<<< JPCERT/CC WEEKLY REPORT 2021-06-16 >>>
■06/06(日)〜06/12(土) のセキュリティ関連情報
目 次
【1】複数のマイクロソフト製品に脆弱性
【2】複数のアドビ製品に脆弱性
【3】複数のSAP製品に脆弱性
【4】Google Chromeに複数の脆弱性
【5】複数のIntel製品に脆弱性
【6】トレンドマイクロ製ウイルスバスター for Home Networkに複数の脆弱性
【7】urllib3に正規表現を用いたサービス運用妨害(ReDoS)の脆弱性
【8】WordPress用プラグインWelcart e-Commerceにクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】Japan Security Analyst Conference 2022のCFP募集開始
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr212301.txt
https://www.jpcert.or.jp/wr/2021/wr212301.xml
【1】複数のマイクロソフト製品に脆弱性
情報源
CISA Current Activity
Microsoft Releases June 2021 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/06/08/microsoft-releases-june-2021-security-updates
概要
複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三 者が任意のコードを実行するなどの可能性があります。 対象となる製品は、多岐にわたります。詳細はマイクロソフトが提供するアド バイザリ情報を参照してください。 この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること で解決します。詳細は、マイクロソフトが提供する情報を参照してください。
関連文書 (日本語)
マイクロソフト株式会社
2021 年 6 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2021-JunJPCERT/CC 注意喚起
2021年6月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2021/at210027.html
【2】複数のアドビ製品に脆弱性
情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/06/08/adobe-releases-security-updates-multiple-products
概要
複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー ドを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Adobe Connect - Adobe Acrobat and Reader - Adobe Photoshop - Adobe Experience Manager - Adobe Creative Cloud Desktop Application (Installer) - RoboHelp Server - Photoshop Elements (Installer) - Adobe Premiere Elements (Installer) - Adobe After Effects - Adobe Animate この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す ることで解決します。詳細は、アドビが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC 注意喚起
Adobe AcrobatおよびReaderの脆弱性(APSB21-37)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210026.htmlJPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021060901.htmlアドビ
Adobe Connect に関するセキュリティアップデート | APSB21-36
https://helpx.adobe.com/jp/security/products/connect/apsb21-36.htmlアドビ
Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB21-37
https://helpx.adobe.com/jp/security/products/acrobat/apsb21-37.htmlアドビ
Adobe Photoshop に関するセキュリティアップデート公開 | APSB21-38
https://helpx.adobe.com/jp/security/products/photoshop/apsb21-38.htmlアドビ
Adobe Experience Manager に関するセキュリティアップデート公開 | APSB21-39
https://helpx.adobe.com/jp/security/products/experience-manager/apsb21-39.htmlアドビ
Adobe Creative Cloud デスクトップアプリケーションに関するセキュリティアップデート公開 | APSB21-41
https://helpx.adobe.com/jp/security/products/creative-cloud/apsb21-41.htmlアドビ
Security updates available for Adobe RoboHelp Server | APSB21-44
https://helpx.adobe.com/jp/security/products/robohelp-server/apsb21-44.htmlアドビ
Adobe Photoshop Elements に関するセキュリティアップデート公開 | APSB21-46
https://helpx.adobe.com/jp/security/products/photoshop_elements/apsb21-46.htmlアドビ
Adobe Premiere Elements に関するセキュリティアップデート公開 | APSB21-47
https://helpx.adobe.com/jp/security/products/premiere_elements/apsb21-47.htmlアドビ
Adobe After Effects に関するセキュリティアップデート公開 | APSB21-49
https://helpx.adobe.com/jp/security/products/after_effects/apsb21-49.htmlアドビ
Adobe Animate に関するセキュリティアップデート公開 | APSB50-21
https://helpx.adobe.com/jp/security/products/animate/apsb21-50.html
【3】複数のSAP製品に脆弱性
情報源
CISA Current Activity
SAP Releases June 2021 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/06/08/sap-releases-june-2021-security-updates
概要
