-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


                                                         JPCERT-WR-2021-2301
                                                                   JPCERT/CC
                                                                  2021-06-16

            <<< JPCERT/CC WEEKLY REPORT 2021-06-16 >>>

――――――――――――――――――――――――――――――――――――――
■06/06(日)〜06/12(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】複数のマイクロソフト製品に脆弱性
【2】複数のアドビ製品に脆弱性
【3】複数のSAP製品に脆弱性
【4】Google Chromeに複数の脆弱性
【5】複数のIntel製品に脆弱性
【6】トレンドマイクロ製ウイルスバスター for Home Networkに複数の脆弱性
【7】urllib3に正規表現を用いたサービス運用妨害（ReDoS）の脆弱性
【8】WordPress用プラグインWelcart e-Commerceにクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】Japan Security Analyst Conference 2022のCFP募集開始

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2021/wr212301.html
        https://www.jpcert.or.jp/wr/2021/wr212301.xml
============================================================================


【1】複数のマイクロソフト製品に脆弱性

    情報源
      CISA Current Activity
      Microsoft Releases June 2021 Security Updates
      https://us-cert.cisa.gov/ncas/current-activity/2021/06/08/microsoft-releases-june-2021-security-updates

    概要
      複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
      者が任意のコードを実行するなどの可能性があります。

      対象となる製品は、多岐にわたります。詳細はマイクロソフトが提供するアド
      バイザリ情報を参照してください。

      この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
      で解決します。詳細は、マイクロソフトが提供する情報を参照してください。

    関連文書 (日本語)
      マイクロソフト株式会社
      2021 年 6 月のセキュリティ更新プログラム
      https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2021-Jun

      JPCERT/CC 注意喚起
      2021年6月マイクロソフトセキュリティ更新プログラムに関する注意喚起
      https://www.jpcert.or.jp/at/2021/at210027.html

【2】複数のアドビ製品に脆弱性

    情報源
      CISA Current Activity
      Adobe Releases Security Updates for Multiple Products
      https://us-cert.cisa.gov/ncas/current-activity/2021/06/08/adobe-releases-security-updates-multiple-products

    概要
      複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー
      ドを実行するなどの可能性があります。

      対象となる製品は次のとおりです。

      - Adobe Connect
      - Adobe Acrobat and Reader
      - Adobe Photoshop
      - Adobe Experience Manager
      - Adobe Creative Cloud Desktop Application (Installer)
      - RoboHelp Server
      - Photoshop Elements (Installer)
      - Adobe Premiere Elements (Installer)
      - Adobe After Effects
      - Adobe Animate

      この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
      ることで解決します。詳細は、アドビが提供する情報を参照してください。

    関連文書 (日本語)
      JPCERT/CC 注意喚起
      Adobe AcrobatおよびReaderの脆弱性（APSB21-37）に関する注意喚起
      https://www.jpcert.or.jp/at/2021/at210026.html

      JPCERT/CC CyberNewsFlash
      複数のアドビ製品のアップデートについて
      https://www.jpcert.or.jp/newsflash/2021060901.html

      アドビ
      Adobe Connect に関するセキュリティアップデート | APSB21-36
      https://helpx.adobe.com/jp/security/products/connect/apsb21-36.html

      アドビ
      Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB21-37
      https://helpx.adobe.com/jp/security/products/acrobat/apsb21-37.html

      アドビ
      Adobe Photoshop に関するセキュリティアップデート公開 | APSB21-38
      https://helpx.adobe.com/jp/security/products/photoshop/apsb21-38.html

      アドビ
      Adobe Experience Manager に関するセキュリティアップデート公開 | APSB21-39
      https://helpx.adobe.com/jp/security/products/experience-manager/apsb21-39.html

      アドビ
      Adobe Creative Cloud デスクトップアプリケーションに関するセキュリティアップデート公開 | APSB21-41
      https://helpx.adobe.com/jp/security/products/creative-cloud/apsb21-41.html

      アドビ
      Security updates available for Adobe RoboHelp Server | APSB21-44
      https://helpx.adobe.com/jp/security/products/robohelp-server/apsb21-44.html

      アドビ
      Adobe Photoshop Elements に関するセキュリティアップデート公開 | APSB21-46
      https://helpx.adobe.com/jp/security/products/photoshop_elements/apsb21-46.html

      アドビ
      Adobe Premiere Elements に関するセキュリティアップデート公開 | APSB21-47
      https://helpx.adobe.com/jp/security/products/premiere_elements/apsb21-47.html

      アドビ
      Adobe After Effects に関するセキュリティアップデート公開 | APSB21-49
      https://helpx.adobe.com/jp/security/products/after_effects/apsb21-49.html

      アドビ
      Adobe Animate に関するセキュリティアップデート公開 | APSB50-21
      https://helpx.adobe.com/jp/security/products/animate/apsb21-50.html

【3】複数のSAP製品に脆弱性

    情報源
      CISA Current Activity
      SAP Releases June 2021 Security Updates
      https://us-cert.cisa.gov/ncas/current-activity/2021/06/08/sap-releases-june-2021-security-updates

    概要
      複数のSAP製品には、脆弱性があります。結果として、遠隔の第三者が任意の
      コードを実行するなどの可能性があります。

      対象となる製品は、多岐にわたります。詳細はSAPが提供するアドバイザリ情
      報を参照してください。

      この問題は、該当する製品をSAPが提供する修正済みのバージョンに更新する
      ことで解決します。詳細は、SAPが提供する情報を参照してください。

    関連文書 (英語)
      SAP
      SAP Security Patch Day June 2021
      https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=578125999

