JPCERT-WR-2021-1801
2021-05-12
2021-04-25
2021-05-08
ISC BIND 9に複数の脆弱性
ISC BIND 9には、複数の脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害(DoS)攻撃を行うなどの可能性があります。
対象となるバージョンは次のとおりです。
- BIND 9.16系9.16.0から9.16.13まで
- BIND 9.11系9.11.0から9.11.29まで
- BIND 9 Supported Preview Edition 9.16.8-S1から9.16.11-S3まで
- BIND 9 Supported Preview Edition 9.11.3-S1から9.11.29-S1まで
なお、すでにサポートが終了しているBIND 9.10系以前や9.12系、9.13系、
9.15系および開発版の9.17系についても本脆弱性の影響を受けます。
この問題は、ISC BINDをISCが提供する修正済みのバージョンに更新すること
で解決します。詳細は、ISCが提供する情報を参照してください。
JPCERT/CC 注意喚起
ISC BIND 9の複数の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210021.html
株式会社日本レジストリサービス(JPRS)
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2021-25214)- セカンダリサーバーのみ対象、バージョンアップを推奨 -
https://jprs.jp/tech/security/2021-04-30-bind9-vuln-ixfr.html
株式会社日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2021-25215)- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2021-04-30-bind9-vuln-dname.html
株式会社日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(DNSサービスの停止・リモートコード実行)について(CVE-2021-25216)- GSS-TSIGが有効に設定されている場合のみ対象、バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2021-04-30-bind9-vuln-gsstsig.html
Japan Vulnerability Notes JVNVU#94179101
ISC BIND における複数の脆弱性
https://jvn.jp/vu/JVNVU94179101/
Internet Systems Consortium, Inc.(ISC)
CVE-2021-25214: A broken inbound incremental zone update (IXFR) can cause named to terminate unexpectedly
https://kb.isc.org/docs/cve-2021-25214
Internet Systems Consortium, Inc.(ISC)
CVE-2021-25215: An assertion check can fail while answering queries for DNAME records that require the DNAME to be processed to resolve itself
https://kb.isc.org/docs/cve-2021-25215
Internet Systems Consortium, Inc.(ISC)
CVE-2021-25216: A second vulnerability in BIND's GSSAPI security policy negotiation can be targeted by a buffer overflow attack
https://kb.isc.org/docs/cve-2021-25216
複数のCisco製品に脆弱性
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が、任
意のコードを実行したり、サービス運用妨害(DoS)攻撃を行ったりするなど
の可能性があります。
対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ
情報を参照してください。
この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x
Google Chromeに複数の脆弱性
Google Chromeには、複数の脆弱性があります。
対象となるバージョンは次のとおりです。
- Google Chrome 90.0.4430.93より前のバージョン
この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/04/stable-channel-update-for-desktop_26.html
複数のApple製品に脆弱性
複数のApple製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- iTunes for Windows 12.11.3より前のバージョン
- Xcode 12.5より前のバージョン
- iCloud for Windows 12.3より前のバージョン
- tvOS 14.5より前のバージョン
- macOS Catalina(Security Update 2021-002 未適用)
- macOS Mojave(Security Update 2021-003 未適用)
- macOS Big Sur 11.3.1より前のバージョン
- iOS 14.5.1より前のバージョン
- iPadOS 14.5.1より前のバージョン
- watchOS 7.4.1より前のバージョン
- Safari 14.1より前のバージョン
- iOS 12.5.3より前のバージョン
この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。
JPCERT/CC CyberNewsFlash
