-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2021-2001 JPCERT/CC 2021-05-26 <<< JPCERT/CC WEEKLY REPORT 2021-05-26 >>> ―――――――――――――――――――――――――――――――――――――― ■05/16(日)〜05/22(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】QNDに権限昇格の脆弱性 【2】Pulse Connect Secureにバッファーオーバーフローの脆弱性 【3】複数のCisco製品に脆弱性 【4】Apple Boot Campにメモリ破損の脆弱性 【5】QNAP QTSおよびQuTS heroにディレクトリトラバーサルの脆弱性 【6】複数のPHP工房製品に複数のクロスサイトスクリプティングの脆弱性 【7】OverwolfインストーラーにDLL読み込みに関する脆弱性 【8】ScanSnap ManagerのインストーラーにDLL読み込みに関する脆弱性 【9】JNSAが「セキュリティ知識分野(SecBoK)人材スキルマップ2021年版」を公開 【今週のひとくちメモ】Internet Explorer 11 デスクトップアプリが2022年6月15日にサポート終了 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2021/wr212001.html https://www.jpcert.or.jp/wr/2021/wr212001.xml ============================================================================ 【1】QNDに権限昇格の脆弱性 情報源 Japan Vulnerability Notes JVN#74686032 QND における権限昇格の脆弱性 https://jvn.jp/jp/JVN74686032/ 概要 QNDには、権限昇格の脆弱性があります。結果として、ユーザーが、情報を窃 取したり、任意の操作を実行したりするなどの可能性があります。 対象となるバージョンは次のとおりです。 - QND Premium/Advance/Standard Ver.11.0.4iおよびそれ以前 この問題は、該当する製品をクオリティソフト株式会社が提供する修正済みの バージョンに更新することで解決します。詳細は、クオリティソフト株式会社 が提供する情報を参照してださい。 関連文書 (日本語) クオリティソフト株式会社 QND Windows クライアントの脆弱性について https://www.qualitysoft.com/product/qnd_vulnerabilities_2021/ 【2】Pulse Connect Secureにバッファーオーバーフローの脆弱性 情報源 CERT/CC Vulnerability Note VU#667933 Pulse Connect Secure Samba buffer overflow https://kb.cert.org/vuls/id/667933 概要 Pulse Connect Secureには、バッファーオーバーフローの脆弱性があります。 結果として、遠隔の第三者が、当該製品上で管理者権限で任意のコードを実行 する可能性があります。 対象となるバージョンは次のとおりです。 - Pulse Connect Secure (PCS) 9.1系の9.1R11.5より前のバージョン - Pulse Connect Secure (PCS) 9.0系 2021年5月26日現在、本脆弱性の修正パッチおよびアップデートは提供されて いません。脆弱性を悪用した攻撃による影響を軽減するため、開発者から回避 策が提示されています。詳細は、Pulse Secureが提供する情報を参照してくだ さい。 関連文書 (英語) Pulse Secure SA44800 - 2021-05: Out-of-Cycle Advisory: Pulse Connect Secure Buffer Overflow Vulnerability https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44800/ 【3】複数のCisco製品に脆弱性 情報源 CISA Current Activity Cisco Releases Security Updates for Multiple Products https://us-cert.cisa.gov/ncas/current-activity/2021/05/20/cisco-releases-security-updates-multiple-products 概要 複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が、任 意のコマンドを実行したりするなどの可能性があります。 対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ 情報を参照してください。 この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Ciscoが提供する情報を参照してください。 