-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2021-1901 JPCERT/CC 2021-05-19 <<< JPCERT/CC WEEKLY REPORT 2021-05-19 >>> ―――――――――――――――――――――――――――――――――――――― ■05/09(日)〜05/15(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数のマイクロソフト製品に脆弱性 【2】複数のアドビ製品に脆弱性 【3】Google Chromeに複数の脆弱性 【4】Citrix Workspace App for Windowsに権限昇格の脆弱性 【5】WordPressに複数の脆弱性 【6】複数のIntel製品に脆弱性 【7】複数のトレンドマイクロ製品に脆弱性 【8】EC-CUBEにクロスサイトスクリプティングの脆弱性 【9】RFNTPSにOSコマンドインジェクションの脆弱性 【10】KonaWiki2に複数の脆弱性 【11】mod_auth_openidcにサービス運用妨害(DoS)の脆弱性 【12】IEEE802.11規格のフレームアグリゲーションやフラグメンテーションに複数の脆弱性 【今週のひとくちメモ】NISCが「次期サイバーセキュリティ戦略の骨子」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2021/wr211901.html https://www.jpcert.or.jp/wr/2021/wr211901.xml ============================================================================ 【1】複数のマイクロソフト製品に脆弱性 情報源 CISA Current Activity Microsoft Releases May 2021 Security Updates https://us-cert.cisa.gov/ncas/current-activity/2021/05/11/microsoft-releases-may-2021-security-updates 概要 複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三 者が任意のコードを実行するなどの可能性があります。 対象となる製品は、多岐に渡ります。詳細はマイクロソフトが提供するアドバ イザリ情報を参照してください。 この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること で解決します。詳細は、マイクロソフトが提供する情報を参照してください。 関連文書 (日本語) マイクロソフト株式会社 May 2021 Security Updates https://msrc.microsoft.com/update-guide/releaseNote/2021-May JPCERT/CC 注意喚起 2021年5月マイクロソフトセキュリティ更新プログラムに関する注意喚起 https://www.jpcert.or.jp/at/2021/at210024.html 【2】複数のアドビ製品に脆弱性 情報源 CISA Current Activity Adobe Releases Security Updates for Multiple Products https://us-cert.cisa.gov/ncas/current-activity/2021/05/11/adobe-releases-security-updates-multiple-products 概要 複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー ドを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Adobe Experience Manager - Adobe InDesign - Adobe Illustrator - Adobe InCopy - Adobe Genuine Service - Adobe Acrobat and Reader - Magento - Adobe Media Encoder - Adobe After Effects - Adobe Medium - Adobe Animate この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す ることで解決します。詳細は、アドビが提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC 注意喚起 Adobe AcrobatおよびReaderの脆弱性(APSB21-29)に関する注意喚起 https://www.jpcert.or.jp/at/2021/at210023.html JPCERT/CC CyberNewsFlash 複数のアドビ製品のアップデートについて https://www.jpcert.or.jp/newsflash/2021051201.html アドビ Adobe Experience Manager に関するセキュリティアップデート公開 | APSB21-15 https://helpx.adobe.com/jp/security/products/experience-manager/apsb21-15.html アドビ Adobe InDesign に関するセキュリティアップデート公開 | APSB21-22 https://helpx.adobe.com/jp/security/products/indesign/apsb21-22.html アドビ Adobe Illustrator に関するセキュリティアップデート公開 | APSB21-24 https://helpx.adobe.com/jp/security/products/illustrator/apsb21-24.html