-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2021-3701 JPCERT/CC 2021-09-24 <<< JPCERT/CC WEEKLY REPORT 2021-09-24 >>> ―――――――――――――――――――――――――――――――――――――― ■09/12(日)〜09/18(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数のマイクロソフト製品に脆弱性 【2】複数のアドビ製品に脆弱性 【3】複数のApple製品に脆弱性 【4】Google Chromeに複数の脆弱性 【5】複数のSAP製品に脆弱性 【6】Citrix ShareFile storage zones controllerにアクセス制限不備の脆弱性 【7】Drupalに複数の脆弱性 【8】Apache Tomcatにサービス運用妨害(DoS)の脆弱性 【9】EC-CUBE用プラグイン「一覧画面(受注管理)項目変更プラグイン」にクロスサイトスクリプティングの脆弱性 【10】EC-CUBE用プラグイン「注文ステータス一括変更プラグイン」にクロスサイトスクリプティングの脆弱性 【11】シャープNECディスプレイソリューションズ製パブリックディスプレイに複数の脆弱性 【今週のひとくちメモ】JNSAが「現代のサイバーセキュリティの法的課題についての国際的な研究」調査報告書を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2021/wr213701.html https://www.jpcert.or.jp/wr/2021/wr213701.xml ============================================================================ 【1】複数のマイクロソフト製品に脆弱性 情報源 CISA Current Activity Microsoft Releases September 2021 Security Updates https://us-cert.cisa.gov/ncas/current-activity/2021/09/14/microsoft-releases-september-2021-security-updates CISA Current Activity Microsoft Releases Security Update for Azure Linux Open Management Infrastructure https://us-cert.cisa.gov/ncas/current-activity/2021/09/16/microsoft-releases-security-update-azure-linux-open-management 概要 複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三 者が任意のコードを実行するなどの可能性があります。 対象となる製品は、多岐にわたります。詳細はマイクロソフトが提供するアド バイザリ情報を参照してください。 この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること で解決します。詳細は、マイクロソフトが提供する情報を参照してください。 関連文書 (日本語) マイクロソフト株式会社 2021 年 9 月のセキュリティ更新プログラム https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2021-Sep JPCERT/CC 注意喚起 2021年9月マイクロソフトセキュリティ更新プログラムに関する注意喚起 https://www.jpcert.or.jp/at/2021/at210041.html 【2】複数のアドビ製品に脆弱性 情報源 CISA Current Activity Adobe Releases Security Updates for Multiple Products https://us-cert.cisa.gov/ncas/current-activity/2021/09/14/adobe-releases-security-updates-multiple-products 概要 複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー ドを実行するなどの可能性があります。 対象となる製品は、多岐にわたります。詳細はアドビが提供するアドバイザリ 情報を参照してください。 この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す ることで解決します。詳細は、アドビが提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC 注意喚起 Adobe AcrobatおよびReaderの脆弱性(APSB21-55)に関する注意喚起 https://www.jpcert.or.jp/at/2021/at210040.html JPCERT/CC CyberNewsFlash 複数のアドビ製品のアップデートについて https://www.jpcert.or.jp/newsflash/2021091501.html 関連文書 (英語) アドビ Security update available for Adobe Acrobat and Reader | APSB21-55 https://helpx.adobe.com/security/products/acrobat/apsb21-55.html アドビ Security Updates Available for Adobe Premiere Pro | APSB21-67 https://helpx.adobe.com/security/products/premiere_pro/apsb21-67.html アドビ Security Update Available for Adobe InCopy | APSB21-71 https://helpx.adobe.com/security/products/incopy/apsb21-71.html アドビ Security Updates Available for Adobe SVG-Native-Viewer | APSB21-72 https://helpx.adobe.com/security/products/svg-native-viewer/apsb21-72.html アドビ Security Update Available for Adobe InDesign | APSB21-73 https://helpx.adobe.com/security/products/indesign/apsb21-73.html アドビ Security Updates Available for Adobe Framemaker | APSB21-74 https://helpx.adobe.com/security/products/framemaker/apsb21-74.html