関連文書 (英語) Cisco Cisco Security Advisories https://tools.cisco.com/security/center/publicationListing.x 【4】Apple Boot Campにメモリ破損の脆弱性 情報源 Apple Boot Camp 6.1.14 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT212517 概要 複数のApple製品のBoot Campには、メモリ破損の脆弱性があります。結果とし て、遠隔の第三者が、権限昇格する可能性があります。 対象となる製品は次のとおりです。 - Mac Pro(Late 2013およびそれ以降のモデル) - MacBook Pro(Late 2013およびそれ以降のモデル) - MacBook Air(Mid 2013およびそれ以降のモデル) - Mac mini(Mid 2014およびそれ以降のモデル) - iMac(mid 2014およびそれ以降のモデル) - MacBook(Early 2015およびそれ以降のモデル) - iMac Pro(Late 2017モデル) この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Appleが提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC CyberNewsFlash Boot Campに関するアップデートについて https://www.jpcert.or.jp/newsflash/2021051901.html 【5】QNAP QTSおよびQuTS heroにディレクトリトラバーサルの脆弱性 情報源 QNAP Relative Path Traversal Vulnerability in QTS and QuTS hero https://www.qnap.com/en/security-advisory/qsa-21-14 概要 QNAP QTSおよびQuTS heroには、ディレクトリトラバーサルの脆弱性がありま す。結果として、遠隔の第三者が、任意のファイルを改ざんするなどの可能性 があります。 対象となるバージョンは次のとおりです。 - QTS 4.5.2.1630 Build 20210406およびそれ以前 - QTS 4.3.6.1663 Build 20210504およびそれ以前 - QTS 4.3.3.1624 Build 20210416およびそれ以前 - QuTS hero h4.5.2.1638 Build 20210414およびそれ以前 この問題は、QTSおよびQuTS heroをQNAP Systemsが提供する修正済みのバージョン に更新することで解決します。詳細は、QNAP Systemsが提供する情報を参照し てください。 【6】複数のPHP工房製品に複数のクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#53910556 複数の PHP工房製品における複数のクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN53910556/ 概要 複数のPHP工房製品には、複数のクロスサイトスクリプティングの脆弱性があ ります。結果として、当該製品の管理者画面にアクセスしたユーザーのWebブ ラウザー上で、任意のスクリプトを実行される可能性があります。 対象となるバージョンは次のとおりです。 - 【MailForm01】PHP多機能メールフォームフリー(無料)版 プログラムファイル上部記載の最終更新日が2014年12月12日から2018年7月27日までのバージョン - 【Telop01】PHPテロップ・ニュースティッカー・ヘッドラインCMSフリー(無料)版 ver1.0.1およびそれ以前 - 【Calendar01】(3デバイス対応)PHP営業日・スケジュールカレンダーフリー(無料)版 ver1.0.1およびそれ以前 この問題は、該当する製品をPHP工房が提供する修正済みのバージョンに更新 することで解決します。詳細は、PHP工房が提供する情報を参照してください。 関連文書 (日本語) PHP工房 【MailForm01】PHP多機能メールフォーム フリー(無料)版 https://www.php-factory.net/mail/01.php PHP工房 【Telop01】PHPテロップ・ニュースティッカー・ヘッドラインCMS フリー(無料)版 https://www.php-factory.net/telop/01.php PHP工房 【Calendar01】(3デバイス対応)PHP営業日・スケジュールカレンダーフリー(無料)版 https://www.php-factory.net/calendar/01.php 【7】OverwolfインストーラーにDLL読み込みに関する脆弱性 情報源 Japan Vulnerability Notes JVN#78254777 Overwolf インストーラにおける DLL 読み込みに関する脆弱性 https://jvn.jp/jp/JVN78254777/ 概要 Overwolfのインストーラーには、DLL読み込みに関する脆弱性があります。結 果として、第三者がインストーラーの実行権限で任意のコードを実行する可能 性があります。 対象となるバージョンは次のとおりです。 - Overwolfのインストーラー 2.168.0.nおよびそれ以前 この問題は、Overwolf Ltd.が提供する修正済みのインストーラーを利用する ことで解決します。詳細は、Overwolf Ltd.が提供する情報を参照してくださ い。 