<<< JPCERT/CC WEEKLY REPORT 2021-06-02 >>>
■05/23(日)〜05/29(土) のセキュリティ関連情報
目 次
【1】VMware vCenter Serverに複数の脆弱性
【2】複数のApple製品に脆弱性
【3】Google Chromeに複数の脆弱性
【4】Drupalにクロスサイトスクリプティングの脆弱性
【5】ISC DHCPにバッファーオーバーフローの脆弱性
【6】Bluetoothコア仕様およびメッシュ仕様に複数の脆弱性
【7】Checkbox Surveyに安全でないデシリアライゼーションの脆弱性
【8】Zettlrにクロスサイトスクリプティングの脆弱性
【9】三菱電機製 MELSEC iQ-RシリーズのMELSOFT交信ポートにリソース枯渇の脆弱性
【今週のひとくちメモ】JNSAが「セキュリティ業務職種のキャリア展望について」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr212101.txt
https://www.jpcert.or.jp/wr/2021/wr212101.xml
【1】VMware vCenter Serverに複数の脆弱性
情報源
CISA Current Activity
VMware Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/05/26/vmware-releases-security-updates
概要
VMware vCenter Serverには、複数の脆弱性があります。結果として、ポート 443に接続可能な第三者がvCenter Serverが稼働するシステム上で任意のコマ ンドを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - vCenter Server 7.0系 7.0 U2bより前のバージョン - vCenter Server 6.7系 6.7 U3nより前のバージョン - vCenter Server 6.5系 6.5 U3pより前のバージョン - Cloud Foundation (vCenter Server) 4系 4.2.1より前のバージョン - Cloud Foundation (vCenter Server) 3系 3.10.2.1より前のバージョン この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す ることで解決します。詳細は、VMwareが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC 注意喚起
VMware vCenter Serverの複数の脆弱性(CVE-2021-21985、CVE-2021-21986)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210025.html
関連文書 (英語)
VMware
VMSA-2021-0010
https://www.vmware.com/security/advisories/VMSA-2021-0010.html
【2】複数のApple製品に脆弱性
情報源
CISA Current Activity
Apple Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/05/25/apple-releases-security-updates
概要
複数のApple製品には、複数の脆弱性があります。結果として、遠隔の第三者 が任意のコマンドを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Safari 14.1.1より前のバージョン - watchOS 7.5より前のバージョン - tvOS 14.6より前のバージョン - macOS Catalina(Security Update 2021-003 未適用) - macOS Mojave(Security Update 2021-004 未適用) - macOS Big Sur 11.4より前のバージョン - iOS 14.6より前のバージョン - iPadOS 14.6より前のバージョン この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Appleが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数のApple製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021052501.htmlApple
Safari 14.1.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212534Apple
watchOS 7.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212533Apple
tvOS 14.6 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212532Apple
セキュリティアップデート 2021-003 Catalina のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212530Apple
セキュリティアップデート 2021-004 Mojave のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212531Apple
macOS Big Sur 11.4 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212529Apple
iOS 14.6 および iPadOS 14.6 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212528
【3】Google Chromeに複数の脆弱性
情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/05/26/google-releases-security-updates-chrome
概要
Google Chromeには、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 91.0.4472.77より前のバージョン この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新 することで解決します。詳細は、Googleが提供する情報を参照してください。
関連文書 (英語)
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/05/stable-channel-update-for-desktop_25.html
【4】Drupalにクロスサイトスクリプティングの脆弱性
情報源
CISA Current Activity
Drupal Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/05/27/drupal-releases-security-updates
概要
Drupalには、使用しているサードパーティライブラリに起因するクロスサイト スクリプティングの脆弱性があります。結果として、ユーザーのブラウザー上 で任意のスクリプトが実行される可能性があります。 対象となるバージョンは次のとおりです。 - Drupal 9.1.9より前の9.1系バージョン - Drupal 9.0.14より前の9.0系バージョン - Drupal 8.9.16より前の8.9系バージョン この問題は、該当する製品をDrupalが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Drupalが提供する情報を参照してください。
関連文書 (英語)
Drupal
Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2021-003
https://www.drupal.org/sa-core-2021-003
【5】ISC DHCPにバッファーオーバーフローの脆弱性
情報源
Japan Vulnerability Notes JVNVU#95111565