アドビ Security updates available for Adobe ColdFusion | APSB21-75 https://helpx.adobe.com/security/products/coldfusion/apsb21-75.html アドビ Security update available for Adobe Creative Cloud Desktop Application | APSB21-76 https://helpx.adobe.com/security/products/creative-cloud/apsb21-76.html アドビ Security updates available for Adobe Photoshop Elements | APSB21-77 https://helpx.adobe.com/security/products/photoshop_elements/apsb21-77.html アドビ Security updates available for Adobe Premiere Elements | APSB21-78 https://helpx.adobe.com/security/products/premiere_elements/apsb21-78.html アドビ Security Updates Available for Adobe Digital Editions | APSB21-80 https://helpx.adobe.com/security/products/Digital-Editions/apsb21-80.html アドビ Security Updates Available for Adobe Genuine Service | APSB21-81 https://helpx.adobe.com/security/products/integrity_service/apsb21-81.html アドビ Security updates available for Adobe Experience Manager | APSB21-82 https://helpx.adobe.com/security/products/experience-manager/apsb21-82.html アドビ Security updates available for Adobe Photoshop | APSB21-84 https://helpx.adobe.com/security/products/photoshop/apsb21-84.html アドビ Security Updates Available for Adobe XMP Toolkit SDK | APSB21-85 https://helpx.adobe.com/security/products/xmpcore/apsb21-85.html 【3】複数のApple製品に脆弱性 情報源 CISA Current Activity Apple Releases Security Updates to Address CVE-2021-30858 and CVE-2021-30860 https://us-cert.cisa.gov/ncas/current-activity/2021/09/13/apple-releases-security-updates-address-cve-2021-30858-and-cve 概要 複数のApple製品には、脆弱性があります。結果として、第三者が任意のコー ドを実行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - macOS Big Sur 11.6より前のバージョン - macOS Catalina(セキュリティアップデート 2021-005未適用) - watchOS 7.6.2より前のバージョン - iOS 14.8より前のバージョン - iPadOS 14.8より前のバージョン - Safari 14.1.2より前のバージョン - iTunes U 3.8.3より前のバージョン この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Appleが提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC CyberNewsFlash Apple製品のアップデートについて(2021年9月) https://www.jpcert.or.jp/newsflash/2021091401.html Apple macOS Big Sur 11.6 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT212804 Apple セキュリティアップデート 2021-005 Catalina のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT212805 Apple watchOS 7.6.2 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT212806 Apple iOS 14.8 および iPadOS 14.8 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT212807 Apple Safari 14.1.2 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT212808 Apple iTunes U 3.8.3 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT212809 【4】Google Chromeに複数の脆弱性 情報源 CISA Current Activity Google Releases Security Updates for Chrome https://us-cert.cisa.gov/ncas/current-activity/2021/09/14/google-releases-security-updates-chrome 概要 Google Chromeには、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 93.0.4577.82より前のバージョン この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新 することで解決します。詳細は、Googleが提供する情報を参照してください。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2021/09/stable-channel-update-for-desktop.html 【5】複数のSAP製品に脆弱性 情報源 CISA Current Activity SAP Releases September 2021 Security Updates https://us-cert.cisa.gov/ncas/current-activity/2021/09/14/sap-releases-september-2021-security-updates 概要 複数のSAP製品には、脆弱性があります。