<<< JPCERT/CC WEEKLY REPORT 2021-05-19 >>>
■05/09(日)〜05/15(土) のセキュリティ関連情報
目 次
【1】複数のマイクロソフト製品に脆弱性
【2】複数のアドビ製品に脆弱性
【3】Google Chromeに複数の脆弱性
【4】Citrix Workspace App for Windowsに権限昇格の脆弱性
【5】WordPressに複数の脆弱性
【6】複数のIntel製品に脆弱性
【7】複数のトレンドマイクロ製品に脆弱性
【8】EC-CUBEにクロスサイトスクリプティングの脆弱性
【9】RFNTPSにOSコマンドインジェクションの脆弱性
【10】KonaWiki2に複数の脆弱性
【11】mod_auth_openidcにサービス運用妨害(DoS)の脆弱性
【12】IEEE802.11規格のフレームアグリゲーションやフラグメンテーションに複数の脆弱性
【今週のひとくちメモ】NISCが「次期サイバーセキュリティ戦略の骨子」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr211901.txt
https://www.jpcert.or.jp/wr/2021/wr211901.xml
【1】複数のマイクロソフト製品に脆弱性
情報源
CISA Current Activity
Microsoft Releases May 2021 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/05/11/microsoft-releases-may-2021-security-updates
概要
複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三 者が任意のコードを実行するなどの可能性があります。 対象となる製品は、多岐に渡ります。詳細はマイクロソフトが提供するアドバ イザリ情報を参照してください。 この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること で解決します。詳細は、マイクロソフトが提供する情報を参照してください。
関連文書 (日本語)
マイクロソフト株式会社
May 2021 Security Updates
https://msrc.microsoft.com/update-guide/releaseNote/2021-MayJPCERT/CC 注意喚起
2021年5月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2021/at210024.html
【2】複数のアドビ製品に脆弱性
情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/05/11/adobe-releases-security-updates-multiple-products
概要
複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー ドを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Adobe Experience Manager - Adobe InDesign - Adobe Illustrator - Adobe InCopy - Adobe Genuine Service - Adobe Acrobat and Reader - Magento - Adobe Media Encoder - Adobe After Effects - Adobe Medium - Adobe Animate この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す ることで解決します。詳細は、アドビが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC 注意喚起
Adobe AcrobatおよびReaderの脆弱性(APSB21-29)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210023.htmlJPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021051201.htmlアドビ
Adobe Experience Manager に関するセキュリティアップデート公開 | APSB21-15
https://helpx.adobe.com/jp/security/products/experience-manager/apsb21-15.htmlアドビ
Adobe InDesign に関するセキュリティアップデート公開 | APSB21-22
https://helpx.adobe.com/jp/security/products/indesign/apsb21-22.htmlアドビ
Adobe Illustrator に関するセキュリティアップデート公開 | APSB21-24
https://helpx.adobe.com/jp/security/products/illustrator/apsb21-24.htmlアドビ
Adobe InCopy に関するセキュリティアップデート公開 | APSB21-25
https://helpx.adobe.com/jp/security/products/incopy/apsb21-25.htmlアドビ
アドビ正規品サービスに関するセキュリティアップデート公開 | APSB21-27
https://helpx.adobe.com/jp/security/products/integrity_service/apsb21-27.htmlアドビ
Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB21-29
https://helpx.adobe.com/jp/security/products/acrobat/apsb21-29.htmlアドビ
Magento に関するセキュリティアップデート公開 | APSB21-30
https://helpx.adobe.com/jp/security/products/magento/apsb21-30.htmlアドビ
Adobe Creative Cloud デスクトップアプリケーションに関するセキュリティアップデート公開 | APSB21-31
https://helpx.adobe.com/jp/security/products/creative-cloud/apsb21-31.htmlアドビ
Adobe Media Encoder に関するセキュリティアップデート公開 | APSB21-32
https://helpx.adobe.com/jp/security/products/media-encoder/apsb21-32.htmlアドビ
