<<< JPCERT/CC WEEKLY REPORT 2021-12-22 >>>
■12/12(日)〜12/18(土) のセキュリティ関連情報
目 次
【1】複数のマイクロソフト製品に脆弱性
【2】複数のアドビ製品に脆弱性
【3】複数のSAP製品に脆弱性
【4】複数のApple製品に脆弱性
【5】Google Chromeに複数の脆弱性
【6】VMware Workspace ONE UEM consoleにサーバーサイドリクエストフォージェリの脆弱性
【7】OpenSSLのlibsslにX509_verify_cert()内部エラーの不正な処理の問題
【今週のひとくちメモ】JPCERT/CCが「Apache Log4j2のRCE脆弱性(CVE-2021-44228)を狙う攻撃観測」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2021/wr215001.txt
https://www.jpcert.or.jp/wr/2021/wr215001.xml
【1】複数のマイクロソフト製品に脆弱性
情報源
CISA Current Activity
Microsoft Releases December 2021 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2021/12/14/microsoft-releases-december-2021-security-updates
概要
複数のマイクロソフト製品には、複数の脆弱性があります。結果として、遠隔 の第三者が任意のコードを実行するなどの可能性があります。 対象となる製品は、多岐に渡ります。詳細はマイクロソフト株式会社が提供す るアドバイザリ情報を参照してください。 この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく ださい。
関連文書 (日本語)
マイクロソフト株式会社
2021 年 12 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2021-DecJPCERT/CC 注意喚起
2021年12月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2021/at210051.html
【2】複数のアドビ製品に脆弱性
情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2021/12/14/adobe-releases-security-updates-multiple-products
概要
複数のアドビ製品には、脆弱性があります。結果として、遠隔の第三者が任意 のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Adobe Premiere Rush - Adobe Experience Manager (AEM) - Adobe Connect - Photoshop 2021 - Photoshop 2022 - Adobe Prelude - Adobe After Effects - Adobe Dimension - Adobe Premiere Pro - Adobe Media Encoder - Adobe Lightroom - Adobe Audition この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す ることで解決します。詳細は、アドビが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2021121501.html
関連文書 (英語)
アドビ
Security Updates Available for Adobe Premiere Rush | APSB21-101
https://helpx.adobe.com/security/products/premiere_rush/apsb21-101.htmlアドビ
Security updates available for Adobe Experience Manager | APSB21-103
https://helpx.adobe.com/security/products/experience-manager/apsb21-103.htmlアドビ
Security update available for Adobe Connect | APSB21-112
https://helpx.adobe.com/security/products/connect/apsb21-112.htmlアドビ
Security update available for Adobe Photoshop | APSB21-113
https://helpx.adobe.com/security/products/photoshop/apsb21-113.htmlアドビ
Security Updates Available for Adobe Prelude | APSB21-114
https://helpx.adobe.com/security/products/prelude/apsb21-114.htmlアドビ
Security Updates Available for Adobe After Effects | APSB21-115
https://helpx.adobe.com/security/products/after_effects/apsb21-115.htmlアドビ
Security updates available for Dimension | APSB21-116
https://helpx.adobe.com/security/products/dimension/apsb21-116.htmlアドビ
Security Updates Available for Adobe Premiere Pro | APSB21-117
https://helpx.adobe.com/security/products/premiere_pro/apsb21-117.htmlアドビ
Security Updates Available for Adobe Media Encoder | APSB21-118
https://helpx.adobe.com/security/products/media-encoder/apsb21-118.htmlアドビ
Security Updates Available for Adobe Lightroom | APSB21-119
https://helpx.adobe.com/security/products/lightroom/apsb21-119.htmlアドビ
Security Updates Available for Adobe Audition | APSB21-121
https://helpx.adobe.com/security/products/audition/apsb21-121.html
【3】複数のSAP製品に脆弱性
情報源
CISA Current Activity
SAP Releases December 2021 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2021/12/14/sap-releases-december-2021-security-updates
概要
複数のSAP製品には、脆弱性があります。結果として、遠隔の第三者が任意の コードを実行するなどの可能性があります。 対象となる製品は、多岐にわたります。詳細はSAPが提供するアドバイザリ情 報を参照してください。 この問題は、該当する製品をSAPが提供する修正済みのバージョンに更新する ことで解決します。詳細は、SAPが提供する情報を参照してください。