結果として、遠隔の第三者が、任意 のファイルをアップロードしたり、情報を窃取したりするなどの可能性があり ます。 対象となる製品は、多岐にわたります。詳細はSAPが提供するアドバイザリ情 報を参照してください。 この問題は、該当する製品をSAPが提供する修正済みのバージョンに更新する ことで解決します。詳細は、SAPが提供する情報を参照してください。 関連文書 (英語) SAP SAP Security Patch Day - September 2021 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=585106405 【6】Citrix ShareFile storage zones controllerにアクセス制限不備の脆弱性 情報源 CISA Current Activity Citrix Releases Security Update for ShareFile Storage Zones Controller https://us-cert.cisa.gov/ncas/current-activity/2021/09/14/citrix-releases-security-update-sharefile-storage-zones-controller 概要 Citrix ShareFile storage zones controllerには、アクセス制限不備の脆弱 性があります。結果として、遠隔の第三者がstorage zones controllerを侵害 する可能性があります。 対象となるバージョンは次のとおりです。 - Citrix ShareFile storage zones controller 5.11.20より前のバージョン この問題は、該当する製品をCitrixが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Citrixが提供する情報を参照してください。 関連文書 (英語) Citrix Citrix ShareFile Storage Zones Controller Security Update https://support.citrix.com/article/CTX328123 【7】Drupalに複数の脆弱性 情報源 CISA Current Activity Drupal Releases Multiple Security Updates https://us-cert.cisa.gov/ncas/current-activity/2021/09/16/drupal-releases-multiple-security-updates 概要 Drupalには、複数の脆弱性があります。結果として、ユーザーのブラウザー上 で任意のスクリプトが実行されるなどの可能性があります。 対象となるバージョンは次のとおりです。 - Drupal 9.2.6より前の9.2系のバージョン - Drupal 9.1.13より前の9.1系のバージョン - Drupal 8.9.19より前の8.9系のバージョン なお、Drupal 8.9系より前の8系と9.1系より前の9系のバージョンは、サポー トが終了しており、今回のセキュリティに関する情報は提供されていません。 この問題は、該当する製品をDrupalが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Drupalが提供する情報を参照してください。 関連文書 (英語) Drupal Drupal core - Moderately critical - Cross Site Request Forgery - SA-CORE-2021-006 https://www.drupal.org/sa-core-2021-006 Drupal Drupal core - Moderately critical - Cross Site Request Forgery - SA-CORE-2021-007 https://www.drupal.org/sa-core-2021-007 Drupal Drupal core - Moderately critical - Access bypass - SA-CORE-2021-008 https://www.drupal.org/sa-core-2021-008 Drupal Drupal core - Moderately critical - Access bypass - SA-CORE-2021-009 https://www.drupal.org/sa-core-2021-009 Drupal Drupal core - Moderately critical - Access Bypass - SA-CORE-2021-010 https://www.drupal.org/sa-core-2021-010 【8】Apache Tomcatにサービス運用妨害(DoS)の脆弱性 情報源 Japan Vulnerability Notes JVNVU#92089088 Apache Tomcatにおけるサービス運用妨害(DoS)の脆弱性 https://jvn.jp/vu/JVNVU92089088/ 概要 Apache Tomcatには、脆弱性があります。結果として、遠隔の第三者がサービ ス運用妨害(DoS)攻撃を行う可能性があります。 対象となるバージョンは次のとおりです。 - Apache Tomcat 10.0.0-M1から10.0.2までのバージョン - Apache Tomcat 9.0.0-M1から9.0.43までのバージョン - Apache Tomcat 8.5.0から8.5.63までのバージョン この問題は、該当する製品をThe Apache Software Foundationが提供する修正 済みのバージョンに更新することで解決します。詳細は、The Apache Software Foundationが提供する情報を参照してください。 関連文書 (英語) The Apache Software Foundation Fixed in Apache Tomcat 10.0.4 https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.4 The Apache Software Foundation Fixed in Apache Tomcat 9.0.44 https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.44 The Apache Software Foundation Fixed in Apache Tomcat 8.5.64 https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.64 【9】EC-CUBE用プラグイン「一覧画面(受注管理)項目変更プラグイン」にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#46313661 EC-CUBE 用プラグイン「一覧画面(受注管理)項目変更プラグイン」におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN46313661/ 概要 EC-CUBE用プラグイン「一覧画面(受注管理)項目変更プラグイン」には、クロ スサイトスクリプティングの脆弱性があります。