目 次
【1】Mozilla Thunderbird に複数の脆弱性
【2】複数の Apple 製品に脆弱性
【3】複数の Cisco 製品に脆弱性
【4】複数の VMware 製品に脆弱性
【5】Apache Tomcat にサービス運用妨害 (DoS) 攻撃の脆弱性
【6】PowerActPro Master Agent Windows版にアクセス制限不備の脆弱性
【今週のひとくちメモ】IPA が「サイバーセキュリティ経営ガイドラインVer.2.0実践のためのプラクティス集」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr191301.html
https://www.jpcert.or.jp/wr/2019/wr191301.xml
============================================================================
【1】Mozilla Thunderbird に複数の脆弱性
情報源
US-CERT Current Activity
Mozilla Releases Security Update for Thunderbird
https://www.us-cert.gov/ncas/current-activity/2019/03/25/Mozilla-Releases-Security-Update-Thunderbird
概要
Mozilla Thunderbird には、複数の脆弱性があります。結果として、第三者が
任意のコードを実行するなどの可能性があります。
対象となるバージョンは次のとおりです。
- Mozilla Thunderbird 60.6.1 より前のバージョン
この問題は、Mozilla Thunderbird を Mozilla が提供する修正済みのバージョン
に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく
ださい。
関連文書 (英語)
Mozilla
Security vulnerabilities fixed in Thunderbird 60.6.1
https://www.mozilla.org/en-US/security/advisories/mfsa2019-12/
【2】複数の Apple 製品に脆弱性
情報源
US-CERT Current Activity
Apple Releases Multiple Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/03/25/Apple-Releases-Multiple-Security-Updates
概要
複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害 (DoS) 攻撃を行ったり、第三者が任意のコードを実行したりす
るなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- iOS 12.2 より前のバージョン
- macOS Mojave 10.14.4 より前のバージョン
- macOS High Sierra (Security Update 2019-002 未適用)
- macOS Sierra (Security Update 2019-002 未適用)
- tvOS 12.2 より前のバージョン
- watchOS 5.2 より前のバージョン
- Safari 12.1 より前のバージョン
- iTunes 12.9.4 for Windows より前のバージョン
- iCloud for Windows 7.11 より前のバージョン
- Xcode 10.2 より前のバージョン
この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新
することで解決します。詳細は、Apple が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#93236010
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU93236010/
関連文書 (英語)
Apple
About the security content of iOS 12.2
https://support.apple.com/en-us/HT209599
Apple
About the security content of macOS Mojave 10.14.4, Security Update 2019-002 High Sierra, Security Update 2019-002 Sierra
https://support.apple.com/en-us/HT209600
Apple
About the security content of tvOS 12.2
https://support.apple.com/en-us/HT209601
Apple
About the security content of watchOS 5.2
https://support.apple.com/en-us/HT209602
Apple
About the security content of Safari 12.1
https://support.apple.com/en-us/HT209603
Apple
About the security content of iTunes 12.9.4 for Windows
https://support.apple.com/en-us/HT209604
Apple
About the security content of iCloud for Windows 7.11
https://support.apple.com/en-us/HT209605
Apple
About the security content of Xcode 10.2
https://support.apple.com/en-us/HT209606
【3】複数の Cisco 製品に脆弱性
情報源
US-CERT Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2019/03/27/Cisco-Releases-Security-Advisories-Multiple-Products
US-CERT Current Activity
Cisco Releases Security Update for Cisco IOS XE
https://www.us-cert.gov/ncas/current-activity/2019/03/28/Cisco-Releases-Security-Update-Cisco-IOS-XE
概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
機微な情報を取得したり、サービス運用妨害 (DoS) 攻撃を行ったりするなど
の可能性があります。
対象となる製品は次のとおりです。
- Cisco IOS ソフトウェア
- Cisco IOS XE ソフトウェア
この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。
関連文書 (英語)
Cisco
Cisco Event Response: March 2019 Semiannual Cisco IOS and IOS XE Software Security Advisory Bundled Publication
https://tools.cisco.com/security/center/viewErp.x?alertId=ERP-71135
Cisco Security Advisory
Cisco IOS Software Catalyst 6500 Series 802.1x Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190327-c6500
