-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2021-1701 JPCERT/CC 2021-04-28 <<< JPCERT/CC WEEKLY REPORT 2021-04-28 >>> ―――――――――――――――――――――――――――――――――――――― ■04/18(日)〜04/24(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Pulse Connect Secureに任意コード実行の脆弱性 【2】複数のトレンドマイクロ製品に脆弱性 【3】SonicWall Email Securityに複数の脆弱性 【4】2021年4月Oracle Critical Patch Updateについて 【5】Drupalにクロスサイトスクリプティングの脆弱性 【6】Google Chromeに複数の脆弱性 【7】複数のMozilla製品に脆弱性 【8】VMware NSX-Tに権限昇格の脆弱性 【9】三菱電機製GOTのVNCサーバー機能にパスワード認証回避の脆弱性 【今週のひとくちメモ】経済産業省が「OSSの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2021/wr211701.html https://www.jpcert.or.jp/wr/2021/wr211701.xml ============================================================================ 【1】Pulse Connect Secureに任意コード実行の脆弱性 情報源 CISA Current Activity CISA Releases Alert on Exploitation of Pulse Connect Secure Vulnerabilities https://us-cert.cisa.gov/ncas/current-activity/2021/04/20/cisa-releases-alert-exploitation-pulse-connect-secure 概要 Pulse Connect Secureには、任意コード実行の脆弱性があります。結果として、 遠隔の第三者が認証を回避し、当該製品上で任意のコードを実行する可能性が あります。 対象となるバージョンは次のとおりです。 - Pulse Connect Secure (PCS) 9.0R3およびそれ以降 - Pulse Connect Secure (PCS) 9.1R1およびそれ以降 2021年4月27日現在、本脆弱性の修正パッチおよびアップデートは提供されて いません。脆弱性を悪用した攻撃による影響を軽減するため、開発者から回避 策が提示されています。また、当該製品で不審なファイル設置やファイルの改 ざんが行われていないか確認するためのツールが公開されています。詳細は、 Pulse Secureが提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC注意喚起 Pulse Connect Secureの脆弱性(CVE-2021-22893)に関する注意喚起 https://www.jpcert.or.jp/at/2021/at210019.html Japan Vulnerability Notes JVNVU#94842247 Pulse Connect Secure に任意コード実行の脆弱性 https://jvn.jp/vu/JVNVU94842247/ Ivanti Pulse Connect Secureセキュリティアップデート https://www.ivanti.co.jp/blog/pulse-connect-secure-security-update 関連文書 (英語) Pulse Secure SA44784 - 2021-04: Out-of-Cycle Advisory: Pulse Connect Secure RCE Vulnerability (CVE-2021-22893) https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784/ Pulse Secure KB44755 - Pulse Connect Secure (PCS) Integrity Assurance https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB44755/ 【2】複数のトレンドマイクロ製品に脆弱性 情報源 Japan Vulnerability Notes JVNVU#93491927 Apex One、Apex One SaaS およびウイルスバスター コーポレートエディションにおける複数の脆弱性 https://jvn.jp/vu/JVNVU93491927/ Japan Vulnerability Notes JVNVU#92208501 ウイルスバスター ビジネスセキュリティおよび Trend Micro Security (for Mac) における複数の脆弱性 https://jvn.jp/vu/JVNVU92208501/ Japan Vulnerability Notes JVNVU#97680506 ウイルスバスター ビジネスセキュリティサービスにおける複数の脆弱性 https://jvn.jp/vu/JVNVU97680506/ Japan Vulnerability Notes JVNVU#93009588 トレンドマイクロ製品に搭載された検索エンジンにおけるサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/vu/JVNVU93009588/ Japan Vulnerability Notes JVNVU#98074915 トレンドマイクロ株式会社製パスワードマネージャーにおける DLL 読み込みに関する脆弱性 https://jvn.jp/vu/JVNVU98074915/ 概要 複数のトレンドマイクロ製品には、脆弱性があります。結果として、第三者が 任意のコードを実行するなどの可能性があります。 対象となる製品は、多岐に渡ります。詳細はトレンドマイクロ株式会社が提供 するアドバイザリ情報を参照してください。 この問題は、該当する製品をトレンドマイクロ株式会社が提供するパッチを適 用するか、修正済みのバージョンに更新するなどで解決します。