アドビ Adobe InCopy に関するセキュリティアップデート公開 | APSB21-25 https://helpx.adobe.com/jp/security/products/incopy/apsb21-25.html アドビ アドビ正規品サービスに関するセキュリティアップデート公開 | APSB21-27 https://helpx.adobe.com/jp/security/products/integrity_service/apsb21-27.html アドビ Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB21-29 https://helpx.adobe.com/jp/security/products/acrobat/apsb21-29.html アドビ Magento に関するセキュリティアップデート公開 | APSB21-30 https://helpx.adobe.com/jp/security/products/magento/apsb21-30.html アドビ Adobe Creative Cloud デスクトップアプリケーションに関するセキュリティアップデート公開 | APSB21-31 https://helpx.adobe.com/jp/security/products/creative-cloud/apsb21-31.html アドビ Adobe Media Encoder に関するセキュリティアップデート公開 | APSB21-32 https://helpx.adobe.com/jp/security/products/media-encoder/apsb21-32.html アドビ Adobe After Effects に関するセキュリティアップデート公開 | APSB21-33 https://helpx.adobe.com/jp/security/products/after_effects/apsb21-33.html アドビ Medium by Adobe に関するセキュリティアップデート公開 | APSB21-34 https://helpx.adobe.com/jp/security/products/medium/apsb21-34.html アドビ Adobe Animate に関するセキュリティアップデート公開 | APSB35-21 https://helpx.adobe.com/jp/security/products/animate/apsb21-35.html 【3】Google Chromeに複数の脆弱性 情報源 CISA Current Activity Google Releases Security Updates for Chrome https://us-cert.cisa.gov/ncas/current-activity/2021/05/11/google-releases-security-updates-chrome 概要 Google Chromeには、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 90.0.4430.212より前のバージョン この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新 することで解決します。詳細は、Googleが提供する情報を参照してください。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2021/05/stable-channel-update-for-desktop.html 【4】Citrix Workspace App for Windowsに権限昇格の脆弱性 情報源 CISA Current Activity Citrix Releases Security Updates for Workspace App for Windows https://us-cert.cisa.gov/ncas/current-activity/2021/05/11/citrix-releases-security-updates-workspace-app-windows 概要 Citrix Workspace App for Windowsには、権限昇格の脆弱性があります。結果 として、ユーザーがユーザー権限でSYSTEM権限の操作をする可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Citrix Workspace App 2105以降 - Citrix Workspace App 1912 LTSR CU4以降 この問題は、Citrixが提供する修正済みのバージョンに更新することで解決し ます。詳細は、Citrixが提供する情報を参照してください。 関連文書 (英語) Citrix Citrix Workspace App Security Update https://support.citrix.com/article/CTX307794 【5】WordPressに複数の脆弱性 情報源 CISA Current Activity WordPress Releases Security Update https://us-cert.cisa.gov/ncas/current-activity/2021/05/13/wordpress-releases-security-update 概要 WordPressには、複数の脆弱性があります。結果として、第三者がシステムを 制御するなどの可能性があります。 対象となるバージョンは次のとおりです。 - WordPress 3.7から5.7 この問題は、WordPressをWordPressが提供する修正済みのバージョンに更新す ることで解決します。詳細は、WordPressが提供する情報を参照してください。 