb21-14.html アドビ Security updates available for Adobe Photoshop | APSB21-17 https://helpx.adobe.com/security/products/photoshop/apsb21-17.html アドビ Security update available for Adobe Creative Cloud Desktop Application | APSB21-18 https://helpx.adobe.com/security/products/creative-cloud/apsb21-18.html アドビ Security updates available for Adobe Connect | APSB21-19 https://helpx.adobe.com/security/products/connect/apsb21-19.html アドビ Security updates available for Adobe Animate | APSB21-21 https://helpx.adobe.com/security/products/animate/apsb21-21.html 【6】MagicConnectクライアントプログラムのインストーラにDLL読み込みに関する脆弱性 情報源 Japan Vulnerability Notes JVN#18056666 MagicConnect クライアントプログラムのインストーラにおける DLL 読み込みに関する脆弱性 https://jvn.jp/jp/JVN18056666/ 概要 NTTテクノクロス株式会社が提供するMagicConnectクライアントプログラムの インストーラには、DLL読み込みに関する脆弱性が存在します。結果として第 三者がインストーラの実行権限で任意のコードを実行する可能性があります。 対象となるバージョンは以下のとおりです。 - MagicConnectクライアントプログラムの、2021年3月1日より前に配布されたインストーラ この問題は、NTTテクノクロス株式会社が提供する修正済みのインストーラを 利用することで解決します。詳細は、NTTテクノクロス株式会社が提供する情 報を参照してください。 関連文書 (日本語) NTTテクノクロス株式会社 クライアントアプリケーション インストーラを更新しました(不具合内容の詳細報告) https://www.magicconnect.net/information/202103110900-2 【7】株式会社エム・システム技研製DL8に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#47497535 株式会社エム・システム技研製 DL8 における複数の脆弱性 https://jvn.jp/jp/JVN47497535/ 概要 株式会社エム・システム技研が提供するDL8には複数の脆弱性が存在します。 結果として、簡易Webインタフェースにログイン可能な第三者がサービス運用 妨害(DoS)攻撃を行う可能性があります。 対象となるバージョンは以下のとおりです。 - タイプA (DL8-A) Ver3.0 より前のバージョン - タイプB (DL8-B) Ver3.0 より前のバージョン - タイプC (DL8-C) Ver3.0 より前のバージョン - タイプD (DL8-D) Ver3.0 より前のバージョン - タイプE (DL8-E) Ver3.0 より前のバージョン この問題は、株式会社エム・システム技研が提供する修正済みのファームウェ アに更新することで解決します。詳細は、株式会社エム・システム技研が提供 する情報を参照してください。 関連文書 (日本語) 株式会社エム・システム技研 DL8Updater:データマル ファームウェアアップデータ https://www.m-system.co.jp/kaisetu/dl_dl8updaterJ.html 【8】GROWIに複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#94889258 GROWI における複数の脆弱性 https://jvn.jp/vu/JVNVU94889258/ Japan Vulnerability Notes JVN#86438134 GROWI における複数のクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN86438134 概要 株式会社WESEEKが提供するGROWIには、複数の脆弱性が存在します。結果とし て、管理者権限を取得した遠隔の第三者が任意のコードを実行するなどの可能 性があります。 対象となるバージョンは次のとおりです。 - GROWI v4.2.2およびそれ以前 - GROWI v4.2.0からv4.2.7までのバージョン (v4.2系) この問題は、該当する製品を株式会社WESEEKが提供する修正済みのバージョン に更新することで解決します。詳細は、株式会社WESEEKが提供する情報を参照 してください。 関連文書 (日本語) 株式会社WESEEK GROWI 脆弱性対応のお知らせ (JVN#94889258) https://weseek.co.jp/security/2021/03/08/vulnerability/growi-prevent-multiple-xss/ 株式会社WESEEK GROWI 脆弱性対応のお知らせ (JVN#86438134) https://weseek.co.jp/security/2021/03/09/vulnerability/growi-prevent-xss5/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○日本シーサート協議会が「FIRST CSIRT Services Framework v2.1 日本語版」を公開 日本シーサート協議会は、FIRSTのEducation Advisory Boardがまとめた「CSIRT が提供するサービスの一覧」の最新版の日本語訳を2021年3月10日に公開しま した。本資料はCSIRTの役務(サービス)を体系立てて一覧化しています。各組 織のCSIRTが提供するサービスの改善等に役立ててください。 参考文献 (日本語) 日本シーサート協議会 FIRST CSIRT Services Framework v2.1 日本語版 https://www.nca.gr.jp/ttc/first_framework2_1.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CCからのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下のURLからご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下のURLを参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJgUUWOAAoJEKntH+qu5CT/zUoP/ioVnzav/cPMYS8NT1UKLVyT DpGAtTz92KX3tLtlKvtGQleUsdoueLDdTz9yFNV8H4+1BClFM4nmGKLE5dS/0Rrp JnkjqxQ4FnfKgybyYiiUeccpFfB+eHexP68JXpyWd0DkDBx6yoR8/yJI6IgBS2K/ NXq2hzs4CQ6CVBzs4IbXcuuNedH5AdqOYGPGDqfnPnQtOyKXfE8nYRsi4RX78eub jt/GoiyT3EYSpuPLxeOuLA0KUvK/aUMyEhEZvDEmf22D+TBif+iu9kPjGYaXEUV/ 6phGqfUitbmrD8ofoyyAcPx5bAvINrMUhUjsRvRgtKHtIVr1CtQTkHRFyRKmCXJ4 d/BOyKNa8hS1eJaUbYsry0REAAom5UN+/gihVP/ngOSqIiwy9sbKcJ9HIdoPEJP3 Ac7lfPUkWSWbrl1t0g85ivtQPi3zde6/d8WWBgYgw3tVcw2Fez/rpH6lkdaU6EPK 2/eK3RWNFl0HSZj31mQZsJJpyMZJRTplgEJIXj9+kIrBiQwoi5LVT2FFmUkUsz/M nxP+6WWX6ozXrcqMKYKwnmvuX0TK+7fohyr7US7MceAGUU4wchaAxSwljLBVsI3h 32Qi4CYVOgks/1mQ9Y1uLS8LklOq8W+U0kcJ6xmaPgQhHcvDQLBCEA4HyeMc/KL7 0vbEMujmrw4Ir0Eka+fl =kIff -----END PGP SIGNATURE-----