<<< JPCERT/CC WEEKLY REPORT 2021-06-09 >>>
■05/30(日)〜06/05(土) のセキュリティ関連情報
目 次
【1】複数のMozilla製品に脆弱性
【2】複数のCisco製品に脆弱性
【3】複数のトレンドマイクロ株式会社製品の脆弱性に対するアップデート
【4】GitLabに複数の脆弱性
【5】バッファロー製ルータWSR-1166DHP3およびWSR-1166DHP4に複数の脆弱性
【6】スマートフォンアプリ「ATOM - スマートライフ」にサーバ証明書の検証不備の脆弱性
【7】スマートフォンアプリ「goo blog(gooブログ)」にアクセス制限不備の脆弱性
【8】Zettlrにクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】総務省が「テレワークセキュリティガイドライン(第5版)」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr212201.txt
https://www.jpcert.or.jp/wr/2021/wr212201.xml
【1】複数のMozilla製品に脆弱性
情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox
https://us-cert.cisa.gov/ncas/current-activity/2021/06/02/mozilla-releases-security-updates-firefox
概要
複数のMozilla製品には、脆弱性があります。結果として、第三者が任意のコー ドを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Mozilla Firefox 89より前のバージョン - Mozilla Firefox ESR 78.11より前のバージョン この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新 することで解決します。詳細は、Mozillaが提供する情報を参照してください。
関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 89
https://www.mozilla.org/en-US/security/advisories/mfsa2021-23/Mozilla
Security Vulnerabilities fixed in Firefox ESR 78.11
https://www.mozilla.org/en-US/security/advisories/mfsa2021-24/
【2】複数のCisco製品に脆弱性
情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/06/02/cisco-releases-security-updates-multiple-productsCISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/06/03/cisco-releases-security-updates-multiple-products
概要
複数のCisco製品には、脆弱性があります。結果として、第三者が、任意のコー ドを実行したり、権限を昇格したりするなどの可能性があります。 対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ 情報を参照してください。 この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す ることで解決します。
関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x
【3】複数のトレンドマイクロ株式会社製品の脆弱性に対するアップデート
情報源
Japan Vulnerability Notes JVNVU#93332929
複数のトレンドマイクロ株式会社製品の脆弱性に対するアップデート (2021年5月)
https://jvn.jp/vu/JVNVU93332929/
概要
トレンドマイクロ株式会社から、複数の製品向けのアップデートが公開されま した。 対象となる製品は、多岐にわたります。詳細はトレンドマイクロ株式会社が提 供するアドバイザリ情報を参照してください。 この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正済みの バージョンに更新することで解決します。
関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ:Trend Micro Apex One、Apex One SaaS、ウイルスバスターコーポレートエディションで確認された複数の脆弱性について(2021年3月)
https://success.trendmicro.com/jp/solution/000285985トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスター for Mac の脆弱性について(CVE-2021-28648)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10281トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスター for Home Networkの脆弱性について(CVE-2021-31517, CVE-2021-31518)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10311トレンドマイクロ株式会社
アラート/アドバイザリ:スマートホームスキャナー(Windows版)の脆弱性について (CVE-2021-28649, CVE-2021-31519)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10286トレンドマイクロ株式会社
アラート/アドバイザリ:InterScan Web Securityシリーズにおける管理画面の複数の脆弱性について
https://success.trendmicro.com/jp/solution/000285581
【4】GitLabに複数の脆弱性
情報源
GitLab
GitLab Security Release: 13.12.2, 13.11.5, and 13.10.5
https://about.gitlab.com/releases/2021/06/01/security-release-gitlab-13-12-2-released/
概要
