<<< JPCERT/CC WEEKLY REPORT 2021-09-29 >>>
■09/19(日)〜09/25(土) のセキュリティ関連情報
目 次
【1】複数のApple製品に脆弱性
【2】Google Chromeに複数の脆弱性
【3】複数のCisco製品に脆弱性
【4】複数のVMware製品に脆弱性
【5】複数のNETGEAR製品に脆弱性
【今週のひとくちメモ】「フィッシング対策セミナー 2021(オンライン)」開催のお知らせ
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr213801.txt
https://www.jpcert.or.jp/wr/2021/wr213801.xml
【1】複数のApple製品に脆弱性
情報源
CISA Current Activity
Apple Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/09/21/apple-releases-security-updates-multiple-productsCISA Current Activity
Apple Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/09/23/apple-releases-security-updates
概要
複数のApple製品には、脆弱性があります。結果として、第三者が、任意のコー ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性 があります。 対象となる製品およびバージョンは次のとおりです。 - iOS 15より前のバージョン - iOS 12.5.5より前のバージョン - iPadOS 15より前のバージョン - watchOS 8より前のバージョン - tvOS 15より前のバージョン - Xcode 13より前のバージョン - Safari 15より前のバージョン - iTunes for Windows 12.12より前のバージョン - macOS Catalina(セキュリティアップデート 2021-006未適用) この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Appleが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Apple製品のアップデートについて(2021年9月)
https://www.jpcert.or.jp/newsflash/2021091401.htmlApple
iOS 15 および iPadOS 15 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212814Apple
iOS 12.5.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212824Apple
watchOS 8 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212819Apple
tvOS 15 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212815Apple
Xcode 13 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212818Apple
Safari 15 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212816Apple
iTunes for Windows 12.12 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212817Apple
セキュリティアップデート 2021-006 Catalina のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212825
【2】Google Chromeに複数の脆弱性
情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/09/22/google-releases-security-updates-chromeCISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/09/24/google-releases-security-updates-chrome
概要
Google Chromeには、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 94.0.4606.61より前のバージョン この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新 することで解決します。詳細は、Googleが提供する情報を参照してください。
関連文書 (英語)
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/09/stable-channel-update-for-desktop_21.html
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/09/stable-channel-update-for-desktop_24.html
【3】複数のCisco製品に脆弱性
情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/09/23/cisco-releases-security-updates-multiple-products
概要
複数のCisco製品には、影響度CriticalおよびHighを含む複数の脆弱性があり ます。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があ ります。 対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ 情報を参照してください。 この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Ciscoが提供するアドバイザリ情報を参照して ください。
関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.xCisco Security Advisory
Cisco IOS XE SD-WAN Software Buffer Overflow Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxesdwan-rbuffover-vE2OB6tpCisco Security Advisory
Cisco IOS XE Software for Catalyst 9000 Family Wireless Controllers CAPWAP Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ewlc-capwap-rce-LYgj8KfCisco Security Advisory
Cisco IOS XE Software NETCONF and RESTCONF Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-aaa-Yx47ZT8Q
【4】複数のVMware製品に脆弱性
情報源
CISA Current Activity
VMware Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2021/09/21/vmware-releases-security-updates
概要
複数のVMware製品には、脆弱性があります。結果として、遠隔の第三者が任意 のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - vCenter Server 7.0系 7.0 U2dより前のバージョン - vCenter Server 6.7系 6.7 U3oより前のバージョン - vCenter Server 6.5系 6.5 U3qより前のバージョン - Cloud Foundation (vCenter Server) 4系 4.3.1より前のバージョン - Cloud Foundation (vCenter Server) 3系 3.10.2.2より前のバージョン この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す るか、回避策を適用することで解決します。詳細は、VMwareが提供する情報を 参照してください。
関連文書 (英語)
VMware
VMSA-2021-0020.1
https://www.vmware.com/security/advisories/VMSA-2021-0020.htmlCISA Current Activity
VMware vCenter Server Vulnerability CVE-2021-22005 Under Active Exploit
https://us-cert.cisa.gov/ncas/current-activity/2021/09/24/vmware-vcenter-server-vulnerability-cve-2021-22005-under-active
【5】複数のNETGEAR製品に脆弱性
情報源
CISA Current Activity
NETGEAR Releases Security Updates for RCE Vulnerability
https://us-cert.cisa.gov/ncas/current-activity/2021/09/21/netgear-releases-security-updates-rce-vulnerability
概要
複数のNETGEAR製品には、脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行する可能性があります。 対象となる製品は、多岐にわたります。詳細はNETGEARが提供するアドバイザ リ情報を参照してください。 この問題は、該当する製品をNETGEARが提供する修正済みのバージョンに更新 することで解決します。詳細は、NETGEARが提供する情報を参照してください。
関連文書 (英語)
NETGEAR
Security Advisory for Remote Code Execution on Some Routers, PSV-2021-0204
https://kb.netgear.com/000064039/Security-Advisory-for-Remote-Code-Execution-on-Some-Routers-PSV-2021-0204
■今週のひとくちメモ
○「フィッシング対策セミナー 2021(オンライン)」開催のお知らせ
フィッシング対策協議会は、増加が続くフィッシング詐欺の対策として、特に 事業者側の効果的な対策促進を目的とした「フィッシング対策セミナー 2021 (オンライン)」を開催します。本セミナーでは、フィッシング詐欺に関連す る法執行機関、金融機関、学術機関、セキュリティ対策事業者から有識者を招 き、最新のフィッシング詐欺の傾向とその対応策などを紹介します。 開催日程:2021年11月5日(金)10:00 - 16:45(オンライン開始:9:45から) 参加費は無料ですが、事前に参加申し込みが必要となります。申し込みの締切 は2021年10月28日(木)17:00までです。詳細は、フィッシング対策協議会が 提供する情報を参照してください。
参考文献 (日本語)
フィッシング対策協議会
フィッシング対策セミナー 2021(オンライン)開催のご案内
https://www.antiphishing.jp/news/event/antiphishing_seminar2021.html
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/