-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2021-2201 JPCERT/CC 2021-06-09 <<< JPCERT/CC WEEKLY REPORT 2021-06-09 >>> ―――――――――――――――――――――――――――――――――――――― ■05/30(日)〜06/05(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数のMozilla製品に脆弱性 【2】複数のCisco製品に脆弱性 【3】複数のトレンドマイクロ株式会社製品の脆弱性に対するアップデート 【4】GitLabに複数の脆弱性 【5】バッファロー製ルータWSR-1166DHP3およびWSR-1166DHP4に複数の脆弱性 【6】スマートフォンアプリ「ATOM - スマートライフ」にサーバ証明書の検証不備の脆弱性 【7】スマートフォンアプリ「goo blog(gooブログ)」にアクセス制限不備の脆弱性 【8】Zettlrにクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】総務省が「テレワークセキュリティガイドライン(第5版)」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2021/wr212201.html https://www.jpcert.or.jp/wr/2021/wr212201.xml ============================================================================ 【1】複数のMozilla製品に脆弱性 情報源 CISA Current Activity Mozilla Releases Security Updates for Firefox https://us-cert.cisa.gov/ncas/current-activity/2021/06/02/mozilla-releases-security-updates-firefox 概要 複数のMozilla製品には、脆弱性があります。結果として、第三者が任意のコー ドを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Mozilla Firefox 89より前のバージョン - Mozilla Firefox ESR 78.11より前のバージョン この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新 することで解決します。詳細は、Mozillaが提供する情報を参照してください。 関連文書 (英語) Mozilla Security Vulnerabilities fixed in Firefox 89 https://www.mozilla.org/en-US/security/advisories/mfsa2021-23/ Mozilla Security Vulnerabilities fixed in Firefox ESR 78.11 https://www.mozilla.org/en-US/security/advisories/mfsa2021-24/ 【2】複数のCisco製品に脆弱性 情報源 CISA Current Activity Cisco Releases Security Updates for Multiple Products https://us-cert.cisa.gov/ncas/current-activity/2021/06/02/cisco-releases-security-updates-multiple-products CISA Current Activity Cisco Releases Security Updates for Multiple Products https://us-cert.cisa.gov/ncas/current-activity/2021/06/03/cisco-releases-security-updates-multiple-products 概要 複数のCisco製品には、脆弱性があります。結果として、第三者が、任意のコー ドを実行したり、権限を昇格したりするなどの可能性があります。 対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ 情報を参照してください。 この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す ることで解決します。 関連文書 (英語) Cisco Cisco Security Advisories https://tools.cisco.com/security/center/publicationListing.x 【3】複数のトレンドマイクロ株式会社製品の脆弱性に対するアップデート 情報源 Japan Vulnerability Notes JVNVU#93332929 複数のトレンドマイクロ株式会社製品の脆弱性に対するアップデート (2021年5月) https://jvn.jp/vu/JVNVU93332929/ 概要 トレンドマイクロ株式会社から、複数の製品向けのアップデートが公開されま した。 対象となる製品は、多岐にわたります。詳細はトレンドマイクロ株式会社が提 供するアドバイザリ情報を参照してください。 この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正済みの バージョンに更新することで解決します。 関連文書 (日本語) トレンドマイクロ株式会社 アラート/アドバイザリ:Trend Micro Apex One、Apex One SaaS、ウイルスバスターコーポレートエディションで確認された複数の脆弱性について(2021年3月) https://success.trendmicro.com/jp/solution/000285985 トレンドマイクロ株式会社 アラート/アドバイザリ:ウイルスバスター for Mac の脆弱性について(CVE-2021-28648) https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10281 トレンドマイクロ株式会社 アラート/アドバイザリ:ウイルスバスター for Home Networkの脆弱性について(CVE-2021-31517, CVE-2021-31518) https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10311 トレンドマイクロ株式会社 アラート/アドバイザリ:スマートホームスキャナー(Windows版)の脆弱性について (CVE-2021-28649, CVE-2021-31519) https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10286 トレンドマイクロ株式会社 アラート/アドバイザリ:InterScan Web Securityシリーズにおける管理画面の複数の脆弱性について https://success.trendmicro.com/jp/solution/000285581 【4】GitLabに複数の脆弱性 情報源 GitLab GitLab Security Release: 13.12.2, 13.11.5, and 13.10.5 https://about.gitlab.com/releases/2021/06/01/security-release-gitlab-13-12-2-released/ 概要 GitLabには、複数の脆弱性があります。結果として、第三者が認証情報を窃取 したり、サービス運用妨害(DoS)攻撃を行なったりするなどの可能性があり ます。 対象となるバージョンは次のとおりです。 - GitLab Community EditionおよびEnterprise Edition 13.12.2より前の13.12系バージョン - GitLab Community EditionおよびEnterprise Edition 13.11.5より前の13.11系バージョン - GitLab Community EditionおよびEnterprise Edition 13.10.5より前の13.10系バージョン なお、GitLabによると、上記に記載されていないバージョンも影響を受けると のことです。 