詳細は、トレン ドマイクロ株式会社が提供する情報を参照してください。 関連文書 (日本語) トレンドマイクロ株式会社 アラート/アドバイザリ:Apex One、Apex One SaaSとウイルスバスター コーポレートエディションで確認された複数の脆弱性について(2020年9月) https://success.trendmicro.com/jp/solution/000264540 トレンドマイクロ株式会社 【注意喚起】Trend Micro Apex One、Apex One SaaSおよびウイルスバスター コーポレートエディションの既知の脆弱性(CVE-2020-24557)を悪用した攻撃を確認したことによる最新修正プログラム適用のお願い https://appweb.trendmicro.com/SupportNews/NewsDetail.aspx?id=4126 トレンドマイクロ株式会社 アラート/アドバイザリ:ウイルスバスター ビジネスセキュリティで確認された複数の脆弱性について(2020年8月) https://success.trendmicro.com/jp/solution/000265546 トレンドマイクロ株式会社 アラート/アドバイザリ:弊社トレンドマイクロの検索エンジンに大量のメモリを消費させることにより DoS(denial-of-service)またはシステムの停止を誘発する攻撃を行える可能性のある脆弱性について https://success.trendmicro.com/jp/solution/000285575 トレンドマイクロ株式会社 アラート/アドバイザリ:ServerProtect for Linux に大量のメモリを消費させることにより DoS(denial-of-service)攻撃を行える可能性のある脆弱性(CVE-2021-25224, 25225 および 25226) https://success.trendmicro.com/jp/solution/000284232 トレンドマイクロ株式会社 アラート/アドバイザリ:ウイルスバスター for Mac の脆弱性について(CVE-2021-25227) https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10189 トレンドマイクロ株式会社 アラート/アドバイザリ:ウイルスバスター クラウドの脆弱性について(CVE-2021-25252) https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10190 トレンドマイクロ株式会社 アラート/アドバイザリ:パスワードマネージャーのセキュリティ情報(CVE-2021-28647) https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10277 JPCERT/CC 注意喚起 Trend Micro Apex One,Apex One SaaSおよびウイルスバスター コーポレートエディションの脆弱性(CVE-2020-24557)に関する注意喚起 https://www.jpcert.or.jp/at/2021/at210020.html 【3】SonicWall Email Securityに複数の脆弱性 情報源 CISA Current Activity SonicWall Releases Patches for Email Security Products https://us-cert.cisa.gov/ncas/current-activity/2021/04/21/sonicwall-releases-patches-email-security-products 概要 SonicWall Email Securityには、複数の脆弱性があります。結果として、遠隔 の第三者が管理者アカウントを作成するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Email Security 10.0.9.6173より前のバージョン(Windows) - Email Security 10.0.9.6177より前のバージョン(HardwareおよびESXi Virtual Appliance) - Hosted Email Security 10.0.9.6173より前のバージョン なお、すでにサポートが終了しているEmail Security 7.0.0から9.2.2までの バージョンも本脆弱性の影響を受けるとのことです。 この問題は、該当する製品をSonicWallが提供する修正済みのバージョンに更 新することで解決します。なお、Hosted Email Securityについては自動的に パッチが適用されるとのことです。詳細は、SonicWallが提供する情報を参照 してください。 関連文書 (英語) SonicWall Security Notice: SonicWall Email Security Zero-Day Vulnerabilities https://www.sonicwall.com/support/product-notification/security-notice-sonicwall-email-security-zero-day-vulnerabilities/210416112932360/ SonicWall SonicWall Email Security pre-authentication administrative account creation vulnerability https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0007 SonicWall SonicWall Email Security post-authentication arbitrary file creation vulnerability https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0008 SonicWall SonicWall Email Security post-authentication arbitrary file read vulnerability https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0010 【4】2021年4月Oracle Critical Patch Updateについて 情報源 CISA Current Activity Oracle Releases April 2021 Critical Patch Update https://us-cert.cisa.gov/ncas/current-activity/2021/04/20/oracle-releases-april-2021-critical-patch-update 概要 Oracleから複数の製品およびコンポーネントに含まれる脆弱性に対応した Oracle Critical Patch Update Advisoryが公開されました。 