GitLabには、複数の脆弱性があります。結果として、第三者が認証情報を窃取 したり、サービス運用妨害(DoS)攻撃を行なったりするなどの可能性があり ます。 対象となるバージョンは次のとおりです。 - GitLab Community EditionおよびEnterprise Edition 13.12.2より前の13.12系バージョン - GitLab Community EditionおよびEnterprise Edition 13.11.5より前の13.11系バージョン - GitLab Community EditionおよびEnterprise Edition 13.10.5より前の13.10系バージョン なお、GitLabによると、上記に記載されていないバージョンも影響を受けると のことです。 この問題は、該当する製品をGitLabが提供する修正済みのバージョンに更新す ることで解決します。詳細は、GitLabが提供する情報を参照してください。
【5】バッファロー製ルータWSR-1166DHP3およびWSR-1166DHP4に複数の脆弱性
情報源
Japan Vulnerability Notes JVNVU#92862829
バッファロー製ルータ WSR-1166DHP3 および WSR-1166DHP4 における複数の脆弱性
https://jvn.jp/vu/JVNVU92862829/
概要
株式会社バッファローが提供するWSR-1166DHP3およびWSR-1166DHP4には、複数 の脆弱性があります。結果として、隣接するネットワーク上の第三者が、機器 の設定情報を窃取したり、機器のroot権限で一部のOSコマンドを実行したりす る可能性があります。 対象となるバージョンは次のとおりです。 - WSR-1166DHP3 ファームウェア Ver.1.16およびそれ以前 - WSR-1166DHP4 ファームウェア Ver.1.02およびそれ以前 この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
株式会社バッファロー
WSR-1166DHP4/WSR-1166DHP3 における複数の脆弱性とその対策方法
https://www.buffalo.jp/news/detail/20210531-01.html
【6】スマートフォンアプリ「ATOM - スマートライフ」にサーバ証明書の検証不備の脆弱性
情報源
Japan Vulnerability Notes JVN#64064138
スマートフォンアプリ「ATOM - スマートライフ」におけるサーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN64064138/
概要
スマートフォンアプリ「ATOM - スマートライフ」には、サーバ証明書の検証 不備の脆弱性があります。結果として、第三者が中間者攻撃による暗号通信の 盗聴などを行う可能性があります。 対象となるバージョンは次のとおりです。 - Android アプリ「ATOM - スマートライフ」 1.8.1より前のバージョン - iOS アプリ「ATOM - スマートライフ」 1.8.2より前のバージョン この問題は、当該アプリを開発者が提供する修正済みのバージョンに更新する ことで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
アトムテック株式会社
「ATOM - スマートライフ」アプリの不具合(脆弱性)について
https://www.atomtech.co.jp/news/news/2055/
【7】スマートフォンアプリ「goo blog(gooブログ)」にアクセス制限不備の脆弱性
情報源
Japan Vulnerability Notes JVN#91691168
スマートフォンアプリ「goo blog(gooブログ)」におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN91691168/
概要
スマートフォンアプリ「goo blog(gooブログ)」には、アクセス制限不備の 脆弱性があります。結果として、遠隔の第三者が当該製品のユーザーを任意の ウェブサイトにアクセスさせる可能性があります。 対象となるバージョンは次のとおりです。 - Androidアプリ「goo blog(gooブログ)」 バージョン 1.2.25 およびそれ以前 - iOSアプリ「goo blog(gooブログ)」 バージョン 1.3.3 およびそれ以前 この問題は、当該アプリを開発者が提供する修正済みのバージョンに更新する ことで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
エヌ・ティ・ティレゾナント株式会社
アプリ「goo blog」Android端末、iOS端末における不具合内容の詳細報告
https://blog.goo.ne.jp/staffblog/e/d84a6b220222462094728301782885db
【8】Zettlrにクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#98239374
Zettlr におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN98239374/
概要
Zettlrには、クロスサイトスクリプティングの脆弱性があります。結果として、 不正なiframeを含むファイルやコード断片を当該製品に読み込ませた場合、製 品が動作するシステム上で任意のスクリプトが実行される可能性があります。 対象となるバージョンは次のとおりです。 - Zettlr 0.20.0から1.8.8まで この問題は、Zettlrを開発者が提供する修正済みのバージョンに更新すること で解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (英語)
Hendrik Erz
Zettlr: A Markdown editor for the 21st century
https://www.zettlr.com/
■今週のひとくちメモ
○総務省が「テレワークセキュリティガイドライン(第5版)」を公開
総務省は、「テレワークセキュリティガイドライン(第5版)」を公開しまし た。総務省は、企業等がテレワークを実施する際のセキュリティ上の不安を払 拭し、安心してテレワークを導入・活用するための指針として公開されたガイ ドラインについて、テレワークを取り巻く環境やセキュリティ動向の変化に対 応するため全面的に改定を行ったとのことです。また、「中小企業等担当者向 けテレワークセキュリティの手引き(チェックリスト)」も合わせて改定されて いますので、自組織のテレワーク環境のチェックにご活用ください。
参考文献 (日本語)
総務省
「テレワークセキュリティガイドライン(第5版)」(案)に対する意見募集の結果及び当該ガイドラインの公表
https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00111.html
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/