<<< JPCERT/CC WEEKLY REPORT 2021-07-28 >>>
■07/18(日)〜07/24(土) のセキュリティ関連情報
目 次
【1】複数のFotinet製品にuse-after-freeの脆弱性
【2】複数のCitrix製品に脆弱性
【3】2021年7月Oracle Critical Patch Updateについて
【4】複数のApple製品に脆弱性
【5】Google Chromeに複数の脆弱性
【6】複数のアドビ製品に脆弱性
【7】Drupalのサードパーティライブラリに脆弱性
【8】複数のCisco製品に脆弱性
【9】Microsoft WindowsにシステムフォルダーのACL設定不備による権限昇格の脆弱性
【10】Arcadyan製ソフトウェアを使用するルーターにディレクトリトラバーサルの脆弱性
【11】Minecraft Java Editionにディレクトリトラバーサルの脆弱性
【12】GroupSessionに複数の脆弱性
【13】三菱電機製MELSEC FシリーズEthernetインタフェースブロックにNULLポインター参照の脆弱性
【今週のひとくちメモ】経済産業省および総務省が「DX時代における企業のプライバシーガバナンスガイドブックver1.1」を策定
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr212901.txt
https://www.jpcert.or.jp/wr/2021/wr212901.xml
【1】複数のFotinet製品にuse-after-freeの脆弱性
情報源
CISA Current Activity
Fortinet Releases Security Updates for FortiManager and FortiAnalyzer
https://us-cert.cisa.gov/ncas/current-activity/2021/07/19/fortinet-releases-security-updates-fortimanager-and-fortianalyzer
概要
複数のFortinet製品には、use-after-freeの脆弱性があります。結果として、 遠隔の第三者が任意のコードを実行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - FortiManager versions 5.6.10およびそれ以前 - FortiManager versions 6.0.10およびそれ以前 - FortiManager versions 6.2.7およびそれ以前 - FortiManager versions 6.4.5およびそれ以前 - FortiManager version 7.0.0 - FortiManager versions 5.4.x - FortiAnalyzer versions 5.6.10およびそれ以前 - FortiAnalyzer versions 6.0.10およびそれ以前 - FortiAnalyzer versions 6.2.7およびそれ以前 - FortiAnalyzer versions 6.4.5およびそれ以前 - FortiAnalyzer version 7.0.0 この問題は、該当する製品をFortinetが提供する修正済みのバージョンに更新 することで解決します。詳細は、Fortinetが提供する情報を参照してください。
関連文書 (英語)
Fortinet
FortiManager and FortiAnalyzer - Use after free vulnerability in fgfmsd daemon
https://www.fortiguard.com/psirt/FG-IR-21-067
【2】複数のCitrix製品に脆弱性
情報源
CISA Current Activity
Citrix Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/07/20/citrix-releases-security-updates
概要
複数のCitrix製品には、脆弱性があります。結果として、第三者がSAML認証を ハイジャックする等などしてシステムを制御する可能性があります。 対象となる製品は、多岐にわたります。 詳細はCitrixが提供する情報を参照してください。
関連文書 (英語)
Citrix
Citrix Application Delivery Controller, Citrix Gateway, and Citrix SD-WAN WANOP Edition appliance Security Update
https://support.citrix.com/article/CTX319135
【3】2021年7月Oracle Critical Patch Updateについて
情報源
CISA Current Activity
Oracle Releases July 2021 Critical Patch Update
https://us-cert.cisa.gov/ncas/current-activity/2021/07/20/oracle-releases-july-2021-critical-patch-update
概要
Oracleから複数の製品およびコンポーネントに含まれる脆弱性に対応したOracle Critical Patch Update Advisoryが公開されました。脆弱性が悪用された場合、 リモートからの攻撃によって、不正な操作が実行されたり、機微な情報を不正 に削除や改ざんされたりする可能性があります。 詳細は、Oracleが提供する情報を参照してください
関連文書 (日本語)
JPCERT/CC注意喚起
2021年7月Oracle製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2021/at210032.html
関連文書 (英語)
Oracle
Oracle Critical Patch Update Advisory - July 2021
https://www.oracle.com/security-alerts/cpujul2021.html
【4】複数のApple製品に脆弱性
情報源
CISA Current Activity
Apple Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/07/21/apple-releases-security-updates
概要
Appleの製品には、複数の脆弱性があります。 対象となる製品およびバージョンは次のとおりです。 - macOS Big Sur 11.5.1より前のバージョン - macOS Catalina(セキュリティアップデート 2021-004未適用) - macOS Mojave(セキュリティアップデート 2021-005未適用) - iPadOS 14.7.1より前のバージョン - iOS 14.7.1より前のバージョン この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Appleが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数のApple製品のアップデートについて(2021年7月)
https://www.jpcert.or.jp/newsflash/2021072602.htmlApple
macOS Big Sur 11.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212602Apple
セキュリティアップデート 2021-004 Catalina のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212600Apple
