-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2021-3801 JPCERT/CC 2021-09-29 <<< JPCERT/CC WEEKLY REPORT 2021-09-29 >>> ―――――――――――――――――――――――――――――――――――――― ■09/19(日)〜09/25(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数のApple製品に脆弱性 【2】Google Chromeに複数の脆弱性 【3】複数のCisco製品に脆弱性 【4】複数のVMware製品に脆弱性 【5】複数のNETGEAR製品に脆弱性 【今週のひとくちメモ】「フィッシング対策セミナー 2021(オンライン)」開催のお知らせ ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2021/wr213801.html https://www.jpcert.or.jp/wr/2021/wr213801.xml ============================================================================ 【1】複数のApple製品に脆弱性 情報源 CISA Current Activity Apple Releases Security Updates for Multiple Products https://us-cert.cisa.gov/ncas/current-activity/2021/09/21/apple-releases-security-updates-multiple-products CISA Current Activity Apple Releases Security Updates https://us-cert.cisa.gov/ncas/current-activity/2021/09/23/apple-releases-security-updates 概要 複数のApple製品には、脆弱性があります。結果として、第三者が、任意のコー ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性 があります。 対象となる製品およびバージョンは次のとおりです。 - iOS 15より前のバージョン - iOS 12.5.5より前のバージョン - iPadOS 15より前のバージョン - watchOS 8より前のバージョン - tvOS 15より前のバージョン - Xcode 13より前のバージョン - Safari 15より前のバージョン - iTunes for Windows 12.12より前のバージョン - macOS Catalina(セキュリティアップデート 2021-006未適用) この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Appleが提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC CyberNewsFlash Apple製品のアップデートについて(2021年9月) https://www.jpcert.or.jp/newsflash/2021091401.html Apple iOS 15 および iPadOS 15 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT212814 Apple iOS 12.5.5 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT212824 Apple watchOS 8 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT212819 Apple tvOS 15 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT212815 Apple Xcode 13 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT212818 Apple Safari 15 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT212816 Apple iTunes for Windows 12.12 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT212817 Apple セキュリティアップデート 2021-006 Catalina のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT212825 【2】Google Chromeに複数の脆弱性 情報源 CISA Current Activity Google Releases Security Updates for Chrome https://us-cert.cisa.gov/ncas/current-activity/2021/09/22/google-releases-security-updates-chrome CISA Current Activity Google Releases Security Updates for Chrome https://us-cert.cisa.gov/ncas/current-activity/2021/09/24/google-releases-security-updates-chrome 概要 Google Chromeには、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 94.0.4606.61より前のバージョン この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新 することで解決します。詳細は、Googleが提供する情報を参照してください。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2021/09/stable-channel-update-for-desktop_21.html Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2021/09/stable-channel-update-for-desktop_24.html 【3】複数のCisco製品に脆弱性 情報源 CISA Current Activity Cisco Releases Security Updates for Multiple Products https://us-cert.cisa.gov/ncas/current-activity/2021/09/23/cisco-releases-security-updates-multiple-products 概要 複数のCisco製品には、影響度CriticalおよびHighを含む複数の脆弱性があり ます。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があ ります。 対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ 情報を参照してください。 この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Ciscoが提供するアドバイザリ情報を参照して ください。 