-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2021-3301 JPCERT/CC 2021-08-25 <<< JPCERT/CC WEEKLY REPORT 2021-08-25 >>> ―――――――――――――――――――――――――――――――――――――― ■08/15(日)〜08/21(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】BIND 9にアサーションエラーを引き起こす脆弱性 【2】Windows用iCloudに複数の脆弱性 【3】複数のアドビ製品に脆弱性 【4】Google Chromeに複数の脆弱性 【5】複数のMozilla製品に脆弱性 【6】複数のCisco製品に脆弱性 【7】トレンドマイクロ製品に不適切なパーミッションの割り当ての脆弱性 【8】D-LinkルータDSL-2750Uに複数の脆弱性 【9】Navigate CMSに複数の脆弱性 【10】Microsoft Windowsの印刷スプーラーにリモートコード実行の脆弱性 【11】Huawei製EchoLife HG8045QにOSコマンドインジェクションの脆弱性 【今週のひとくちメモ】IPAが「サイバーセキュリティ経営可視化ツールWeb版(V1.0版)」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2021/wr213301.html https://www.jpcert.or.jp/wr/2021/wr213301.xml ============================================================================ 【1】BIND 9にアサーションエラーを引き起こす脆弱性 情報源 CISA Current Activity ISC Releases Security Advisory for BIND https://us-cert.cisa.gov/ncas/current-activity/2021/08/19/isc-releases-security-advisory-bind 概要 ISC BIND 9には、応答速度制限(RRL)が有効な場合に、namedが有効なインター フェースの最大転送単位(MTU)よりも大きい応答を行った際にアサーション エラーを引き起こす脆弱性があります。脆弱性が悪用されると、遠隔の第三者 がnamedを異常終了させる可能性があります。 関連文書 (日本語) JPCERT/CC 注意喚起 ISC BIND 9の脆弱性(CVE-2021-25218)に関する注意喚起 https://www.jpcert.or.jp/at/2021/at210035.html Japan Vulnerability Notes JVNVU#94179101 ISC BIND における複数の脆弱性 https://jvn.jp/vu/JVNVU94179101/ 株式会社日本レジストリサービス(JPRS) (緊急)BIND 9.16.19の脆弱性(DNSサービスの停止)について(CVE-2021-25218)- BIND 9.16.19のみが対象、バージョンアップを強く推奨 - https://jprs.jp/tech/security/2021-08-19-bind9-vuln-rrl.html 【2】Windows用iCloudに複数の脆弱性 情報源 CISA Current Activity Apple Releases Security Update https://us-cert.cisa.gov/ncas/current-activity/2021/08/17/apple-releases-security-update 概要 Windows用iCloudには、複数の脆弱性があります。結果として、第三者が任意 のコードを実行する可能性があります。 対象となる製品は次のとおりです。 - Windows用iCloud 12.5より前のバージョン この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Appleが提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC CyberNewsFlash Apple製品のアップデートについて(2021年8月) https://www.jpcert.or.jp/newsflash/2021081103.html Apple Windows 用 iCloud 12.5 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT212607 【3】複数のアドビ製品に脆弱性 情報源 CISA Current Activity Adobe Releases Multiple Security Updates https://us-cert.cisa.gov/ncas/current-activity/2021/08/18/adobe-releases-multiple-security-updates 概要 複数のアドビ製品には、脆弱性があります。結果として、遠隔の第三者が任意 のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Adobe Captivate - Adobe XMP Toolkit SDK - Adobe Photoshop - Adobe Bridge - Adobe Media Encoder この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す ることで解決します。詳細は、アドビが提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC CyberNewsFlash 複数のアドビ製品のアップデートについて https://www.jpcert.or.jp/newsflash/2021081801.html アドビ Adobe Captivate に関するセキュリティアップデート公開 | APSB21-60 https://helpx.adobe.com/jp/security/products/captivate/apsb21-60.html アドビ Adobe XMP Toolkit SDK に関するセキュリティアップデート公開 | APSB21-65 https://helpx.adobe.com/jp/security/products/xmpcore/apsb21-65.html アドビ Adobe Photoshop に関するセキュリティアップデート公開 | APSB21-68 https://helpx.adobe.com/jp/security/products/photoshop/apsb21-68.html アドビ Adobe Bridge に関するセキュリティアップデート公開 | APSB21-69 