セキュリティアップデート 2021-005 Mojave のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212603Apple
iOS 14.7 および iPadOS 14.7 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212601Apple
macOS Big Sur 11.5.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212622Apple
iOS 14.7.1 および iPadOS 14.7.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212623
【5】Google Chromeに複数の脆弱性
情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/07/21/google-releases-security-updates-chrome
概要
Google Chromeには、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 92.0.4515.107より前のバージョン この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新 することで解決します。詳細は、Googleが提供する情報を参照してください。
関連文書 (英語)
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/07/stable-channel-update-for-desktop_20.html
【6】複数のアドビ製品に脆弱性
情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/07/21/adobe-releases-security-updates-multiple-products
概要
複数のアドビ製品には、脆弱性があります。結果として、第三者が影響を受け るシステムを制御するなどの可能性があります。 対象となる製品は次のとおりです。 - Adobe Photoshop - Adobe Audition - Adobe Character Animator - Adobe Prelude - Adobe Premiere Pro - Adobe After Effects - Adobe Media Encoder この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す ることで解決します。詳細は、アドビが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021072601.htmlアドビ
Adobe Photoshop に関するセキュリティアップデート公開 | APSB21-63
https://helpx.adobe.com/jp/security/products/photoshop/apsb21-63.htmlアドビ
Adobe Audition に関するセキュリティアップデート公開 | APSB21-62
https://helpx.adobe.com/jp/security/products/audition/apsb21-62.htmlアドビ
Adobe Character Animator に関するセキュリティアップデート公開 | APSB21-59
https://helpx.adobe.com/jp/security/products/character_animator/apsb21-59.htmlアドビ
Adobe Prelude に関するセキュリティアップデート公開 | APSB21-58
https://helpx.adobe.com/jp/security/products/prelude/apsb21-58.htmlアドビ
Adobe Premiere Pro に関するセキュリティアップデート公開 | APSB21-56
https://helpx.adobe.com/jp/security/products/premiere_pro/apsb21-56.htmlアドビ
Adobe After Effects に関するセキュリティアップデート公開 | APSB21-54
https://helpx.adobe.com/jp/security/products/after_effects/apsb21-54.htmlアドビ
Adobe Media Encoder に関するセキュリティアップデート公開 | APSB21-43
https://helpx.adobe.com/jp/security/products/media-encoder/apsb21-43.html
【7】Drupalのサードパーティライブラリに脆弱性
情報源
CISA Current Activity
Drupal Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/07/22/drupal-releases-security-updates
概要
Drupalが使用するライブラリは、圧縮されたファイルのシンボリックリンクを 確認しない脆弱性があります。結果として、第三者が影響を受けるシステムを 制御する可能性があります。 対象となるバージョンは次のとおりです。 - Drupal 9.2.2より前の9.2系のバージョン - Drupal 9.1.11より前の9.1系のバージョン - Drupal 8.9.17より前の8.9系のバージョン - Drupal 7.82より前の7系のバージョン なお、Drupal 8.9系より前の8系と9.1系より前の9系のバージョンも影響を受 けますが、サポートが終了しており、今回のセキュリティに関する情報は提供 されていません。 この問題は、Drupalが提供する修正済みのバージョンに更新することで解決し ます。詳細は、Drupalが提供する情報を参照してください。
関連文書 (英語)
Drupal
Drupal core - Critical - Drupal core - Critical - Third-party libraries - SA-CORE-2021-004
https://www.drupal.org/sa-core-2021-004
【8】複数のCisco製品に脆弱性
情報源
CISA Current Activity
Cisco Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/07/22/cisco-releases-security-updates
概要
複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が任意 のコードを実行するなどの可能性があります。 対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ 情報を参照してください。 この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Ciscoが提供する情報を参照してください。
関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x
【9】Microsoft WindowsにシステムフォルダーのACL設定不備による権限昇格の脆弱性
情報源
CERT/CC Vulnerability Note VU#506989
Microsoft Windows gives unprivileged user access to system32\config files