Adobe After Effects に関するセキュリティアップデート公開 | APSB21-33
https://helpx.adobe.com/jp/security/products/after_effects/apsb21-33.htmlアドビ
Medium by Adobe に関するセキュリティアップデート公開 | APSB21-34
https://helpx.adobe.com/jp/security/products/medium/apsb21-34.htmlアドビ
Adobe Animate に関するセキュリティアップデート公開 | APSB35-21
https://helpx.adobe.com/jp/security/products/animate/apsb21-35.html
【3】Google Chromeに複数の脆弱性
情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/05/11/google-releases-security-updates-chrome
概要
Google Chromeには、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 90.0.4430.212より前のバージョン この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新 することで解決します。詳細は、Googleが提供する情報を参照してください。
関連文書 (英語)
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/05/stable-channel-update-for-desktop.html
【4】Citrix Workspace App for Windowsに権限昇格の脆弱性
情報源
CISA Current Activity
Citrix Releases Security Updates for Workspace App for Windows
https://us-cert.cisa.gov/ncas/current-activity/2021/05/11/citrix-releases-security-updates-workspace-app-windows
概要
Citrix Workspace App for Windowsには、権限昇格の脆弱性があります。結果 として、ユーザーがユーザー権限でSYSTEM権限の操作をする可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Citrix Workspace App 2105以降 - Citrix Workspace App 1912 LTSR CU4以降 この問題は、Citrixが提供する修正済みのバージョンに更新することで解決し ます。詳細は、Citrixが提供する情報を参照してください。
関連文書 (英語)
Citrix
Citrix Workspace App Security Update
https://support.citrix.com/article/CTX307794
【5】WordPressに複数の脆弱性
情報源
CISA Current Activity
WordPress Releases Security Update
https://us-cert.cisa.gov/ncas/current-activity/2021/05/13/wordpress-releases-security-update
概要
WordPressには、複数の脆弱性があります。結果として、第三者がシステムを 制御するなどの可能性があります。 対象となるバージョンは次のとおりです。 - WordPress 3.7から5.7 この問題は、WordPressをWordPressが提供する修正済みのバージョンに更新す ることで解決します。詳細は、WordPressが提供する情報を参照してください。
関連文書 (英語)
WordPress
WordPress 5.7.2 セキュリティリリース
https://ja.wordpress.org/2021/05/13/wordpress-5-7-2-security-release/
【6】複数のIntel製品に脆弱性
情報源
JPCERT/CC CyberNewsFlash
Intel製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2021051202.html
概要
Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security Center Advisoriesが公開されました。 詳細は、Intelが提供する情報を参照してください。
関連文書 (英語)
Intel
Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html
【7】複数のトレンドマイクロ製品に脆弱性
情報源
Japan Vulnerability Notes JVNVU#97581596
トレンドマイクロ製 Apex One およびウイルスバスターシリーズにおける複数の脆弱性
https://jvn.jp/vu/JVNVU97581596/
概要
複数のトレンドマイクロ製品には、脆弱性があります。結果として、遠隔の第 三者が情報を窃取するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Apex One 2019、SaaS - ウイルスバスターコーポレートエディション XG SP1 - ウイルスバスタービジネスセキュリティ 9.5および10 SP1 - ウイルスバスタービジネスセキュリティサービス 6.7 この問題は、該当する製品にトレンドマイクロ株式会社が提供するパッチを適 用するか、修正済みのバージョンに更新することで解決します。詳細は、トレ ンドマイクロ株式会社が提供する情報を参照してください。
関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ:Trend Micro Apex Oneとウイルスバスターコーポレートエディションで 確認された複数の脆弱性について(2021年1月)
https://success.trendmicro.com/jp/solution/000284208トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスタービジネスセキュリティとウイルスバスタービジネスセキュリティサービスで確認された複数の脆弱性について(2021年1月)
https://success.trendmicro.com/jp/solution/000284234