https://helpx.adobe.com/jp/security/products/bridge/apsb21-69.html アドビ Adobe Media Encoder に関するセキュリティアップデート公開 | APSB21-70 https://helpx.adobe.com/jp/security/products/media-encoder/apsb21-70.html 【4】Google Chromeに複数の脆弱性 情報源 CISA Current Activity Google Releases Security Updates for Chrome https://us-cert.cisa.gov/ncas/current-activity/2021/08/18/google-releases-security-updates-chrome 概要 Google Chromeには、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 92.0.4515.159より前のバージョン この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新 することで解決します。詳細は、Googleが提供する情報を参照してください。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2021/08/stable-channel-update-for-desktop.html 【5】複数のMozilla製品に脆弱性 情報源 CISA Current Activity Mozilla Releases Security Updates https://us-cert.cisa.gov/ncas/current-activity/2021/08/18/mozilla-releases-security-updates 概要 複数のMozilla製品には、脆弱性があります。結果として、HTTP/3の応答にお いてヘッダーが分離する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Mozilla Firefox Firefox 91.0.1より前のバージョン - Mozilla Thunderbird 91.0.1より前のバージョン この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新 することで解決します。詳細は、Mozillaが提供する情報を参照してください。 関連文書 (英語) Mozilla Security Vulnerabilities fixed in Firefox 91.0.1 and Thunderbird 91.0.1 https://www.mozilla.org/en-US/security/advisories/mfsa2021-37/ 【6】複数のCisco製品に脆弱性 情報源 CISA Current Activity Cisco Releases Security Updates for Multiple Products https://us-cert.cisa.gov/ncas/current-activity/2021/08/19/cisco-releases-security-updates-multiple-products 概要 複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が任意 のコードを実行するなどの可能性があります。 対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ 情報を参照してください。 この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Ciscoが提供する情報を参照してください。 関連文書 (英語) Cisco Cisco Security Advisories https://tools.cisco.com/security/center/publicationListing.x 【7】トレンドマイクロ製品に不適切なパーミッションの割り当ての脆弱性 情報源 Japan Vulnerability Notes JVN#90091573 トレンドマイクロ製企業向けエンドポイントセキュリティ製品における不適切なパーミッションの割り当ての脆弱性 https://jvn.jp/vu/JVNVU90091573/ 概要 トレンドマイクロ製企業向けエンドポイントセキュリティ製品には、不適切な パーミッションの割り当ての脆弱性があります。結果として、第三者がエージェン トのインストールされた環境で権限昇格をしたり、任意のファイルを削除した りする可能性があります。 対象となる製品は次のとおりです。 - Apex One 2019 - Apex One SaaS - ウイルスバスターコーポレートエディション XG SP1 - ウイルスバスタービジネスセキュリティ 10 SP1 - ウイルスバスタービジネスセキュリティ 9.5 - ウイルスバスタービジネスセキュリティサービス 6.7 この問題は、該当する製品をトレンドマイクロ株式会社が提供するパッチを適 用することで解決します。詳細は、トレンドマイクロ株式会社が提供する情報 を参照してください。 関連文書 (日本語) トレンドマイクロ株式会社 アラート/アドバイザリ:Apex One、ウイルスバスター コーポレートエディション、ウイルスバスター ビジネスセキュリティ、ウイルスバスター ビジネスセキュリティサービスの不正確なパーミッション割り当てによるサービス拒否の脆弱性 https://success.trendmicro.com/jp/solution/000286875 【8】D-LinkルータDSL-2750Uに複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#92088210 D-LINK ルータ DSL-2750U に複数の脆弱性 https://jvn.jp/vu/JVNVU92088210/ 概要 D-LinkルータDSL-2750Uには、複数の脆弱性があります。結果として、第三者 が、当該デバイス上で任意のOSコマンドを実行する可能性があります。 対象となるバージョンは次のとおりです。 - ファームウェア vME1.16およびそれ以前のバージョン この問題は、D-Linkが提供する情報をもとに、ファームウェアを更新すること で解決します。詳細は、D-Linkが提供する情報を参照してください。 