ISC DHCP におけるバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU95111565/
概要
ISC DHCPには、バッファーオーバーフローの脆弱性があります。結果として、第 三者が、当該システムをサービス運用妨害(DoS)状態にするなどの可能性が あります。 対象となるバージョンは次のとおりです。 - ISC DHCP 4.1-ESV-R1から4.1-ESV-R16までのバージョン - ISC DHCP 4.4.0から4.4.2までのバージョン この問題は、開発者が提供する修正済みのバージョンに更新することで解決し ます。詳細は、開発者が提供する情報を参照してください。
関連文書 (英語)
Internet Systems Consortium
CVE-2021-25217: A buffer overrun in lease file parsing code can be used to exploit a common vulnerability shared by dhcpd and dhclient
https://kb.isc.org/docs/cve-2021-25217
【6】Bluetoothコア仕様およびメッシュ仕様に複数の脆弱性
情報源
CERT/CC Vulnerability Note VU#799380
Devices supporting Bluetooth Core and Mesh Specifications are vulnerable to impersonation attacks and AuthValue disclosure
https://kb.cert.org/vuls/id/799380
概要
Bluetoothコア仕様およびメッシュ仕様には、複数の脆弱性があります。結果 として、Bluetoothの電波到達範囲にいる第三者が、端末と機器の意図しない ペアリングをするなどの可能性があります。 対象となる製品は次のとおりです。 - BR/EDR Secure Simple Pairing(SSP)コア仕様2.1から5.2までに対応する機器 - BR/EDR Secure Connections(SC)コア仕様4.1から5.2までに対応する機器 - BLE Secure Connections(LESC)コア仕様4.2から5.2までに対応する機器 - BR/EDR Secure Simple Pairing(SSP)コア仕様 1.0Bから5.2までに対応する機器 - Bluetooth メッシュプロファイル仕様 1.0から1.0.1までに対応する機器 この問題は、各機器のベンダーから提供される最新のファームウェアへアップ デートするなどの対応を実施してください。詳細は、ベンダーが提供する情報 を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#99594334
Bluetooth コア仕様およびメッシュ仕様に複数の脆弱性
https://jvn.jp/vu/JVNVU99594334/
関連文書 (英語)
Bluetooth SIG
Bluetooth SIG Statement Regarding the ‘Authentication of the LE Legacy Pairing’ Vulnerability
https://www.bluetooth.com/learn-about-bluetooth/key-attributes/bluetooth-security/legacy-pairing/
【7】Checkbox Surveyに安全でないデシリアライゼーションの脆弱性
情報源
CERT/CC Vulnerability Note VU#706695
Checkbox Survey insecurely deserializes ASP.NET View State data
https://kb.cert.org/vuls/id/706695
概要
Checkbox Surveyには、安全でないデシリアライゼーションの脆弱性がありま す。結果として、遠隔の第三者が細工したリクエストを送信し、サーバー上で 任意のコードを実行する可能性があります。 対象となるバージョンは次のとおりです。 - Checkbox Survey 7.0より前のバージョン この問題は、該当する製品をCheckboxが提供する修正済みのバージョンに更新 することで解決します。詳細は、Checkboxが提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#99816551
Checkbox Survey に安全でないデシリアライゼーションの脆弱性
https://jvn.jp/vu/JVNVU99816551/
【8】Zettlrにクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#98239374
Zettlr におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN98239374/
概要
Zettlrには、クロスサイトスクリプティングの脆弱性があります。結果として 製品が動作するシステム上で任意のスクリプトが実行される可能性があります。 対象となるバージョンは次のとおりです。 - Zettlr 0.20.0から1.8.8までのバージョン この問題は、開発者が提供する修正済みのバージョンに更新することで解決し ます。詳細は、開発者が提供する情報を参照してください。
関連文書 (英語)
Zettlr
Postmortem: Zettlr’s first Security Incident
https://www.zettlr.com/post/postmortem-zettlr-first-security-incident
【9】三菱電機製 MELSEC iQ-RシリーズのMELSOFT交信ポートにリソース枯渇の脆弱性
情報源
Japan Vulnerability Notes JVN#98060539
三菱電機製 MELSEC iQ-R シリーズの MELSOFT 交信ポートにおけるリソース枯渇の脆弱性
https://jvn.jp/vu/JVNVU98060539/
概要
三菱電機製MELSEC iQ-RシリーズCPUユニットのMELSOFT交信ポート(TCP/IP) には、リソース枯渇の脆弱性があります。結果として、遠隔の第三者が当該機 器をサービス運用妨害 (DoS) 状態にする可能性があります。 対象となる製品およびバージョンは次のとおりです。 - R00/01/02CPU 全バージョン - R04/08/16/32/120 (EN) CPU 全バージョン - R08/16/32/120SFCPU 全バージョン - R08/16/32/120PCPU 全バージョン - R08/16/32/120PSFCPU 全バージョン この問題は、三菱電機株式会社が提供するワークアラウンドを適用することで 影響が軽減します。詳細は、三菱電機株式会社が提供する情報を参照してくだ さい。
関連文書 (日本語)
三菱電機株式会社
MELSOFT交信ポート(TCP/IP)におけるサービス拒否(DoS)の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-003.pdf
■今週のひとくちメモ
○JNSAが「セキュリティ業務職種のキャリア展望について」を公開
日本ネットワークセキュリティ協会 (JNSA) は、「セキュリティ業務職種のキ ャリア展望について」を公開しました。本資料は、セキュリティ人材不足の解 消やセキュリティ人材の働き方の多様化に向けた「JTAG活動」の一環です。 本書は、JTAG財団が定めたプロファイルと「個人のキャリアの8割は、偶然の 出来事によって決定される」という計画的偶発性理論を用いて、特性の考察を 行い、さまざまなセキュリティ人材の長期的な指標やキャリアパスの検討時の 参考として活用することを目的としています。
参考文献 (日本語)
日本ネットワークセキュリティ協会 (JNSA)
セキュリティ業務職種のキャリア展望について
https://www.jnsa.org/isepa/images/outputs/JTAG-CD_20210520_rep.pdf
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/