関連文書 (英語) WordPress WordPress 5.7.2 セキュリティリリース https://ja.wordpress.org/2021/05/13/wordpress-5-7-2-security-release/ 【6】複数のIntel製品に脆弱性 情報源 JPCERT/CC CyberNewsFlash Intel製品に関する複数の脆弱性について https://www.jpcert.or.jp/newsflash/2021051202.html 概要 Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security Center Advisoriesが公開されました。 詳細は、Intelが提供する情報を参照してください。 関連文書 (英語) Intel Intel Product Security Center Advisories https://www.intel.com/content/www/us/en/security-center/default.html 【7】複数のトレンドマイクロ製品に脆弱性 情報源 Japan Vulnerability Notes JVNVU#97581596 トレンドマイクロ製 Apex One およびウイルスバスターシリーズにおける複数の脆弱性 https://jvn.jp/vu/JVNVU97581596/ 概要 複数のトレンドマイクロ製品には、脆弱性があります。結果として、遠隔の第 三者が情報を窃取するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Apex One 2019、SaaS - ウイルスバスターコーポレートエディション XG SP1 - ウイルスバスタービジネスセキュリティ 9.5および10 SP1 - ウイルスバスタービジネスセキュリティサービス 6.7 この問題は、該当する製品にトレンドマイクロ株式会社が提供するパッチを適 用するか、修正済みのバージョンに更新することで解決します。詳細は、トレ ンドマイクロ株式会社が提供する情報を参照してください。 関連文書 (日本語) トレンドマイクロ株式会社 アラート/アドバイザリ:Trend Micro Apex Oneとウイルスバスターコーポレートエディションで 確認された複数の脆弱性について(2021年1月) https://success.trendmicro.com/jp/solution/000284208 トレンドマイクロ株式会社 アラート/アドバイザリ:ウイルスバスタービジネスセキュリティとウイルスバスタービジネスセキュリティサービスで確認された複数の脆弱性について(2021年1月) https://success.trendmicro.com/jp/solution/000284234 【8】EC-CUBEにクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#97554111 EC-CUBE におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN97554111/ 概要 EC-CUBEには、クロスサイトスクリプティングの脆弱性があります。結果とし て、遠隔の第三者がユーザーのブラウザー上で任意のスクリプトを実行する可 能性があります。 対象となるバージョンは次のとおりです。 - EC-CUBE 4.0.0から4.0.5までのバージョン この問題は、EC-CUBEに株式会社イーシーキューブが提供するパッチを適用す るか、修正済みのバージョンに更新することで解決します。詳細は、株式会社 イーシーキューブが提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC 注意喚起 EC-CUBEのクロスサイトスクリプティングの脆弱性(CVE-2021-20717)に関する注意喚起 https://www.jpcert.or.jp/at/2021/at210022.html 株式会社イーシーキューブ 【重要】EC-CUBE 4.0系における緊急度「高」の脆弱性(JVN#97554111)発覚と対応のお願い(2021/5/13 19:00 更新)(2021/05/13) https://www.ec-cube.net/news/detail.php?news_id=383 株式会社イーシーキューブ 脆弱性対応版「EC-CUBE 4.0.5-p1」をリリース(2021/05/10) https://www.ec-cube.net/news/detail.php?news_id=384 【9】RFNTPSにOSコマンドインジェクションの脆弱性 情報源 Japan Vulnerability Notes JVN#13076220 RFNTPS における OS コマンドインジェクションの脆弱性 https://jvn.jp/jp/JVN13076220/ 概要 RFNTPSには、OSコマンドインジェクションの脆弱性があります。結果として、 同一LANにアクセス可能な第三者が任意のOSコマンドを実行する可能性があり ます。 対象となるバージョンは次のとおりです。 - System_01000005、Web_01000005より前のバージョン この問題は、日本アンテナ株式会社が提供する最新版にファームウェアをアッ プデートすることで解決します。詳細は、日本アンテナ株式会社が提供する情 報を参照してください。 関連文書 (日本語) 日本アンテナ株式会社 【重要なお知らせ】地上波受信型NTPサーバーのご使用時におけるセキュリティに関する注意 https://www.nippon-antenna.co.jp/ja/news/news/news8217702780390204428.html 【10】KonaWiki2に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#34232719 KonaWiki2 における複数の脆弱性 https://jvn.jp/jp/JVN34232719/ 概要 KonaWiki2には、複数の脆弱性があります。