I.概要

2021年10月20日、シックス・アパート株式会社は、Movable TypeのXMLRPC APIにおけるOSコマンドインジェクションの脆弱性（CVE-2021-20837）に関する情報を公開しました。本脆弱性が悪用された場合、遠隔の第三者が、任意のOSコマンドを実行する可能性があります。

[重要] Movable Type 7 r.5003 / Movable Type 6.8.3 / Movable Type Premium 1.47 の提供を開始（セキュリティアップデート）
https://www.sixapart.jp/movabletype/news/2021/10/20-1100.html

II.対象

次のバージョンのMovable Typeが本脆弱性の影響を受けます。

– Movable Type 6.8.2およびそれ以前（Movable Type 6系）
– Movable Type Advanced 7 r.5002およびそれ以前（Movable Type Advanced 7系）
– Movable Type Advanced 6.8.2およびそれ以前（Movable Type Advanced 6系）
– Movable Type Premium 1.46およびそれ以前
– Movable Type Premium Advanced 1.46およびそれ以前

III. 対策

シックス・アパート株式会社から本脆弱性を修正した次のバージョンが公開されています。速やかに対策の実施をご検討ください。

– Movable Type 6.8.3（Movable Type 6系）
– Movable Type Advanced 7 r.5003（Movable Type Advanced 7系）
– Movable Type Advanced 6.8.3（Movable Type Advanced 6系）
– Movable Type Premium 1.47
– Movable Type Premium Advanced 1.47

IV. 回避策

本脆弱性への早期対策実施が難しい場合、脆弱性を悪用する攻撃の影響を軽減するため、シックス・アパート株式会社より回避策が公開されています。
詳しくは、シックス・アパート株式会社が提供する情報をご確認ください。

V. 参考情報

シックス・アパート株式会社
[重要] Movable Type 7 r.5003 / Movable Type 6.8.3 / Movable Type Premium 1.47 の提供を開始（セキュリティアップデート）
https://www.sixapart.jp/movabletype/news/2021/10/20-1100.html

Movable Type の XMLRPC API における OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN41119755/

I.概要

2021年10月19日（米国時間）、Oracleは複数の製品に対するクリティカルパッチアップデートに関する情報を公開しました。

Oracle Critical Patch Update Advisory – October 2021
https://www.oracle.com/security-alerts/cpuoct2021.html

II.対象

対象として、次の製品およびバージョンが含まれています。

– Java SE JDK/JRE 11.0.12
– Java SE JDK/JRE 8u301
– Java SE JDK/JRE 7u311
– Java SE Embedded 8u301
– Oracle Database Server 21c
– Oracle Database Server 19c
– Oracle Database Server 12.2.0.1
– Oracle Database Server 12.1.0.2
– Oracle WebLogic Server 14.1.1.0.0
– Oracle WebLogic Server 12.2.1.4.0
– Oracle WebLogic Server 12.2.1.3.0
– Oracle WebLogic Server 12.1.3.0.0
– Oracle WebLogic Server 10.3.6.0.0

Oracle Java SE Supportロードマップ
https://www.oracle.com/jp/java/technologies/java-se-support-roadmap.html

III. 対策

Oracleからそれぞれの製品に対して、修正済みソフトウェアが公開されています。Java SEでは、次のバージョンが公開されています。

– Java SE JDK/JRE 11.0.12
– Java SE JDK/JRE 8u311
– Java SE JDK/JRE 7u321
– Java SE Embedded 8u311

詳細はOracleに確認してください。

https://www.oracle.com/java/technologies/javase-downloads.html

https://java.com/ja/download/

https://www.java.com/ja/download/installed.jsp

IV. 参考情報

Oracle Corporation
Listing of Java Development Kit 17 Release Notes
https://www.oracle.com/java/technologies/javase/17u-relnotes.html

Listing of Java Development Kit 11 Release Notes
https://www.oracle.com/java/technologies/javase/11u-relnotes.html

Java Development Kit 8 Update Release Notes
https://www.oracle.com/java/technologies/javase/8u-relnotes.html

Java SE 7 Advanced and Java SE 7 Support (formerly known as Java for Business 7) Release Notes
https://www.oracle.com/java/technologies/javase/7-support-relnotes.html

Oracle Java SE Embedded 8 Release Notes
https://www.oracle.com/java/technologies/javase/embedded8-relnotes.html