複数のSAP製品には、脆弱性があります。結果として、遠隔の第三者が任意の コードを実行するなどの可能性があります。 対象となる製品は、多岐にわたります。詳細はSAPが提供するアドバイザリ情 報を参照してください。 この問題は、該当する製品をSAPが提供する修正済みのバージョンに更新する ことで解決します。詳細は、SAPが提供する情報を参照してください。
関連文書 (英語)
SAP
SAP Security Patch Day June 2021
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=578125999
【4】Google Chromeに複数の脆弱性
情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/06/10/google-releases-security-updates-chrome
概要
Google Chromeには、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 91.0.4472.101より前のバージョン この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新 することで解決します。詳細は、Googleが提供する情報を参照してください。
関連文書 (英語)
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/06/stable-channel-update-for-desktop.html
【5】複数のIntel製品に脆弱性
情報源
Japan Vulnerability Notes JVNVU#99965981
Intel 製品に複数の脆弱性 (2021年6月)
https://jvn.jp/vu/JVNVU99965981/JPCERT/CC CyberNewsFlash
Intel製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2021060902.html
概要
Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security Center Advisoriesが公開されました。 詳細は、Intelが提供する情報を参照してください。
関連文書 (英語)
Intel
Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html
【6】トレンドマイクロ製ウイルスバスター for Home Networkに複数の脆弱性
情報源
Japan Vulnerability Notes JVNVU#92417259
トレンドマイクロ製ウイルスバスター for Home Network における複数の脆弱性
https://jvn.jp/vu/JVNVU92417259/
概要
トレンドマイクロ製ウイルスバスター for Home Networkには、複数の脆弱性 があります。結果として、第三者が権限昇格を行うなどの可能性があります。 対象となるバージョンは次のとおりです。 - ウイルスバスター for Home Network ファームウェアバージョン6.6.604およびそれ以前 この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正済みの バージョンに更新することで解決します。詳細はトレンドマイクロ株式会社が 提供する情報を参照してください。
関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスター for Home Network の脆弱性について(CVE-2021-32457,CVE-2021-32458,CVE-2021-32459)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10323
【7】urllib3に正規表現を用いたサービス運用妨害(ReDoS)の脆弱性
情報源
Japan Vulnerability Notes JVNVU#92413403
urllib3 における、正規表現を用いたサービス運用妨害 (ReDoS) の脆弱性
https://jvn.jp/vu/JVNVU92413403/
概要
urllib3には、不正なURLを評価する正規表現の処理中に、サービス運用妨害 (DoS)状態となる脆弱性があります。結果として、遠隔の第三者がサービス 運用妨害(DoS)攻撃を行う可能性があります。 対象となるバージョンは次のとおりです。 - urllib3 v1.26.5より前のバージョン この問題は、urllib3を開発者が提供する修正済みのバージョンに更新するこ とで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (英語)
urllib3
Catastrophic backtracking in URL authority parser when passed URL containing many @ characters
https://github.com/urllib3/urllib3/security/advisories/GHSA-q2q7-5pp4-w6pg
【8】WordPress用プラグインWelcart e-Commerceにクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#70566757
WordPress 用プラグイン Welcart e-Commerce におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN70566757/
概要
WordPress用プラグインWelcart e-Commerceには、クロスサイトスクリプティ ングの脆弱性があります。結果として、遠隔の第三者がユーザーのブラウザー 上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは次のとおりです。 - Welcart e-Commerce 2.2.4より前のバージョン この問題は、Welcart e-Commerceをコルネ株式会社が提供する修正済みのバー ジョンに更新することで解決します。詳細は、コルネ株式会社が提供する情報 を参照してください。
関連文書 (日本語)
コルネ株式会社
Welcart 2.2.4 をリリースしました
https://www.welcart.com/archives/14039.html
■今週のひとくちメモ
○Japan Security Analyst Conference 2022のCFP募集開始
2021年6月7日、JPCERT/CCは、Japan Security Analyst Conference(JSAC)2022 の講演およびWorkshopの募集(CFP)を開始しました。応募締切は2021年10月 4日です。JSACは、現場のセキュリティアナリストが集い、高度化するサイバー 攻撃に対抗するための情報を共有することを目的とした技術情報共有カンファ レンスです。JSAC 2022の開催は2022年1月27日、28日を予定しています。今回 は、オンライン・オフラインの併催を予定していますが、最終的な開催方式に ついては、2021年10月上旬までにアナウンスする予定です。
参考文献 (日本語)
JPCERT/CC JSAC2022
Call for Presentation & Workshop
https://jsac.jpcert.or.jp/cfp.html
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/