-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2021-2901 JPCERT/CC 2021-07-28 <<< JPCERT/CC WEEKLY REPORT 2021-07-28 >>> ―――――――――――――――――――――――――――――――――――――― ■07/18(日)〜07/24(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数のFotinet製品にuse-after-freeの脆弱性 【2】複数のCitrix製品に脆弱性 【3】2021年7月Oracle Critical Patch Updateについて 【4】複数のApple製品に脆弱性 【5】Google Chromeに複数の脆弱性 【6】複数のアドビ製品に脆弱性 【7】Drupalのサードパーティライブラリに脆弱性 【8】複数のCisco製品に脆弱性 【9】Microsoft WindowsにシステムフォルダーのACL設定不備による権限昇格の脆弱性 【10】Arcadyan製ソフトウェアを使用するルーターにディレクトリトラバーサルの脆弱性 【11】Minecraft Java Editionにディレクトリトラバーサルの脆弱性 【12】GroupSessionに複数の脆弱性 【13】三菱電機製MELSEC FシリーズEthernetインタフェースブロックにNULLポインター参照の脆弱性 【今週のひとくちメモ】経済産業省および総務省が「DX時代における企業のプライバシーガバナンスガイドブックver1.1」を策定 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2021/wr212901.html https://www.jpcert.or.jp/wr/2021/wr212901.xml ============================================================================ 【1】複数のFotinet製品にuse-after-freeの脆弱性 情報源 CISA Current Activity Fortinet Releases Security Updates for FortiManager and FortiAnalyzer https://us-cert.cisa.gov/ncas/current-activity/2021/07/19/fortinet-releases-security-updates-fortimanager-and-fortianalyzer 概要 複数のFortinet製品には、use-after-freeの脆弱性があります。結果として、 遠隔の第三者が任意のコードを実行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - FortiManager versions 5.6.10およびそれ以前 - FortiManager versions 6.0.10およびそれ以前 - FortiManager versions 6.2.7およびそれ以前 - FortiManager versions 6.4.5およびそれ以前 - FortiManager version 7.0.0 - FortiManager versions 5.4.x - FortiAnalyzer versions 5.6.10およびそれ以前 - FortiAnalyzer versions 6.0.10およびそれ以前 - FortiAnalyzer versions 6.2.7およびそれ以前 - FortiAnalyzer versions 6.4.5およびそれ以前 - FortiAnalyzer version 7.0.0 この問題は、該当する製品をFortinetが提供する修正済みのバージョンに更新 することで解決します。詳細は、Fortinetが提供する情報を参照してください。 関連文書 (英語) Fortinet FortiManager and FortiAnalyzer - Use after free vulnerability in fgfmsd daemon https://www.fortiguard.com/psirt/FG-IR-21-067 【2】複数のCitrix製品に脆弱性 情報源 CISA Current Activity Citrix Releases Security Updates https://us-cert.cisa.gov/ncas/current-activity/2021/07/20/citrix-releases-security-updates 概要 複数のCitrix製品には、脆弱性があります。結果として、第三者がSAML認証を ハイジャックする等などしてシステムを制御する可能性があります。 対象となる製品は、多岐にわたります。 詳細はCitrixが提供する情報を参照してください。 関連文書 (英語) Citrix Citrix Application Delivery Controller, Citrix Gateway, and Citrix SD-WAN WANOP Edition appliance Security Update https://support.citrix.com/article/CTX319135 【3】2021年7月Oracle Critical Patch Updateについて 情報源 CISA Current Activity Oracle Releases July 2021 Critical Patch Update https://us-cert.cisa.gov/ncas/current-activity/2021/07/20/oracle-releases-july-2021-critical-patch-update 概要 Oracleから複数の製品およびコンポーネントに含まれる脆弱性に対応したOracle Critical Patch Update Advisoryが公開されました。脆弱性が悪用された場合、 リモートからの攻撃によって、不正な操作が実行されたり、機微な情報を不正 に削除や改ざんされたりする可能性があります。 詳細は、Oracleが提供する情報を参照してください 関連文書 (日本語) JPCERT/CC注意喚起 2021年7月Oracle製品のクリティカルパッチアップデートに関する注意喚起 https://www.jpcert.or.jp/at/2021/at210032.html 関連文書 (英語) Oracle Oracle Critical Patch Update Advisory - July 2021 https://www.oracle.com/security-alerts/cpujul2021.html 【4】複数のApple製品に脆弱性 情報源 CISA Current Activity Apple Releases Security Updates https://us-cert.cisa.gov/ncas/current-activity/2021/07/21/apple-releases-security-updates 概要 Appleの製品には、複数の脆弱性があります。 