結果として、遠隔の第三者が、 当該製品の管理画面にアクセスしたユーザーのWebブラウザー上で、任意のス クリプトを実行する可能性があります。 対象となるバージョンは次のとおりです。 - EC-CUBE 3.0用プラグイン「一覧画面(受注管理)項目変更プラグイン」Ver.1.1およびそれ以前のバージョン この問題は、該当する製品を株式会社シロハチが提供する修正済みのバージョン に更新することで解決します。詳細は、株式会社シロハチが提供する情報を参 照してください。 関連文書 (日本語) 株式会社シロハチ 一覧画面(受注管理)項目変更プラグイン https://www.ec-cube.net/products/detail.php?product_id=1419 【10】EC-CUBE用プラグイン「注文ステータス一括変更プラグイン」にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#23406150 EC-CUBE 用プラグイン「注文ステータス一括変更プラグイン」におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN23406150/ 概要 EC-CUBE用プラグイン「注文ステータス一括変更プラグイン」には、クロスサ イトスクリプティングの脆弱性があります。結果として、遠隔の第三者が、EC サイト管理者のWebブラウザー上で、任意のスクリプトを実行する可能性があ ります。 対象となるバージョンは次のとおりです。 - EC-CUBE 3.0用プラグイン「注文ステータス一括変更プラグイン」すべてのバージョン 当該製品のサポートはすでに終了しています。当該製品の使用を停止してくだ さい。 関連文書 (日本語) 株式会社アクティブフュージョンズ 【重要】EC-CUBE用プラグイン「注文ステータス一括変更プラグイン」の脆弱性について https://www.activefusions.com/news/2021/20210915.html 【11】シャープNECディスプレイソリューションズ製パブリックディスプレイに複数の脆弱性 情報源 Japan Vulnerability Notes JVN#42866574 シャープNECディスプレイソリューションズ製パブリックディスプレイにおける複数の脆弱性 https://jvn.jp/jp/JVN42866574/ 概要 シャープNECディスプレイソリューションズ製パブリックディスプレイには、 複数の脆弱性があります。結果として、遠隔の第三者が任意のコードを実行す る可能性があります。 対象となる製品は、多岐にわたります。詳細はシャープNECディスプレイソリュー ションズ株式会社が提供するアドバイザリ情報を参照してください。 この問題は、該当する製品のファームウェアをシャープNECディスプレイソリュー ションズ株式会社が提供する修正済みのバージョンに更新することで解決しま す。詳細は、シャープNECディスプレイソリューションズ株式会社が提供する 情報を参照してください。 関連文書 (日本語) シャープNECディスプレイソリューションズ株式会社 パブリックディスプレイにおける複数の脆弱性 https://www.nec-display.com/jp/support/info/A5-1_vulnerability.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○JNSAが「現代のサイバーセキュリティの法的課題についての国際的な研究」調査報告書を公開 2021年9月13日、日本ネットワークセキュリティ協会(JNSA)は、「現代のサ イバーセキュリティの法的課題についての国際的な研究」に関する調査報告書 を公開しました。本報告書は、情報セキュリティに関するアメリカ、イギリス、 ドイツの法制度や動向の調査結果をまとめたものです。本報告書では、「ラン サムウェアによる被害の実情及び支払いの可否に対する議論の動向、その他の 対応における注目すべき事案」「脅威インテリジェンスサービスの利用におけ る注意すべき法令上の問題」「情報セキュリティサービス提供者と法執行機関・ 監督官庁などとの協力」の3点について調査項目ごとに資料がまとめられてい ます。 参考文献 (日本語) 日本ネットワークセキュリティ協会(JNSA) 「現代のサイバーセキュリティの法的課題についての国際的な研究」に関する調査報告書 https://www.jnsa.org/result/compliance/2021/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CCからのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下のURLからご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下のURLを参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJhTQ7CAAoJEKntH+qu5CT/wa4QAIedqXZPFWtjS8nkpH8GY9P0 wCx/RFjw3WZxIzZwFewOoXyR+HJHPSl5azoHKe75vCbBbMfJ/o+7woX6A+BsOzSJ lWHliNkUjapaOC2T4EiPg2Vr9V+x9bSjsZ2x0MNzJONhiK38H/itj2zcCUmykTcK +3m40mXIsKvme7OwlF2+F+y6CuZ9+Z0hGvG8Y14j+cYgLmwfi4UI0T+SpMwYOlrf hE7xdszH9o8ysA8L9tN28M+AUI1vd1FgEV4Os2AEAJJ/iU3qVk6BDGO0xGA5JAWL hNN/IlCbs5jm8yaXVC1nDonhQEtg/PY8HKr4fG6nOzGV04AOLIUtNE3UMtl9Qt/k WNEBq8PSQ8FzGWeZU0SU1n3sOwJqWo/E5cVrPKJzMrHyLmVVEoenoXNYp6ZmJQJK msdR1ABJFLD9gc2tG9Xeu7dTDLZWwksbz5fnts54sWW09z9RczS2sPysell6bEkf 61vUk28oAwh/ZRH/9S1eCwiyMHozH/DMXQTgIoCwctfSvq9O2EZHL4gf/nt+DzXm Y83GEBQ4wXkNuxYiVfz+y7vF4CaD/EfyAtjXyImV6LKSlAQT6h1Nrr/eBrpifvBW n3D/T8dGEQjAXn2fkd8ZsRZ67URyfxOtdbnTJHXBXrO53HnX0kyr9qnclE25wpHr hih1l2/LMIKLP178avSU =4ULT -----END PGP SIGNATURE-----