結果として、遠隔の第三者が、情 報を窃取したり、任意のコードを実行したりするなどの可能性があります。 対象となるバージョンは次のとおりです。 - KonaWiki2.2.4より前のバージョン この問題は、KonaWiki2をくじらはんどが提供する修正済みのバージョンに更 新することで解決します。詳細は、くじらはんどが提供する情報を参照してだ さい。 関連文書 (日本語) くじらはんど KonaWiki https://kujirahand.com/konawiki/ 【11】mod_auth_openidcにサービス運用妨害(DoS)の脆弱性 情報源 Japan Vulnerability Notes JVN#49704918 mod_auth_openidc におけるサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/jp/JVN49704918/ 概要 mod_auth_openidcには、脆弱性があります。結果として、遠隔の第三者が、サー ビス運用妨害(DoS)攻撃を行う可能性があります。 対象となるバージョンは次のとおりです。 - mod_auth_openidc 2.4.0から2.4.7 この問題は、mod_auth_openidcをZmartZoneが提供する修正済みのバージョン に更新することで解決します。詳細は、ZmartZoneが提供する情報を参照して ください。 関連文書 (英語) ZmartZone mod_auth_openidc https://github.com/zmartzone/mod_auth_openidc 【12】IEEE802.11規格のフレームアグリゲーションやフラグメンテーションに複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#93485736 IEEE802.11 規格のフレームアグリゲーションやフラグメンテーションに関する複数の問題(FragAttack) https://jvn.jp/vu/JVNVU93485736/ 概要 IEEE802.11規格のフレームアグリゲーションやフラグメンテーションには、複 数の脆弱性があります。結果として、遠隔の第三者が、通信内容を窃取したり、 不正なパケットを挿入したりする可能性があります。 対象となる製品は次のとおりです。 - IEEE802.11規格のフレームアグリゲーションやフラグメンテーションを実装している製品 製品の開発者が提供する情報を注視し、可能な限り最新版にアップデートし てください。 関連文書 (英語) FragAttack FragAttack https://www.fragattacks.com/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○NISCが「次期サイバーセキュリティ戦略の骨子」を公開 2021年5月13日、内閣サイバーセキュリティセンター(NISC)は、「次期サイ バーセキュリティ戦略の骨子」を公開しました。この骨子は、今後3年間にお ける日本政府の目標や実施方針を示すものとなっており、次期サイバーセキュ リティ戦略の課題と方向性を示しています。経済社会の活力の向上および持続 的発展、国民が安全で安心して暮らせるデジタル社会、国際社会の平和・安定 および日本の安全保障への寄与などについて記述しています。 参考文献 (日本語) 内閣サイバーセキュリティセンター(NISC) 次期サイバーセキュリティ戦略の骨子 https://www.nisc.go.jp/conference/cs/dai28/pdf/28shiryou01.pdf ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CCからのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下のURLからご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下のURLを参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJgpEXhAAoJEKntH+qu5CT/QowP/0jf/trkWXluii/YVmq/uMab jq983SIOoOwDr3BKHy+SbaELmm7REij+7DuKCk5bveEDvQkap54GxBTkVw6cQhqF GjxaIA/0aY850CrZO3bGU2G6qMgYTeMArMYb4rD29baG+PFvM2VIQvqoDQ6rZk4b ug1nzM6mr9OJMy5QtkBDKEJuakZHAI/LSM6uLJJSL8c1laZT5EH8gjfnRrQhXvcz cJgpHjGL3rW58153pLRgLGZVngBNsmhjk2XCeqkC3Qjm6Y5NTqoaz50aPphbeFas cMQO+Qd+2RjnEKV8qW46IDaOHBYrTsIfgWTZE9f94cyRwW/TDPzkIea9XtbdovYH CnX+mZsF8c/ZyImiW4Z5Jwq/2k608R2zoUdwsbVyORBnYcOBXQhHeet07wkjlKRM XwT8hiWrPYUu2HQjlP0E2w8T/WjQzPQeYY0sUGj5aYiolR34PxmT4Rv2dnS0dgbJ zIyT5rEKsK7MYd9IMjOZNmOGesaGH6gk7qZi0UFqQ8Ja2HgCwqk3ymaShudzVq59 sf+lCqRP3As9Q9aKFZ4G94h/7hlWMmbYeFMkO40YhM9RNnCEgEp4Y9yEk6lZ8Iwd f8pjYljLxbl7/JhKdilmvMgAuri8vJOgTIi6ARVu/PrGGN9ioCmj2XYwG3ppytPI 9p8GKmFrBksTBKBrhevG =Brnt -----END PGP SIGNATURE-----