対象となる製品およびバージョンは次のとおりです。 - macOS Big Sur 11.5.1より前のバージョン - macOS Catalina(セキュリティアップデート 2021-004未適用) - macOS Mojave(セキュリティアップデート 2021-005未適用) - iPadOS 14.7.1より前のバージョン - iOS 14.7.1より前のバージョン この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Appleが提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC CyberNewsFlash 複数のApple製品のアップデートについて(2021年7月) https://www.jpcert.or.jp/newsflash/2021072602.html Apple macOS Big Sur 11.5 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT212602 Apple セキュリティアップデート 2021-004 Catalina のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT212600 Apple セキュリティアップデート 2021-005 Mojave のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT212603 Apple iOS 14.7 および iPadOS 14.7 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT212601 Apple macOS Big Sur 11.5.1 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT212622 Apple iOS 14.7.1 および iPadOS 14.7.1 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT212623 【5】Google Chromeに複数の脆弱性 情報源 CISA Current Activity Google Releases Security Updates for Chrome https://us-cert.cisa.gov/ncas/current-activity/2021/07/21/google-releases-security-updates-chrome 概要 Google Chromeには、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 92.0.4515.107より前のバージョン この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新 することで解決します。詳細は、Googleが提供する情報を参照してください。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2021/07/stable-channel-update-for-desktop_20.html 【6】複数のアドビ製品に脆弱性 情報源 CISA Current Activity Adobe Releases Security Updates for Multiple Products https://us-cert.cisa.gov/ncas/current-activity/2021/07/21/adobe-releases-security-updates-multiple-products 概要 複数のアドビ製品には、脆弱性があります。結果として、第三者が影響を受け るシステムを制御するなどの可能性があります。 対象となる製品は次のとおりです。 - Adobe Photoshop - Adobe Audition - Adobe Character Animator - Adobe Prelude - Adobe Premiere Pro - Adobe After Effects - Adobe Media Encoder この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す ることで解決します。詳細は、アドビが提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC CyberNewsFlash 複数のアドビ製品のアップデートについて https://www.jpcert.or.jp/newsflash/2021072601.html アドビ Adobe Photoshop に関するセキュリティアップデート公開 | APSB21-63 https://helpx.adobe.com/jp/security/products/photoshop/apsb21-63.html アドビ Adobe Audition に関するセキュリティアップデート公開 | APSB21-62 https://helpx.adobe.com/jp/security/products/audition/apsb21-62.html アドビ Adobe Character Animator に関するセキュリティアップデート公開 | APSB21-59 https://helpx.adobe.com/jp/security/products/character_animator/apsb21-59.html アドビ Adobe Prelude に関するセキュリティアップデート公開 | APSB21-58 https://helpx.adobe.com/jp/security/products/prelude/apsb21-58.html アドビ Adobe Premiere Pro に関するセキュリティアップデート公開 | APSB21-56 https://helpx.adobe.com/jp/security/products/premiere_pro/apsb21-56.html アドビ Adobe After Effects に関するセキュリティアップデート公開 | APSB21-54 https://helpx.adobe.com/jp/security/products/after_effects/apsb21-54.html アドビ Adobe Media Encoder に関するセキュリティアップデート公開 | APSB21-43 https://helpx.adobe.com/jp/security/products/media-encoder/apsb21-43.html 【7】Drupalのサードパーティライブラリに脆弱性 情報源 CISA Current Activity Drupal Releases Security Updates https://us-cert.cisa.gov/ncas/current-activity/2021/07/22/drupal-releases-security-updates 概要 Drupalが使用するライブラリは、圧縮されたファイルのシンボリックリンクを 確認しない脆弱性があります。