この問題は、該当する製品をGitLabが提供する修正済みのバージョンに更新す ることで解決します。詳細は、GitLabが提供する情報を参照してください。 【5】バッファロー製ルータWSR-1166DHP3およびWSR-1166DHP4に複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#92862829 バッファロー製ルータ WSR-1166DHP3 および WSR-1166DHP4 における複数の脆弱性 https://jvn.jp/vu/JVNVU92862829/ 概要 株式会社バッファローが提供するWSR-1166DHP3およびWSR-1166DHP4には、複数 の脆弱性があります。結果として、隣接するネットワーク上の第三者が、機器 の設定情報を窃取したり、機器のroot権限で一部のOSコマンドを実行したりす る可能性があります。 対象となるバージョンは次のとおりです。 - WSR-1166DHP3 ファームウェア Ver.1.16およびそれ以前 - WSR-1166DHP4 ファームウェア Ver.1.02およびそれ以前 この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) 株式会社バッファロー WSR-1166DHP4/WSR-1166DHP3 における複数の脆弱性とその対策方法 https://www.buffalo.jp/news/detail/20210531-01.html 【6】スマートフォンアプリ「ATOM - スマートライフ」にサーバ証明書の検証不備の脆弱性 情報源 Japan Vulnerability Notes JVN#64064138 スマートフォンアプリ「ATOM - スマートライフ」におけるサーバ証明書の検証不備の脆弱性 https://jvn.jp/jp/JVN64064138/ 概要 スマートフォンアプリ「ATOM - スマートライフ」には、サーバ証明書の検証 不備の脆弱性があります。結果として、第三者が中間者攻撃による暗号通信の 盗聴などを行う可能性があります。 対象となるバージョンは次のとおりです。 - Android アプリ「ATOM - スマートライフ」 1.8.1より前のバージョン - iOS アプリ「ATOM - スマートライフ」 1.8.2より前のバージョン この問題は、当該アプリを開発者が提供する修正済みのバージョンに更新する ことで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) アトムテック株式会社 「ATOM - スマートライフ」アプリの不具合(脆弱性)について https://www.atomtech.co.jp/news/news/2055/ 【7】スマートフォンアプリ「goo blog(gooブログ)」にアクセス制限不備の脆弱性 情報源 Japan Vulnerability Notes JVN#91691168 スマートフォンアプリ「goo blog(gooブログ)」におけるアクセス制限不備の脆弱性 https://jvn.jp/jp/JVN91691168/ 概要 スマートフォンアプリ「goo blog(gooブログ)」には、アクセス制限不備の 脆弱性があります。結果として、遠隔の第三者が当該製品のユーザーを任意の ウェブサイトにアクセスさせる可能性があります。 対象となるバージョンは次のとおりです。 - Androidアプリ「goo blog(gooブログ)」 バージョン 1.2.25 およびそれ以前 - iOSアプリ「goo blog(gooブログ)」 バージョン 1.3.3 およびそれ以前 この問題は、当該アプリを開発者が提供する修正済みのバージョンに更新する ことで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) エヌ・ティ・ティレゾナント株式会社 アプリ「goo blog」Android端末、iOS端末における不具合内容の詳細報告 https://blog.goo.ne.jp/staffblog/e/d84a6b220222462094728301782885db 【8】Zettlrにクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#98239374 Zettlr におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN98239374/ 概要 Zettlrには、クロスサイトスクリプティングの脆弱性があります。結果として、 不正なiframeを含むファイルやコード断片を当該製品に読み込ませた場合、製 品が動作するシステム上で任意のスクリプトが実行される可能性があります。 対象となるバージョンは次のとおりです。 - Zettlr 0.20.0から1.8.8まで この問題は、Zettlrを開発者が提供する修正済みのバージョンに更新すること で解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (英語) Hendrik Erz Zettlr: A Markdown editor for the 21st century https://www.zettlr.com/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○総務省が「テレワークセキュリティガイドライン(第5版)」を公開 総務省は、「テレワークセキュリティガイドライン(第5版)」を公開しまし た。総務省は、企業等がテレワークを実施する際のセキュリティ上の不安を払 拭し、安心してテレワークを導入・活用するための指針として公開されたガイ ドラインについて、テレワークを取り巻く環境やセキュリティ動向の変化に対 応するため全面的に改定を行ったとのことです。また、「中小企業等担当者向 けテレワークセキュリティの手引き(チェックリスト)」も合わせて改定されて いますので、自組織のテレワーク環境のチェックにご活用ください。 参考文献 (日本語) 総務省 「テレワークセキュリティガイドライン(第5版)」(案)に対する意見募集の結果及び当該ガイドラインの公表 https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00111.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CCからのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下のURLからご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下のURLを参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJgv/3yAAoJEKntH+qu5CT/LxcQAJKsifez45elGtnk/Dxy0407 QZSkFw1iaZuIphE98W1OTbR5I5N4llVPk1qT74JZ7CaY7xiNQ83EnFFfvtm/T7Bn yBuSySiErbCqxdlm7RQM+nNkCXan9YTiAKd1umpdpN4iPf1BUBMeYPYu3jQxPAG7 LK8tOfQNDerkMl5CxbphQwsStQqHtk2Okvb0Qi/CHqH0GFNwJHHjq9c75oviWFlT Go+4aBfD4+V2KBgNIDNwWtg3iKuG/YCGRL+yQg7rqTTojwKSW7fvE1sjCERtlf8d H9MqeEZnnA/orrgR1duDg2SKc9o43XXeaKgfih/DKjA7AadhYaMERomuqaQ8xvMe KXffDwawtGN/I3z07c923fwaAdvV5RJVljW5Mb4EPPAKIp2/sthUimFAcW2Hej5X DpPgucocNG34p5KDxJIDSY7mvz0KistLe9L/EGvEK627ZoX9CtYORe0OZwYXeomW qFvTVIrxe9NbLJyb1vt2ybCh4pGl2IGapJ3eivcBglSGFLlKDJnHdeNiZpIlSWcM +6N59fMCQB9R0c4IpXHdxXIcJfQtSXn8IhJWW8AEyp7OdisySN8/dUYXADXDrTin 5e/SjW80qaBMdIiNbv4gq0n1C7DrALkSqC1vWEG0YLDC/8GsfcD6ED4NyjwI6Diy vNuTjjJckqT0+R9km2Bl =2WNP -----END PGP SIGNATURE-----