【8】EC-CUBEにクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#97554111
EC-CUBE におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN97554111/
概要
EC-CUBEには、クロスサイトスクリプティングの脆弱性があります。結果とし て、遠隔の第三者がユーザーのブラウザー上で任意のスクリプトを実行する可 能性があります。 対象となるバージョンは次のとおりです。 - EC-CUBE 4.0.0から4.0.5までのバージョン この問題は、EC-CUBEに株式会社イーシーキューブが提供するパッチを適用す るか、修正済みのバージョンに更新することで解決します。詳細は、株式会社 イーシーキューブが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC 注意喚起
EC-CUBEのクロスサイトスクリプティングの脆弱性(CVE-2021-20717)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210022.html株式会社イーシーキューブ
【重要】EC-CUBE 4.0系における緊急度「高」の脆弱性(JVN#97554111)発覚と対応のお願い(2021/5/13 19:00 更新)(2021/05/13)
https://www.ec-cube.net/news/detail.php?news_id=383株式会社イーシーキューブ
脆弱性対応版「EC-CUBE 4.0.5-p1」をリリース(2021/05/10)
https://www.ec-cube.net/news/detail.php?news_id=384
【9】RFNTPSにOSコマンドインジェクションの脆弱性
情報源
Japan Vulnerability Notes JVN#13076220
RFNTPS における OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN13076220/
概要
RFNTPSには、OSコマンドインジェクションの脆弱性があります。結果として、 同一LANにアクセス可能な第三者が任意のOSコマンドを実行する可能性があり ます。 対象となるバージョンは次のとおりです。 - System_01000005、Web_01000005より前のバージョン この問題は、日本アンテナ株式会社が提供する最新版にファームウェアをアッ プデートすることで解決します。詳細は、日本アンテナ株式会社が提供する情 報を参照してください。
関連文書 (日本語)
日本アンテナ株式会社
【重要なお知らせ】地上波受信型NTPサーバーのご使用時におけるセキュリティに関する注意
https://www.nippon-antenna.co.jp/ja/news/news/news8217702780390204428.html
【10】KonaWiki2に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#34232719
KonaWiki2 における複数の脆弱性
https://jvn.jp/jp/JVN34232719/
概要
KonaWiki2には、複数の脆弱性があります。結果として、遠隔の第三者が、情 報を窃取したり、任意のコードを実行したりするなどの可能性があります。 対象となるバージョンは次のとおりです。 - KonaWiki2.2.4より前のバージョン この問題は、KonaWiki2をくじらはんどが提供する修正済みのバージョンに更 新することで解決します。詳細は、くじらはんどが提供する情報を参照してだ さい。
関連文書 (日本語)
くじらはんど
KonaWiki
https://kujirahand.com/konawiki/
【11】mod_auth_openidcにサービス運用妨害(DoS)の脆弱性
情報源
Japan Vulnerability Notes JVN#49704918
mod_auth_openidc におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN49704918/
概要
mod_auth_openidcには、脆弱性があります。結果として、遠隔の第三者が、サー ビス運用妨害(DoS)攻撃を行う可能性があります。 対象となるバージョンは次のとおりです。 - mod_auth_openidc 2.4.0から2.4.7 この問題は、mod_auth_openidcをZmartZoneが提供する修正済みのバージョン に更新することで解決します。詳細は、ZmartZoneが提供する情報を参照して ください。
関連文書 (英語)
ZmartZone
mod_auth_openidc
https://github.com/zmartzone/mod_auth_openidc
【12】IEEE802.11規格のフレームアグリゲーションやフラグメンテーションに複数の脆弱性
情報源
Japan Vulnerability Notes JVNVU#93485736
IEEE802.11 規格のフレームアグリゲーションやフラグメンテーションに関する複数の問題(FragAttack)
https://jvn.jp/vu/JVNVU93485736/
概要
IEEE802.11規格のフレームアグリゲーションやフラグメンテーションには、複 数の脆弱性があります。結果として、遠隔の第三者が、通信内容を窃取したり、 不正なパケットを挿入したりする可能性があります。 対象となる製品は次のとおりです。 - IEEE802.11規格のフレームアグリゲーションやフラグメンテーションを実装している製品 製品の開発者が提供する情報を注視し、可能な限り最新版にアップデートし てください。
関連文書 (英語)
FragAttack
FragAttack
https://www.fragattacks.com/
■今週のひとくちメモ
○NISCが「次期サイバーセキュリティ戦略の骨子」を公開
2021年5月13日、内閣サイバーセキュリティセンター(NISC)は、「次期サイ バーセキュリティ戦略の骨子」を公開しました。この骨子は、今後3年間にお ける日本政府の目標や実施方針を示すものとなっており、次期サイバーセキュ リティ戦略の課題と方向性を示しています。経済社会の活力の向上および持続 的発展、国民が安全で安心して暮らせるデジタル社会、国際社会の平和・安定 および日本の安全保障への寄与などについて記述しています。
参考文献 (日本語)
内閣サイバーセキュリティセンター(NISC)
次期サイバーセキュリティ戦略の骨子
https://www.nisc.go.jp/conference/cs/dai28/pdf/28shiryou01.pdf
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/