結果として、第三者が影響を受けるシステムを 制御する可能性があります。 対象となるバージョンは次のとおりです。 - Drupal 9.2.2より前の9.2系のバージョン - Drupal 9.1.11より前の9.1系のバージョン - Drupal 8.9.17より前の8.9系のバージョン - Drupal 7.82より前の7系のバージョン なお、Drupal 8.9系より前の8系と9.1系より前の9系のバージョンも影響を受 けますが、サポートが終了しており、今回のセキュリティに関する情報は提供 されていません。 この問題は、Drupalが提供する修正済みのバージョンに更新することで解決し ます。詳細は、Drupalが提供する情報を参照してください。 関連文書 (英語) Drupal Drupal core - Critical - Drupal core - Critical - Third-party libraries - SA-CORE-2021-004 https://www.drupal.org/sa-core-2021-004 【8】複数のCisco製品に脆弱性 情報源 CISA Current Activity Cisco Releases Security Updates https://us-cert.cisa.gov/ncas/current-activity/2021/07/22/cisco-releases-security-updates 概要 複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が任意 のコードを実行するなどの可能性があります。 対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ 情報を参照してください。 この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Ciscoが提供する情報を参照してください。 関連文書 (英語) Cisco Cisco Security Advisories https://tools.cisco.com/security/center/publicationListing.x 【9】Microsoft WindowsにシステムフォルダーのACL設定不備による権限昇格の脆弱性 情報源 CERT/CC Vulnerability Note VU#506989 Microsoft Windows gives unprivileged user access to system32\config files https://kb.cert.org/vuls/id/506989 概要 Microsoft Windowsには、システムフォルダーにおいてACLが適切に設定されな いことに起因する権限昇格の脆弱性があります。結果として、第三者がSYSTEM 権限で任意のコードを実行する可能性があります。 対象となる製品は次のとおりです。 - Windows Server 2004 - Windows Server 2019 - Windows 10 この問題について、マイクロソフト株式会社はワークアラウンドの実施を推奨 しています。詳しくはマイクロソフト株式会社が提供する情報を参照してくだ さい。 関連文書 (日本語) マイクロソフト株式会社 Windows Elevation of Privilege Vulnerability https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934 関連文書 (英語) マイクロソフト株式会社 KB5005357- Delete Volume Shadow Copies https://support.microsoft.com/en-us/topic/kb5005357-delete-volume-shadow-copies-1ceaa637-aaa3-4b58-a48b-baf72a2fa9e7 【10】Arcadyan製ソフトウェアを使用するルーターにディレクトリトラバーサルの脆弱性 情報源 CERT/CC Vulnerability Note VU#914124 Arcadyan-based routers and modems vulnerable to authentication bypass https://kb.cert.org/vuls/id/914124 概要 Arcadyan製ソフトウェアを使用するルーターには、ディレクトリトラバーサル の脆弱性があります。結果として、遠隔の第三者がルーターの設定を改ざんす る可能性があります。 対象となる製品は次のとおりです。 - Arcadyan製ソフトウェアを使用するルーター また、詳細についてはCERT/CCが提供する情報を参照してください。 この問題は、各機器のベンダーから提供される最新のファームウェアへアップ デートするなどの対応を実施してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#92877673 Arcadyan製ソフトウェアを使用するルーターにディレクトリトラバーサルの脆弱性 https://jvn.jp/vu/JVNVU92877673/ 【11】Minecraft Java Editionにディレクトリトラバーサルの脆弱性 情報源 Japan Vulnerability Notes JVN#53278122 Minecraft Java Edition におけるディレクトリトラバーサルの脆弱性 https://jvn.jp/jp/JVN53278122/ 概要 Minecraft Java Editionには、ディレクトリトラバーサルの脆弱性があります。 