Cisco Security Advisory
Cisco IOS and IOS XE Software Smart Call Home Certificate Validation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190327-call-home-cert
Cisco Security Advisory
Cisco IOS and IOS XE Software Information Disclosure Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190327-info
Cisco Security Advisory
Cisco IOS and IOS XE Software Hot Standby Router Protocol Information Leak Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190327-ios-infoleak
Cisco Security Advisory
Cisco IOS XE Software Gigabit Ethernet Management Interface Access Control List Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190327-mgmtacl
Cisco Security Advisory
Cisco IOS XE Software Performance Routing Version 3 Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190327-pfrv3
【4】複数の VMware 製品に脆弱性
情報源
US-CERT Current Activity
VMware Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/03/29/VMware-Releases-Security-Updates
概要
複数の VMware 製品には、脆弱性があります。結果として、ゲスト OS のユー
ザがホスト OS 上で任意のコードを実行するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- VMware vCloud Director for Service Providers 9.5.0.3 より前の 9.5 系のバージョン
- VMware vSphere ESXi 6.7 系のバージョン (ESXi670-201903001 未適用)
- VMware vSphere ESXi 6.5 系のバージョン (ESXi650-201903001 未適用)
- VMware vSphere ESXi 6.0 系のバージョン (ESXi600-201903001 未適用)
- VMware Workstation Pro / Player 15.0.4 より前の 15 系のバージョン
- VMware Workstation Pro / Player 14.1.7 より前の 14 系のバージョン
- VMware Fusion Pro / Fusion 11.0.3 より前の 11 系のバージョン (OSX)
- VMware Fusion Pro / Fusion 10.1.6 より前の 10 系のバージョン (OSX)
この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新
するか、パッチを適用することで解決します。詳細は、VMware が提供する情
報を参照してください。
関連文書 (英語)
VMware Security Advisories
VMSA-2019-0004 VMware vCloud Director for Service Providers update resolves a Remote Session Hijack vulnerability
https://www.vmware.com/security/advisories/VMSA-2019-0004.html
VMware Security Advisories
VMSA-2019-0005 VMware ESXi, Workstation and Fusion updates address multiple security issues
https://www.vmware.com/security/advisories/VMSA-2019-0005.html
【5】Apache Tomcat にサービス運用妨害 (DoS) 攻撃の脆弱性
情報源
The Apache Software Foundation
[SECURITY] CVE-2019-0199 Apache Tomcat HTTP/2 DoS
https://mail-archives.apache.org/mod_mbox/tomcat-announce/201903.mbox/%3Cda5094ed-0901-6422-c383-073e5b3ecf9d@apache.org%3E
概要
Apache Tomcat には、遠隔の第三者によってサービス運用妨害 (DoS) 攻撃が
可能な脆弱性があります。
対象となるバージョンは次のとおりです。
- Apache Tomcat 9.0.0.M1 から 9.0.14 まで
- Apache Tomcat 8.5.0 から 8.5.37 まで
この問題は、Apache Tomcat を The Apache Software Foundation が提供する
修正済みのバージョンに更新することで解決します。詳細は、The Apache
Software Foundation が提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC
Apache Tomcat の脆弱性 (CVE-2019-0199) について
https://www.jpcert.or.jp/newsflash/2019032601.html
【6】PowerActPro Master Agent Windows版にアクセス制限不備の脆弱性
情報源
Japan Vulnerability Notes JVN#63981842
PowerActPro Master Agent Windows版におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN63981842/
概要
PowerActPro Master Agent Windows版には、アクセス制限不備の脆弱性があり
ます。結果として、Windows の一般ユーザアカウントをもつ第三者が、本来ア
クセスできないファイルを編集する可能性があります。
対象となるバージョンは次のとおりです。
- PowerActPro Master Agent Windows版 Version 5.13 およびそれ以前
この問題は、PowerActPro Master Agent Windows版をオムロン ソーシアルソ
リューションズ株式会社が提供する修正済みのバージョンに更新することで解
決します。詳細は、オムロン ソーシアルソリューションズ株式会社が提供す
る情報を参照してください。
関連文書 (日本語)
オムロン ソーシアルソリューションズ株式会社
無停電電源装置(UPS)用自動シャットダウンソフト「PowerAct Pro」アップグレードのお知らせ
https://www.oss.omron.co.jp/ups/info/topics/190326.html
オムロン ソーシアルソリューションズ株式会社
PowerAct Pro Master Agent Windows版 ダウンロード
https://www.oss.omron.co.jp/ups/support/download/soft/poweractpro/master/poweractpro_master_windows.html