関連文書 (英語)
SAP
SAP Security Patch Day December 2021
https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+-+December+2021
【4】複数のApple製品に脆弱性
情報源
CISA Current Activity
Apple Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2021/12/14/apple-releases-security-updates-multiple-products
概要
複数のApple製品には、複数の脆弱性があります。結果として、遠隔の第三者 が任意のコマンドを実行するなどの可能性があります。 対象となる製品及びバージョンは次のとおりです。 - Safari 15.2より前のバージョン - iOS 15.2より前のバージョン - iPadOS 15.2より前のバージョン - macOS Monterey 12.1より前のバージョン - macOS Big Sur 11.6.2より前のバージョン - macOS Catalina(Security Update 2021-008 未適用) - tvOS 15.2より前のバージョン - watchOS 8.3より前のバージョン この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Appleが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Apple製品のアップデートについて(2021年12月)
https://www.jpcert.or.jp/newsflash/2021121401.htmlApple
Safari 15.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212982Apple
iOS 15.2 および iPadOS 15.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212976Apple
macOS Monterey 12.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212978Apple
macOS Big Sur 11.6.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212979Apple
セキュリティアップデート 2021-008 Catalina のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212981Apple
tvOS 15.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212980Apple
watchOS 8.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT212975
【5】Google Chromeに複数の脆弱性
情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://www.cisa.gov/uscert/ncas/current-activity/2021/12/14/google-releases-security-updates-chrome
概要
Google Chromeには、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 96.0.4664.110より前のバージョン この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新 することで解決します。詳細は、Googleが提供する情報を参照してください。
関連文書 (英語)
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/12/stable-channel-update-for-desktop_13.html
【6】VMware Workspace ONE UEM consoleにサーバーサイドリクエストフォージェリの脆弱性
情報源
CISA Current Activity
VMware Releases Security Advisory
https://www.cisa.gov/uscert/ncas/current-activity/2021/12/17/vmware-releases-security-advisory
概要
VMware Workspace ONE UEM consoleには、サーバーサイドリクエストフォージェリ の脆弱性があります。結果として遠隔の第三者が、機微な情報を窃取する可能 性があります。 対象となる製品は次のとおりです。 - VMware Workspace ONE UEM console この問題は、VMware Workspace ONE UEM consoleをVMwareが提供する修正済み のバージョンに更新することで解決します。詳細は、VMwareが提供する情報を 参照してください。
関連文書 (英語)
VMware
VMSA-2021-0029
https://www.vmware.com/security/advisories/VMSA-2021-0029.html
【7】OpenSSLのlibsslにX509_verify_cert()内部エラーの不正な処理の問題
情報源
Japan Vulnerability Notes JVNVU#90127554
OpenSSLのlibsslにおけるX509_verify_cert()内部エラーの不正な処理
https://jvn.jp/vu/JVNVU90127554/
概要
OpenSSLのlibsslには、内部エラーの発生を示すX509_verify_cert()関数から の戻り値(負の値)の処理に問題があります。結果としてアプリケーションに クラッシュなどが発生する可能性があります。 対象となるバージョンは次のとおりです。 - OpenSSL 3.0.0 SSL/TLS クライアント この問題は、OpenSSLをOpenSSL Projectが提供する修正済みのバージョンに更 新することで解決します。詳細は、OpenSSL Projectが提供する情報を参照し てください。
関連文書 (英語)
OpenSSL
OpenSSL Security Advisory [14 December 2021]
https://www.openssl.org/news/secadv/20211214.txt
■今週のひとくちメモ
○JPCERT/CCが「Apache Log4j2のRCE脆弱性(CVE-2021-44228)を狙う攻撃観測」を公開
2021年12月17日(金)、JPCERT/CCは、「Apache Log4j2のRCE脆弱性(CVE-202 1-44228)を狙う攻撃観測」をJPCERT/CC Eyesで公開しました。 本記事では、JPCERT/CCにてApache Log4j2において発見されたリモートコード 実行の脆弱性の攻撃の観測結果をまとめたものです。観測件数や攻撃文字列を 紹介しています。本製品は多数の製品に組み込まれているものと推測されます。 被害を受けていないかの確認や対策に活用ください。
参考文献 (日本語)
JPCERT/CC JPCERT/CC Eyes
Apache Log4j2のRCE脆弱性(CVE-2021-44228)を狙う攻撃観測
https://blogs.jpcert.or.jp/ja/2021/12/log4j-cve-2021-44228.html
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/