October 2021 Critical Patch Update Released
https://blogs.oracle.com/security/post/oct2021-cpu-released

Oracle Java SE Supportロードマップ
https://www.oracle.com/jp/java/technologies/java-se-support-roadmap.html

I.概要

マイクロソフトから同社製品の脆弱性を修正する2021年10月のセキュリティ更新プログラムが公開されました。これらの脆弱性を悪用された場合、リモートからの攻撃によって任意のコードが実行されるなどの可能性があります。マイクロソフトが提供する情報を参照し、早急に更新プログラムを適用してください。

2021 年 10 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2021-Oct

2021 年 10 月のセキュリティ更新プログラム (月例)
https://msrc-blog.microsoft.com/2021/10/12/202110-security-updates/

早期の対策検討を推奨いたします。

Win32k の特権の昇格の脆弱性
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2021-40449

Windows カーネルの特権の昇格の脆弱性
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2021-41335

Windows AppContainer ファイアウォール規則のセキュリティ機能のバイパスの脆弱性
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2021-41338

Windows DNS サーバーのリモートでコードが実行される脆弱性
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2021-40469

II.対策

Microsoft Update、もしくはWindows Updateなどを用いて、セキュリティ更新プログラムを早急に適用してください。

https://www.catalog.update.microsoft.com/

https://support.microsoft.com/ja-JP/help/12373/windows-update-faq

III. 参考情報

マイクロソフト株式会社
リリース ノート
https://msrc.microsoft.com/update-guide/releaseNote
 

I.概要

アドビからPDFファイル作成・変換ソフトウェアAdobe AcrobatおよびPDFファイル閲覧ソフトウェアAdobe Acrobat Readerに関する脆弱性（APSB21-104）が公開されました。脆弱性を悪用したコンテンツをユーザーが開いた場合、実行ユーザーの権限で任意のコードが実行されるなどの可能性があります。脆弱性の詳細については、アドビの情報を確認してください。

Security update for Adobe Acrobat and Reader | APSB21-104
https://helpx.adobe.com/security/products/acrobat/apsb21-104.html

II.対象

対象となる製品とバージョンは次のとおりです。

– Adobe Acrobat DC Continuous（21.007.20096）およびそれ以前（macOS）
– Adobe Acrobat Reader DC Continuous（21.007.20095）およびそれ以前（Windows）
– Adobe Acrobat Reader DC Continuous（21.007.20096）およびそれ以前（macOS）
– Adobe Acrobat 2020 Classic 2020（20.004.30015）およびそれ以前（Windows、macOS）
– Adobe Acrobat Reader 2020 Classic 2020（20.004.30015）およびそれ以前（Windows、macOS）
– Adobe Acrobat 2017 Classic 2017（17.011.30202）およびそれ以前（Windows、macOS）
– Adobe Acrobat Reader 2017 Classic 2017（17.011.30202）およびそれ以前（Windows、macOS）

III.対策

Adobe AcrobatおよびReaderを次の最新のバージョンに更新してください。

– Adobe Acrobat Reader DC Continuous（21.007.20099）（Windows、macOS）
– Adobe Acrobat 2020 Classic 2020（20.004.30017）（Windows、macOS）
– Adobe Acrobat Reader 2020 Classic 2020（20.004.30017）（Windows、macOS）
– Adobe Acrobat 2017 Classic 2017（17.011.30204）（Windows、macOS）
– Adobe Acrobat Reader 2017 Classic 2017（17.011.30204）（Windows、macOS）

更新は、Adobe AcrobatおよびReaderの起動後、メニューより “ヘルプ” の次に “アップデートの有無をチェック” をクリックすることで実施できます。
メニューからの更新が不可能な場合は、以下のURLから最新のAdobe AcrobatおよびReaderをダウンロードしてください。詳細は、アドビの情報をご確認ください。

Adobe Acrobat Reader DC ダウンロード
https://get2.adobe.com/jp/reader/

Acrobat 2020 をダウンロードする
https://helpx.adobe.com/jp/download-install/kb/acrobat-2020-downloads.html

Acrobat 2017 のダウンロード
https://helpx.adobe.com/jp/download-install/kb/acrobat-2017-downloads.html

IV. 参考情報

アドビ
Security update for Adobe Acrobat and Reader | APSB21-104
https://helpx.adobe.com/security/products/acrobat/apsb21-104.html

Latest Product Security Updates
https://helpx.adobe.com/security.html