関連文書 (英語) Overwolf Ltd. Development of gaming apps made easy https://www.overwolf.com/ 【8】ScanSnap ManagerのインストーラーにDLL読み込みに関する脆弱性 情報源 Japan Vulnerability Notes JVN#65733194 ScanSnap Manager のインストーラにおける DLL 読み込みに関する脆弱性 https://jvn.jp/jp/JVN65733194/ 概要 ScanSnap Managerのインストーラーには、DLL読み込みに関する脆弱性があり ます。結果として、第三者がインストーラーの実行権限で任意のコードを実行 する可能性があります。 対象となるバージョンは次のとおりです。 - ScanSnap Manager V7.0L20よりも前のバージョンのインストーラー - ソフトウェア ダウンロードインストーラー WinSSInst2JP.exeおよびWinSSInst2iX1500JP.exeよりも前のインストーラー この問題は、富士通株式会社が提供する修正済みのインストーラーを利用する ことで解決します。詳細は、富士通株式会社が提供する情報を参照してくださ い。 関連文書 (日本語) 富士通株式会社 ScanSnap ドライバダウンロード http://scansnap.fujitsu.com/jp/dl/ 【9】JNSAが「セキュリティ知識分野(SecBoK)人材スキルマップ2021年版」を公開 情報源 日本ネットワークセキュリティ協会 (JNSA) セキュリティ知識分野(SecBoK)人材スキルマップ2021年版 https://www.jnsa.org/result/skillmap/ 概要 日本ネットワークセキュリティ協会 (JNSA) は、「セキュリティ知識分野(SecBoK) 人材スキルマップ2021年版」を公開しました。多くの企業でセキュリティ人材 育成の参考資料として活用されている本資料は、BoK(Body of Knowledge)で あるとの原点に立ち返り、ディクショナリー的位置付けとして、より多くの方 が参照できることを目標に見直されているとのことです。 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Internet Explorer 11 デスクトップアプリが2022年6月15日にサポート終了 Microsoftが提供するWindows 10のInternet Explorer 11 デスクトップアプリ は2022年6月15日にサポートが終了します。Microsoftによると、Windows 10に おけるInternet Explorerの後継はMicrosoft Edgeであるとのことです。Microsoft Edgeへの移行を検討してください。 参考文献 (日本語) Microsoft Internet Explorer は Microsoft Edge へ - Windows 10 の Internet Explorer 11 デスクトップアプリは 2022 年 6 月 15 日にサポート終了 https://blogs.windows.com/japan/2021/05/19/the-future-of-internet-explorer-on-windows-10-is-in-microsoft-edge/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CCからのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下のURLからご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下のURLを参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJgrZERAAoJEKntH+qu5CT/uZQP+wdellhfV4/QUUuNkyskdod1 8fP/uEcxsVNCkeikkHLniBWwyTG/4L29YqSoaXY9Ekl5TZfN6WG7NPnNpXHOZ4in phxwI0IVa5dqaUSInYXO2nqPi07/M+xuaGDnc5rS+BGVFqYShYBkFGzZpXjAzO1i ECQxFjOC6x8wXPLMP2YKJDOOEhnMAUm00AW09AM/CVXnB2RnUBP0B7YfoJ4v9OVV hJoCiv8OZHEZk0JzfHarQWksZJ+Xv8EaHPfIPxOYHw/EJySlcovANbzB9pYF6wXB Pj9MenpndBihUrgcFPZMM3zxUb2FBMH5F7Ru6Wn0/5juh08VsQoFYDIcJB/vwz0m CNC7a2m5XOKh2SW/AKowkt8A2G8MjW3P/qzEz8Uh0/PjxO51RBCWfkDI5DBVp7ZU h2z+vYITG4mOOOG4i4CZ8Sl/yG6+GYw9Ko+YWeaToHvpkTYPdGa+v5U2uEIzVXAb H1eZynTKFlrFQwetjCrJuGofX/JqXIhCLsQXBca7X7arB+4jgDn5Uq3WBrxBiZLq lDjeJpTVgUQGLS4mozfi7KTHyt2iAQTYaET74gDd+5BnSOPg6R0+6gIryX3GYjYb RH7p4YfbYW0B+lOZtd/IO4enUGhJPA/3OnF31Ow2nuN5hWPtVQjAS5NTiYR2Ruvu 8mR+wMAanUK7lXO04RBG =bTZT -----END PGP SIGNATURE-----