複数のApple製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021042701.html
JPCERT/CC CyberNewsFlash
複数のApple製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021050601.html
Apple
iTunes for Windows 12.11.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212319
Apple
Xcode 12.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212320
Apple
tvOS 14.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212323
Apple
セキュリティアップデート 2021-002 Catalina のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212326
Apple
セキュリティアップデート 2021-003 Mojave のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212327
Apple
macOS Big Sur 11.3.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212335
Apple
iOS 14.5.1 および iPadOS 14.5.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212336
Apple
watchOS 7.4.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212339
Apple
Safari 14.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212340
Apple
iOS 12.5.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212341
Apple
About the security content of iCloud for Windows 12.3
https://support.apple.com/en-us/HT212321
複数のMozilla製品に脆弱性
複数のMozilla製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Mozilla Firefox 88.0.1より前のバージョン
- Mozilla Firefox for Android 88.1.3より前のバージョン
- Mozilla Firefox ESR 78.10.1より前のバージョン
- Mozilla Thunderbird 78.10.1より前のバージョン
この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。
Mozilla
Security Vulnerabilities fixed in Firefox ESR 78.10.1
https://www.mozilla.org/en-US/security/advisories/mfsa2021-18/
Mozilla
Security Vulnerabilities fixed in Thunderbird 78.10.1
https://www.mozilla.org/en-US/security/advisories/mfsa2021-19/
Mozilla
Security Vulnerabilities fixed in Firefox 88.0.1, Firefox for Android 88.1.3
https://www.mozilla.org/en-US/security/advisories/mfsa2021-20/
VMware vRealize Business for Cloudにリモートコード実行の脆弱性
VMware vRealize Business for Cloudには、リモートコード実行の脆弱性があ
ります。結果として、遠隔の第三者が任意のコードを実行する可能性がありま
す。
対象となるバージョンは次のとおりです。
- VMware vRealize Business for Cloud 7.6より前のバージョン
この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、VMwareが提供する情報を参照してください。
VMware Security Advisories
VMSA-2021-0007
https://www.vmware.com/security/advisories/VMSA-2021-0007.html
Sambaに境界外読み取りの脆弱性
Sambaには、境界外読み取りの脆弱性があります。結果として、第三者が許可
されていないファイルへアクセスするなどの可能性があります。
対象となるバージョンは次のとおりです。
- Samba 4.14.4より前の4.14系バージョン
- Samba 4.13.8より前の4.13系バージョン
- Samba 4.12.15より前の4.12系バージョン
この問題は、SambaをThe Samba Teamが提供する修正済みのバージョンに更新
することで解決します。詳細は、The Samba Teamが提供する情報を参照してく
ださい。
The Samba Team
Negative idmap cache entries can cause incorrect group entries in the Samba file server process token
https://www.samba.org/samba/security/CVE-2021-20254.html
Eximに複数の脆弱性
Eximには、複数の脆弱性があります。結果として、遠隔の第三者がroot権限で
任意のコマンドを実行するなどの可能性があります。
対象となるバージョンは次のとおりです。
- Exim 4.94.2より前のバージョン
この問題は、Eximを開発者や配布元が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ
さい。
Center for Internet Security
Multiple Vulnerabilities in Exim Could Allow for Remote Code Execution
https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-exim-could-allow-for-remote-code-execution_2021-064/
Exim
[exim] Exim 4.94.2 - security update released
https://lists.exim.org/lurker/message/20210504.134007.ce022df3.en.html
GitLabに複数の脆弱性
GitLabには、複数の脆弱性があります。結果として、遠隔の第三者が、認証情
報を窃取したり、サービス運用妨害(DoS)攻撃を行ったりするなどの可能性
があります。
対象となるバージョンは次のとおりです。
- GitLab Community EditionおよびEnterprise Edition 13.11.2より前の13.11系バージョン
- GitLab Community EditionおよびEnterprise Edition 13.10.4より前の13.10系バージョン
- GitLab Community EditionおよびEnterprise Edition 13.9.7より前の13.9系バージョン
なお、GitLabによると、上記に記載されていないバージョンも影響を受けると
のことです。
この問題は、該当する製品をGitLabが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、GitLabが提供する情報を参照してください。
スマートフォンアプリ「ホットペッパーグルメ」にアクセス制限不備の脆弱性
スマートフォンアプリ「ホットペッパーグルメ」には、アクセス制限不備の脆
弱性があります。結果として、遠隔の第三者が、当該製品を経由してユーザー
を任意のWebサイトにアクセスさせる可能性があります。
対象となるバージョンは次のとおりです。
- Androidアプリ「ホットペッパーグルメ」 ver.4.111.0およびそれ以前
- iOSアプリ「ホットペッパーグルメ」 ver.4.111.0およびそれ以前
この問題は、該当する製品を株式会社リクルートが提供する修正済みのバー
ジョンに更新することで解決します。詳細は、株式会社リクルートが提供する
情報を参照してください。
株式会社リクルート
株式会社リクルートからの情報
https://jvn.jp/jp/JVN97434260/995838/
バッファロー製の複数のネットワーク機器にデバッグ機能を有効化される問題
株式会社バッファローが提供する複数のネットワーク機器には、第三者により
デバッグ機能を有効化される問題があります。結果として、隣接するネットワー
ク上の第三者が、任意のOSコマンドを実行したり、サービス運用妨害(DoS)
攻撃を行ったりするなどの可能性があります。
対象となる製品は多岐にわたります。詳細は株式会社バッファローが提供する
情報を参照してください。
当該製品のサポートは終了しており、修正アップデートは提供されません。株
式会社バッファローは製品の使用を停止し、代替製品へ移行することを推奨し
ています。詳細は、株式会社バッファローが提供する情報を参照してください。
株式会社バッファロー
【更新】ルーター等の一部商品におけるデバッグオプションの脆弱性とその対処方法
https://www.buffalo.jp/news/detail/20210427-02.html
バッファロー製ルーターに複数の脆弱性
株式会社バッファローが提供するルーター製品には、複数の脆弱性があります。
結果として、隣接するネットワーク上の第三者が、当該機器の設定情報などを
窃取したり、root権限で任意のOSコマンドを実行したりするなどの可能性があ
ります。
対象となる製品は多岐にわたります。詳細は株式会社バッファローが提供する
情報を参照してください。
この問題は、該当する製品を株式会社バッファローが提供する修正済みのバー
ジョンに更新することで解決します。詳細は、株式会社バッファローが提供す
る情報を参照してください。
株式会社バッファロー
一部ルーター商品における複数の脆弱性とその対処方法
https://www.buffalo.jp/news/detail/20210427-01.html
WordPress用プラグインWP Fastest Cacheにディレクトリトラバーサルの脆弱性
WordPress用プラグインWP Fastest Cacheには、ディレクトリトラバーサルの
脆弱性があります。結果として、当該製品に管理者権限でログイン可能な第三
者が、任意のファイルを削除する可能性があります。
対象となるバージョンは次のとおりです。
- WP Fastest Cache 0.9.1.7より前のバージョン
この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。
Emre Vona
WP Fastest Cache
https://wordpress.org/plugins/wp-fastest-cache/
Emre Vona
WP Fastest Cache Premium | The Fastest WordPress Cache Plugin
https://www.wpfastestcache.com/
経済産業省が「サイバーセキュリティ体制構築・人材確保の手引き」(第1.1版)を公開
2021年4月26日、経済産業省は「サイバーセキュリティ体制構築・人材確保の
手引き」(第1.1版)を公開しました。本手引きは企業がサイバーセキュリティ
経営ガイドラインに基づいてサイバーセキュリティの体制を構築し、人材を確
保するための要点がまとめられています。第1.1版では、サイバーセキュリティ
対策に従事する人材の確保方法、ユーザー企業で必要となるスキルの習得に活
用可能な資格制度、ユーザー企業でサイバーセキュリティ対策に従事する人材
育成のイメージなどが追加されています。
経済産業省
「サイバーセキュリティ体制構築・人材確保の手引き」(第1.1版)を取りまとめました
https://www.meti.go.jp/press/2021/04/20210426002/20210426002.html