【4】Google Chromeに複数の脆弱性

    情報源
      CISA Current Activity
      Google Releases Security Updates for Chrome
      https://us-cert.cisa.gov/ncas/current-activity/2021/06/10/google-releases-security-updates-chrome

    概要
      Google Chromeには、複数の脆弱性があります。

      対象となるバージョンは次のとおりです。

      - Google Chrome 91.0.4472.101より前のバージョン

      この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
      することで解決します。詳細は、Googleが提供する情報を参照してください。

    関連文書 (英語)
      Google
      Stable Channel Update for Desktop
      https://chromereleases.googleblog.com/2021/06/stable-channel-update-for-desktop.html

【5】複数のIntel製品に脆弱性

    情報源
      Japan Vulnerability Notes JVNVU#99965981
      Intel 製品に複数の脆弱性 (2021年6月)
      https://jvn.jp/vu/JVNVU99965981/

      JPCERT/CC CyberNewsFlash
      Intel製品に関する複数の脆弱性について
      https://www.jpcert.or.jp/newsflash/2021060902.html

    概要
      Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security
      Center Advisoriesが公開されました。

      詳細は、Intelが提供する情報を参照してください。

    関連文書 (英語)
      Intel
      Intel Product Security Center Advisories
      https://www.intel.com/content/www/us/en/security-center/default.html

【6】トレンドマイクロ製ウイルスバスター for Home Networkに複数の脆弱性

    情報源
      Japan Vulnerability Notes JVNVU#92417259
      トレンドマイクロ製ウイルスバスター for Home Network における複数の脆弱性
      https://jvn.jp/vu/JVNVU92417259/

    概要
      トレンドマイクロ製ウイルスバスター for Home Networkには、複数の脆弱性
      があります。結果として、第三者が権限昇格を行うなどの可能性があります。

      対象となるバージョンは次のとおりです。

      - ウイルスバスター for Home Network ファームウェアバージョン6.6.604およびそれ以前

      この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正済みの
      バージョンに更新することで解決します。詳細はトレンドマイクロ株式会社が
      提供する情報を参照してください。

    関連文書 (日本語)
      トレンドマイクロ株式会社
      アラート/アドバイザリ：ウイルスバスター for Home Network の脆弱性について(CVE-2021-32457,CVE-2021-32458,CVE-2021-32459)
      https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10323

【7】urllib3に正規表現を用いたサービス運用妨害（ReDoS）の脆弱性

    情報源
      Japan Vulnerability Notes JVNVU#92413403
      urllib3 における、正規表現を用いたサービス運用妨害 (ReDoS) の脆弱性
      https://jvn.jp/vu/JVNVU92413403/

    概要
      urllib3には、不正なURLを評価する正規表現の処理中に、サービス運用妨害
      （DoS）状態となる脆弱性があります。結果として、遠隔の第三者がサービス
      運用妨害（DoS）攻撃を行う可能性があります。

      対象となるバージョンは次のとおりです。

      - urllib3 v1.26.5より前のバージョン

      この問題は、urllib3を開発者が提供する修正済みのバージョンに更新するこ
      とで解決します。詳細は、開発者が提供する情報を参照してください。

    関連文書 (英語)
      urllib3
      Catastrophic backtracking in URL authority parser when passed URL containing many @ characters
      https://github.com/urllib3/urllib3/security/advisories/GHSA-q2q7-5pp4-w6pg

【8】WordPress用プラグインWelcart e-Commerceにクロスサイトスクリプティングの脆弱性

    情報源
      Japan Vulnerability Notes JVN#70566757
      WordPress 用プラグイン Welcart e-Commerce におけるクロスサイトスクリプティングの脆弱性
      https://jvn.jp/jp/JVN70566757/

    概要
      WordPress用プラグインWelcart e-Commerceには、クロスサイトスクリプティ
      ングの脆弱性があります。結果として、遠隔の第三者がユーザーのブラウザー
      上で任意のスクリプトを実行する可能性があります。

      対象となるバージョンは次のとおりです。

      - Welcart e-Commerce 2.2.4より前のバージョン

      この問題は、Welcart e-Commerceをコルネ株式会社が提供する修正済みのバー
      ジョンに更新することで解決します。詳細は、コルネ株式会社が提供する情報
      を参照してください。

    関連文書 (日本語)
      コルネ株式会社
      Welcart 2.2.4 をリリースしました
      https://www.welcart.com/archives/14039.html


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○Japan Security Analyst Conference 2022のCFP募集開始

      2021年6月7日、JPCERT/CCは、Japan Security Analyst Conference（JSAC）2022
      の講演およびWorkshopの募集（CFP）を開始しました。応募締切は2021年10月
      4日です。JSACは、現場のセキュリティアナリストが集い、高度化するサイバー
      攻撃に対抗するための情報を共有することを目的とした技術情報共有カンファ
      レンスです。JSAC 2022の開催は2022年1月27日、28日を予定しています。今回
      は、オンライン・オフラインの併催を予定していますが、最終的な開催方式に
      ついては、2021年10月上旬までにアナウンスする予定です。

    参考文献 (日本語)
      JPCERT/CC JSAC2022
      Call for Presentation & Workshop
      https://jsac.jpcert.or.jp/cfp.html


――――――――――――――――――――――――――――――――――――――
■JPCERT/CCからのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下のURLからご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下のURLを参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

-----BEGIN PGP SIGNATURE-----
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=m7yN
-----END PGP SIGNATURE-----