関連文書 (英語) Cisco Cisco Security Advisories https://tools.cisco.com/security/center/publicationListing.x Cisco Security Advisory Cisco IOS XE SD-WAN Software Buffer Overflow Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxesdwan-rbuffover-vE2OB6tp Cisco Security Advisory Cisco IOS XE Software for Catalyst 9000 Family Wireless Controllers CAPWAP Remote Code Execution Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ewlc-capwap-rce-LYgj8Kf Cisco Security Advisory Cisco IOS XE Software NETCONF and RESTCONF Authentication Bypass Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-aaa-Yx47ZT8Q 【4】複数のVMware製品に脆弱性 情報源 CISA Current Activity VMware Releases Security Updates https://us-cert.cisa.gov/ncas/current-activity/2021/09/21/vmware-releases-security-updates 概要 複数のVMware製品には、脆弱性があります。結果として、遠隔の第三者が任意 のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - vCenter Server 7.0系 7.0 U2dより前のバージョン - vCenter Server 6.7系 6.7 U3oより前のバージョン - vCenter Server 6.5系 6.5 U3qより前のバージョン - Cloud Foundation (vCenter Server) 4系 4.3.1より前のバージョン - Cloud Foundation (vCenter Server) 3系 3.10.2.2より前のバージョン この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す るか、回避策を適用することで解決します。詳細は、VMwareが提供する情報を 参照してください。 関連文書 (英語) VMware VMSA-2021-0020.1 https://www.vmware.com/security/advisories/VMSA-2021-0020.html CISA Current Activity VMware vCenter Server Vulnerability CVE-2021-22005 Under Active Exploit https://us-cert.cisa.gov/ncas/current-activity/2021/09/24/vmware-vcenter-server-vulnerability-cve-2021-22005-under-active 【5】複数のNETGEAR製品に脆弱性 情報源 CISA Current Activity NETGEAR Releases Security Updates for RCE Vulnerability https://us-cert.cisa.gov/ncas/current-activity/2021/09/21/netgear-releases-security-updates-rce-vulnerability 概要 複数のNETGEAR製品には、脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行する可能性があります。 対象となる製品は、多岐にわたります。詳細はNETGEARが提供するアドバイザ リ情報を参照してください。 この問題は、該当する製品をNETGEARが提供する修正済みのバージョンに更新 することで解決します。詳細は、NETGEARが提供する情報を参照してください。 関連文書 (英語) NETGEAR Security Advisory for Remote Code Execution on Some Routers, PSV-2021-0204 https://kb.netgear.com/000064039/Security-Advisory-for-Remote-Code-Execution-on-Some-Routers-PSV-2021-0204 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○「フィッシング対策セミナー 2021(オンライン)」開催のお知らせ フィッシング対策協議会は、増加が続くフィッシング詐欺の対策として、特に 事業者側の効果的な対策促進を目的とした「フィッシング対策セミナー 2021 (オンライン)」を開催します。本セミナーでは、フィッシング詐欺に関連す る法執行機関、金融機関、学術機関、セキュリティ対策事業者から有識者を招 き、最新のフィッシング詐欺の傾向とその対応策などを紹介します。 開催日程:2021年11月5日(金)10:00 - 16:45(オンライン開始:9:45から) 参加費は無料ですが、事前に参加申し込みが必要となります。申し込みの締切 は2021年10月28日(木)17:00までです。詳細は、フィッシング対策協議会が 提供する情報を参照してください。 参考文献 (日本語) フィッシング対策協議会 フィッシング対策セミナー 2021(オンライン)開催のご案内 https://www.antiphishing.jp/news/event/antiphishing_seminar2021.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CCからのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下のURLからご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下のURLを参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJhU6E0AAoJEKntH+qu5CT/ZtoP/1cWTUnCgRymRc/qH9PacHJa Y3ZQtj9Uj1ESOLqALC5vIGge7GOWaWLPn23IsxmeaLVIdfo9FEYc9lFf2g4xUWeg /uDnznNvbApTPpOJGv3sHtQ1Yybz4zGPg2M6fgZuVpxfrrvVjSZqmf8KnpliM8U6 7RazwJbx/EXLZUBEGp23T8cn5H43G3/33az1iS5YpkJDMei4ktT73uGviDog8UDK 9vX7tU5BacaNcBsPdQzas72Zx+ebQIg8I0AUnR2gXTNPnQrgBiQUxqKT/X4JMbiF /T3eO/AIlDNC/x1p2/xOTiTIOYidZRVRdtSDlsu7yVB2WQhjNt/NvOhAQAjW2XHP uqRz8RPNpg8dVWsFehyi7HCphC/Lm6gEpy27cp177lQvDpXfpW85hNp9nhVx3x0T gtg3y1q7sgmdXaFxLZpLKo3fmb2YwR+vD72UOdzXQSI4qwiQsyz7MyePSSnGRgl7 DWvuXhv3/ZiS1165FOpf3jeRo6uqOcY+vd3TXgNOWnXuflHL9KtfbqnqO7gEROWN b/h9RgbUC2pt+v1qPfyeEXfK7V0Ky8pcESIKVoBudUbqF5PKMn5ob3HICo+afLRs nlu6AjH9j/3+9Lieg5Cb1wPrksyVJrVMmISgwoTYptSK3xgWnjJaQ+XWnPDlvrAb xQCi5sZ93K6YDJVIBeZh =8MBZ -----END PGP SIGNATURE-----