詳細は、Oracleが提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC注意喚起 2021年4月Oracle製品のクリティカルパッチアップデートに関する注意喚起 https://www.jpcert.or.jp/at/2021/at210018.html Japan Vulnerability Notes JVNVU#92599577 Windows 版 MySQL に権限昇格の脆弱性 https://jvn.jp/vu/JVNVU92599577/ 関連文書 (英語) Oracle Oracle Critical Patch Update Advisory - April 2021 https://www.oracle.com/security-alerts/cpuapr2021.html CERT/CC Vulnerability Note VU#567764 MySQL for Windows is vulnerable to privilege escalation due to OPENSSLDIR location https://kb.cert.org/vuls/id/567764 【5】Drupalにクロスサイトスクリプティングの脆弱性 情報源 CISA Current Activity Drupal Releases Security Updates https://us-cert.cisa.gov/ncas/current-activity/2021/04/22/drupal-releases-security-updates 概要 Drupalには、クロスサイトスクリプティングの脆弱性があります。結果として、 遠隔の第三者がユーザーのブラウザー上で任意のコードを実行する可能性があ ります。 対象となるバージョンは次のとおりです。 - Drupal 9.1.7より前の9.1系のバージョン - Drupal 9.0.12より前の9.0系のバージョン - Drupal 8.9.14より前の8.9系のバージョン - Drupal 7.80より前の7系のバージョン なお、Drupal 8.9系より前の8系のバージョンはサポートが終了しており、今 回のセキュリティに関する情報は提供されていません。 この問題は、DrupalをDrupalが提供する修正済みのバージョンに更新すること で解決します。詳細は、Drupalが提供する情報を参照してください。 関連文書 (英語) Drupal Drupal core - Critical - Cross-site scripting - SA-CORE-2021-002 https://www.drupal.org/sa-core-2021-002 【6】Google Chromeに複数の脆弱性 情報源 CISA Current Activity Google Releases Security Updates for Chrome https://us-cert.cisa.gov/ncas/current-activity/2021/04/21/google-releases-security-updates-chrome 概要 Google Chromeには、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 90.0.4430.85より前のバージョン この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新 することで解決します。詳細は、Googleが提供する情報を参照してください。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2021/04/stable-channel-update-for-desktop_20.html 【7】複数のMozilla製品に脆弱性 情報源 CISA Current Activity Mozilla Releases Security Update for Firefox, Firefox ESR, and Thunderbird https://us-cert.cisa.gov/ncas/current-activity/2021/04/20/mozilla-releases-security-update-firefox-firefox-esr-and 概要 複数のMozilla製品には、脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Mozilla Firefox 88より前のバージョン - Mozilla Firefox ESR 78.10より前のバージョン - Mozilla Thunderbird 78.10より前のバージョン この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新 することで解決します。詳細は、Mozillaが提供する情報を参照してください。 関連文書 (英語) Mozilla Security Vulnerabilities fixed in Firefox 88 https://www.mozilla.org/en-US/security/advisories/mfsa2021-16/ Mozilla Security Vulnerabilities fixed in Firefox ESR 78.10 https://www.mozilla.org/en-US/security/advisories/mfsa2021-15/ Mozilla Security Vulnerabilities fixed in Thunderbird 78.10 https://www.mozilla.org/en-US/security/advisories/mfsa2021-14/ 【8】VMware NSX-Tに権限昇格の脆弱性 情報源 CISA Current Activity VMware Releases Security Update https://us-cert.cisa.gov/ncas/current-activity/2021/04/20/vmware-releases-security-update 概要 VMware NSX-Tには、権限昇格の脆弱性があります。