関連文書 (英語) D-Link (Non-US) DSL-2750U :: H/W Rev. Ax :: F/W vME_1.16 :: Unauthenticated Config access https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10230 GitHub / HadiMed / firmware-analysis DSL-2750U (firmware version 1.6) https://github.com/HadiMed/firmware-analysis/blob/main/DSL-2750U%20(firmware%20version%201.6)/README.md 【9】Navigate CMSに複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#95261759 Navigate CMS における複数の脆弱性 https://jvn.jp/vu/JVNVU95261759/ 概要 Naviwebs S.C.が提供するNavigate CMSには、複数の脆弱性があります。結果 として、遠隔の第三者が、任意のスクリプトを実行したり、データベースに保 存された情報を窃取するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Navigate CMS version 2.9.3およびそれ以前 この問題は、Naviwebs S.C.が提供する修正済みのバージョンに更新すること で解決します。詳細は、Naviwebs S.C.が提供する情報を参照してください。 関連文書 (英語) Naviwebs S.C. Navigate CMS Update: 2.9.4 https://www.navigatecms.com/en/blog/development/navigate_cms_update_2_9_4 【10】Microsoft Windowsの印刷スプーラーにリモートコード実行の脆弱性 情報源 Japan Vulnerability Notes JVN#96414899 Microsoft Windowsの印刷スプーラーにリモートコード実行の脆弱性 https://jvn.jp/vu/JVNVU96414899/ 概要 Microsoft WindowsのPrint Spoolerサービスには、特権的なファイル操作を不 適切に実施した場合、リモートコード実行が可能となる脆弱性があります。 2021年8月25日時点では、脆弱性を修正したバージョンはリリースされておら ず、準備中とのことです。詳しくはMicrosoftが公開している情報を参照 ください。 関連文書 (日本語) マイクロソフト株式会社 Windows Print Spooler Remote Code Execution Vulnerability https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36958 関連文書 (英語) CERT Coordination Center Microsoft Windows Print Spooler Point and Print allows installation of arbitrary queue-specific files https://www.kb.cert.org/vuls/id/131152 【11】Huawei製EchoLife HG8045QにOSコマンドインジェクションの脆弱性 情報源 Japan Vulnerability Notes JVN#41646618 Huawei 製 EchoLife HG8045Q における OS コマンドインジェクションの脆弱性 https://jvn.jp/jp/JVN41646618/ 概要 EchoLife HG8045Qには、OSコマンドインジェクションの脆弱性があります。結 果として、管理者権限を取得した第三者がOSコマンドを実行する可能性があり ます。 対象となる製品は次のとおりです。 - EchoLife HG8045Q0 この問題は、開発者が提供する情報をもとに、ソフトウェアを更新することで 解決します。 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○IPAが「サイバーセキュリティ経営可視化ツールWeb版(V1.0版)」を公開 2021年8月17日、情報処理推進機構(IPA)は、企業がサイバーセキュリティの 実践状況を可視化するためのサイバーセキュリティ経営可視化ツールWeb版 (V1.0版)を開発、公開しました。この可視化ツールは、企業が39個の質問に 回答することで、実践状況の結果をレーダーチャート形式で表示します。 企業は自社の実践状況を定量的に把握することで、サイバーセキュリティに関 する方針の策定や、適切なセキュリティ投資の実行などに利用することができ ます。また、実践結果は、過去の診断結果や各業種との平均値との比較も可能 です。 参考文献 (日本語) 独立行政法人情報処理推進機構 サイバーセキュリティ経営可視化ツール https://www.ipa.go.jp/security/economics/checktool/index.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CCからのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下のURLからご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下のURLを参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJhJX1BAAoJEKntH+qu5CT/kyIQAJeIYse6064d7Xfd/YF0dJFA tnTatnXxSbgcbmfTqOYt5lpkASVEzrTXxz0Py087gqQAzabZ8kFQFsTEA2cjSm1S x1TSCElxMRoetrJ1y1MlaecIvi+aLxpNdeYihhrMcKiy3S8CY2HdHn7IRGiS5Q6Z /cFDwcPW5TqFYID1rjYah4pEivetu+cY6XLbDgxadjK+PDLy7S1KMy3VhtX3w/ZT cJ58iMvBTUr+k5WsJlZuPHP6yBqwmvtSI/lH1puojYNGaKtlrT0etrT8o2GUdM6J tpYeYH5ZiWcju7qCuK6TAhhU0ShfmYbZbUwQn2+BzQkK4LsgeQ2Pdq8YqKInNkIV S/nC9X41Gtc7kafCH0Tp7bbXjNZAc6op6omralfsJTZICDGhzLSNmATPtq+daL29 56isfMTgAVV/suXFSs21U6sMZ1IvuF/KjsVDACuU98fTDndQ0hcJSJKsDYoR14oA KRRjAknkB0VAt+UQYAQRxb5xTEqhBi5aNtykf4bwcIOkav6eSR4+gWqgdTod8861 KnoJ3ktdrDF/ktVYNGVM7yqUG2OFBJH4u6JPcHIo+eETPkZBQGDCuZ6We6jYBklq UsEYFPsDBdF96Oco0bOoq1XyswHaERzi2duX9YDbDYMFfEWlvWiMBgN0tbxQbbFY aGTO95t3l3uUkd7R6Y76 =FGA1 -----END PGP SIGNATURE-----