https://kb.cert.org/vuls/id/506989
概要
Microsoft Windowsには、システムフォルダーにおいてACLが適切に設定されな いことに起因する権限昇格の脆弱性があります。結果として、第三者がSYSTEM 権限で任意のコードを実行する可能性があります。 対象となる製品は次のとおりです。 - Windows Server 2004 - Windows Server 2019 - Windows 10 この問題について、マイクロソフト株式会社はワークアラウンドの実施を推奨 しています。詳しくはマイクロソフト株式会社が提供する情報を参照してくだ さい。
関連文書 (日本語)
マイクロソフト株式会社
Windows Elevation of Privilege Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934
関連文書 (英語)
マイクロソフト株式会社
KB5005357- Delete Volume Shadow Copies
https://support.microsoft.com/en-us/topic/kb5005357-delete-volume-shadow-copies-1ceaa637-aaa3-4b58-a48b-baf72a2fa9e7
【10】Arcadyan製ソフトウェアを使用するルーターにディレクトリトラバーサルの脆弱性
情報源
CERT/CC Vulnerability Note VU#914124
Arcadyan-based routers and modems vulnerable to authentication bypass
https://kb.cert.org/vuls/id/914124
概要
Arcadyan製ソフトウェアを使用するルーターには、ディレクトリトラバーサル の脆弱性があります。結果として、遠隔の第三者がルーターの設定を改ざんす る可能性があります。 対象となる製品は次のとおりです。 - Arcadyan製ソフトウェアを使用するルーター また、詳細についてはCERT/CCが提供する情報を参照してください。 この問題は、各機器のベンダーから提供される最新のファームウェアへアップ デートするなどの対応を実施してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#92877673
Arcadyan製ソフトウェアを使用するルーターにディレクトリトラバーサルの脆弱性
https://jvn.jp/vu/JVNVU92877673/
【11】Minecraft Java Editionにディレクトリトラバーサルの脆弱性
情報源
Japan Vulnerability Notes JVN#53278122
Minecraft Java Edition におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN53278122/
概要
Minecraft Java Editionには、ディレクトリトラバーサルの脆弱性があります。 結果として、遠隔の第三者が、当該製品を使用しているシステム上の任意のJSON ファイルを削除する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Minecraft 1.17およびそれ以前 この問題は、MinecraftをMojang Studiosが提供する修正済みのバージョンに 更新することで解決します。詳細は、Mojang Studiosが提供する情報を参照し てください。
関連文書 (英語)
Mojang Studios
MINECRAFT 1.17.1 PRE-RELEASE 1
https://www.minecraft.net/en-us/article/minecraft-1-17-1-pre-release-1
【12】GroupSessionに複数の脆弱性
情報源
Japan Vulnerability Notes JVN#86026700
GroupSession における複数の脆弱性
https://jvn.jp/jp/JVN86026700/
概要
GroupSessionには、複数の脆弱性があります。結果として、遠隔の第三者が、 任意のスクリプト実行や、製品の設定変更をするなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - GroupSession 無料版 ver2.2.0からver5.1.0より前のバージョン - GroupSession byCloud ver3.0.3からver5.1.0より前のバージョン - GroupSession ZION ver3.0.3からver5.1.0より前のバージョン この問題は、GroupSessionを日本トータルシステム株式会社が提供する修正済 みのバージョンに更新することで解決します。詳細は、日本トータルシステム 株式会社が提供する情報を参照してください。
関連文書 (日本語)
日本トータルシステム株式会社
GroupSessionにおける脆弱性に関して(2021-07)
https://groupsession.jp/info/info-news/security202107
【13】三菱電機製MELSEC FシリーズEthernetインタフェースブロックにNULLポインター参照の脆弱性
情報源
Japan Vulnerability Notes JVNVU#94348759
三菱電機製 MELSEC F シリーズ Ethernet インタフェースブロックにおける NULL ポインタ参照の脆弱性
https://jvn.jp/vu/JVNVU94348759/
概要
三菱電機製MELSEC FシリーズEthernetインタフェースブロックには、NULLポイン ター参照の脆弱性があります。結果として、遠隔の第三者が当該機器をサービ ス運用妨害 (DoS) 状態にする可能性があります。 対象となる製品およびバージョンは次のとおりです。 - FX3U-ENETファームウェアバージョン1.14 およびそれ以前 - FX3U-ENET-Lファームウェアバージョン1.14 およびそれ以前 - FX3U-ENET-P502ファームウェアバージョン1.14 およびそれ以前 この問題は、該当する製品を三菱電機株式会社が提供する修正済みのバージョン に更新することで解決します。詳細は、三菱電機株式会社が提供する情報を参 照してください。
関連文書 (日本語)
三菱電機株式会社
MELSEC FシリーズEthernetインタフェースブロックにおけるサービス拒否(DoS)の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-006.pdf
■今週のひとくちメモ
○経済産業省および総務省が「DX時代における企業のプライバシーガバナンスガイドブックver1.1」を策定
2021年7月19日、経済産業省および総務省は「DX時代における企業のプライバ シーガバナンスガイドブックver1.1」を策定しました。本ガイドブックは、企 業がプライバシーガバナンスの構築のために取り組むべきことを取りまとめて おり、その実践にあたって、参考となる具体的事例を掲載しています。ver1.1 では、企業がプライバシーガバナンスを構築する上で参考となる具体的な事例 が更新されています。
参考文献 (日本語)
経済産業省
「DX時代における企業のプライバシーガバナンスガイドブックver1.1」を策定しました
https://www.meti.go.jp/press/2021/07/20210719001/20210715009.html
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/