結果として、ローカルのゲ ストユーザーの権限を有する第三者が権限を昇格する可能性があります。 対象となるバージョンは次のとおりです。 - VMware NSX-T 3.1.1 この問題は、VMware NSX-TをVMwareが提供する修正済みのバージョンに更新す ることで解決します。詳細は、VMwareが提供する情報を参照してください。 関連文書 (英語) VMware Security Advisories VMSA-2021-0006 https://www.vmware.com/security/advisories/VMSA-2021-0006.html 【9】三菱電機製GOTのVNCサーバー機能にパスワード認証回避の脆弱性 情報源 Japan Vulnerability Notes JVNVU#97615777 三菱電機製 GOT の VNC サーバ機能におけるパスワード認証回避の脆弱性 https://jvn.jp/vu/JVNVU97615777/ 概要 三菱電機株式会社が提供するGOT2000シリーズ、GOT SIMPLEシリーズのVNCサー バー機能には、パスワード認証回避の脆弱性があります。結果として、遠隔の 第三者が、細工した不正なパケットを送信することで、パスワード認証を回避 する可能性があります。 対象となる製品およびバージョンは次のとおりです。 VNC サーバー機能を有効化している次の製品 - GOT2000 GT27 モデル - GOT2000 GT25 モデル - GOT2000 GT21 モデル GT2107-WTBD - GOT2000 GT21 モデル GT2107-WTSD - GOT SIMPLE GS21 モデル GS2110-WTBD-N - GOT SIMPLE GS21 モデル GS2107-WTBD-N 2021年4月27日現在、本脆弱性に対するアップデートは提供されていません。 なお、対策済みバージョンは、近日中にリリースする予定とのことです。この 問題について、該当する製品に対して次の回避策を適用することで、本脆弱性 の影響を軽減できます。 - 当該製品へのVNCによるアクセスを、信頼できるネットワークやホストからのアクセスのみに制限する 詳細は、三菱電機株式会社が提供する情報を参照してください。 関連文書 (日本語) 三菱電機株式会社 GOTのVNCサーバ機能におけるパスワード認証回避の脆弱性 https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-001.pdf ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○経済産業省が「OSSの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集」を公開 2021年4月21日、経済産業省は、オープンソースソフトウェア(OSS)を利活用 するに当たって留意すべきポイントを整理し、そのポイントごとに参考となる 取組を実施している企業の事例などをとりまとめた「OSSの利活用及びそのセキュ リティ確保に向けた管理手法に関する事例集」を公開しました。 産業界におけるOSSの利活用の重要性が高まる中、多くの企業がOSSを含むソフ トウェアの管理手法、脆弱性対応などに課題を抱えている現状を踏まえ、参考 になる取組を実施している企業に対するヒアリングなどによる調査の結果が取 りまとめられています。 参考文献 (日本語) 経済産業省 オープンソースソフトウェアの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集を取りまとめました https://www.meti.go.jp/press/2021/04/20210421001/20210421001.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CCからのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下のURLからご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下のURLを参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJgiKOBAAoJEKntH+qu5CT/mTYP/R6PqJ+ie7NvwsG067I5ycSh Rec78FcfuZky3n3WDaK6UCs/WP9pNCuTN/nhcXj3b7UiJ5RUN17yQMDQ+k9zwRFC d4Y2WKXpRdf2bhMIaf5asKQkv8rJke2/GSxEQtxGg7H3yxI+GBf8iJJ8v04qr5S+ YETBFOXUyop+1IVJVCfm9vwO7Js5YqVYiNpmB2Kj9EWMe+7tS/kn7qsPS6oHF//i y8KNrA+tFkkkrK/u4xoICr+mHIYW8TC0hn/39ymaddEqde/RH7ELYldPHWCWUfsG BB5dh8fCV+OxBX5Cl60JiHdJlXtx9F4YOB1GLsMuE6PPFGAzfP4MVBMcl2EtRbOl JGkpk13vYYGeKanP7r61uWnSlMQdIPRRZVTiKZiTgGUF2cAx81VN2oHmb3x6noMc GSCpsWtm/b2c7evoHQo5k0q/D8VHYqYTdlXdZiDKFAkBOtuC5yhIAijFhvRyz/+Q XDUk1qQSEoILe7Lny/Pjq08kesG6MzxIjqe142V6HbaPRtBlWO+uo90MRGe1Lng9 tPInrD67Vm4C4k3Z4lqH6PYPXqYQDWtWou1Di9FSdroehhM8uO0hzu9O0+00DXqj PLlPDc8lpPw46anI5cMqeqrTzWeXHyPA3MHsVMzNGkGip1XOysyKM1DRRkd+apmP o6efDyfY++t8T889SUI4 =eHJQ -----END PGP SIGNATURE-----