結果として、遠隔の第三者が、当該製品を使用しているシステム上の任意のJSON ファイルを削除する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Minecraft 1.17およびそれ以前 この問題は、MinecraftをMojang Studiosが提供する修正済みのバージョンに 更新することで解決します。詳細は、Mojang Studiosが提供する情報を参照し てください。 関連文書 (英語) Mojang Studios MINECRAFT 1.17.1 PRE-RELEASE 1 https://www.minecraft.net/en-us/article/minecraft-1-17-1-pre-release-1 【12】GroupSessionに複数の脆弱性 情報源 Japan Vulnerability Notes JVN#86026700 GroupSession における複数の脆弱性 https://jvn.jp/jp/JVN86026700/ 概要 GroupSessionには、複数の脆弱性があります。結果として、遠隔の第三者が、 任意のスクリプト実行や、製品の設定変更をするなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - GroupSession 無料版 ver2.2.0からver5.1.0より前のバージョン - GroupSession byCloud ver3.0.3からver5.1.0より前のバージョン - GroupSession ZION ver3.0.3からver5.1.0より前のバージョン この問題は、GroupSessionを日本トータルシステム株式会社が提供する修正済 みのバージョンに更新することで解決します。詳細は、日本トータルシステム 株式会社が提供する情報を参照してください。 関連文書 (日本語) 日本トータルシステム株式会社 GroupSessionにおける脆弱性に関して(2021-07) https://groupsession.jp/info/info-news/security202107 【13】三菱電機製MELSEC FシリーズEthernetインタフェースブロックにNULLポインター参照の脆弱性 情報源 Japan Vulnerability Notes JVNVU#94348759 三菱電機製 MELSEC F シリーズ Ethernet インタフェースブロックにおける NULL ポインタ参照の脆弱性 https://jvn.jp/vu/JVNVU94348759/ 概要 三菱電機製MELSEC FシリーズEthernetインタフェースブロックには、NULLポイン ター参照の脆弱性があります。結果として、遠隔の第三者が当該機器をサービ ス運用妨害 (DoS) 状態にする可能性があります。 対象となる製品およびバージョンは次のとおりです。 - FX3U-ENETファームウェアバージョン1.14 およびそれ以前 - FX3U-ENET-Lファームウェアバージョン1.14 およびそれ以前 - FX3U-ENET-P502ファームウェアバージョン1.14 およびそれ以前 この問題は、該当する製品を三菱電機株式会社が提供する修正済みのバージョン に更新することで解決します。詳細は、三菱電機株式会社が提供する情報を参 照してください。 関連文書 (日本語) 三菱電機株式会社 MELSEC FシリーズEthernetインタフェースブロックにおけるサービス拒否(DoS)の脆弱性 https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-006.pdf ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○経済産業省および総務省が「DX時代における企業のプライバシーガバナンスガイドブックver1.1」を策定 2021年7月19日、経済産業省および総務省は「DX時代における企業のプライバ シーガバナンスガイドブックver1.1」を策定しました。本ガイドブックは、企 業がプライバシーガバナンスの構築のために取り組むべきことを取りまとめて おり、その実践にあたって、参考となる具体的事例を掲載しています。ver1.1 では、企業がプライバシーガバナンスを構築する上で参考となる具体的な事例 が更新されています。 参考文献 (日本語) 経済産業省 「DX時代における企業のプライバシーガバナンスガイドブックver1.1」を策定しました https://www.meti.go.jp/press/2021/07/20210719001/20210715009.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CCからのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下のURLからご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下のURLを参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJhCdxaAAoJEKntH+qu5CT/qxYQAJt5Sa8zQdCmNKqcJZeZEOz1 7XX1MAwMsz0feV7SUJ3Kto6r0WwPA2KZ8ljLmC93fBEi3IHHL/A9XZESAfRmYQDw J94Zndaj96m2kj2BrlQ0/7pzTdeU6QF3zUgoUqkFZdwebOVB76/x83iUikqr7SOs fL59yuq2BBb3srREYvV5WrL9nF8lohL/2vizBO79JoNZOcc+Z2F0nuK7sRUfEmBM apUbZNFTkQMyS2CSqnW7pfJyxCrZdb+KueaF7GRiMMsBgAoKaSFwmkJ83sGqb9IZ 4VqrPLDgXeaGeT9pn9vTbvATTSRTmnz110wBehc0OCv8fOUSpQUFHCfM9xrg+2+d Mz+Y39U658VtNPKYX5fYMhnaLAVFjA0BKGWhNT+hgomkxYQr9Mi75pjWWZi6NmoK WQ3xI+X3ADPmE4HzfAA6S2Dj24U9gUzqvR0t9HywBTIcm2eU8ZpsP495Uu6xhui2 k+LS05/rankOuPuI7aL3Mzjn1eDjXmI7Ehk8boR2wRSL4dDGZLx7QFMFDQcs+Uha cVLbSoZIMVyeAxpg76UcLIhqwGupv7SpsGsZVdgWIHXkFk+5Ti0qyDAu1anvJHZT 7WwgTCiScoUgwc0foJS9TZRIwoUUK4QuCsLacZzwFW0VYi2muvJgXAOxPYf4WK8n 5LMkmP0UXdOhTvTh0JX1 =wUYX -----END PGP SIGNATURE-----