目 次
【1】IP-in-IP プロトコルによる IP トンネリングが悪用され任意の宛先にパケットが送信される問題
【2】複数の Mozilla 製品に脆弱性
【3】複数の Cisco 製品に脆弱性
【4】Google Chrome に複数の脆弱性
【5】Gitlab にアクセス制御の脆弱性
【6】XACK DNS にサービス運用妨害 (DoS) の脆弱性
【7】Microsoft SMBv3 の脆弱性 (CVE-2020-0796) への対策を
【今週のひとくちメモ】IPA が「サイバーセキュリティ経営ガイドライン Ver 2.0」のプラクティス集を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr202201.html
https://www.jpcert.or.jp/wr/2020/wr202201.xml
============================================================================
【1】IP-in-IP プロトコルによる IP トンネリングが悪用され任意の宛先にパケットが送信される問題
情報源
CERT/CC Vulnerability Note VU#636397
IP-in-IP protocol routes arbitrary traffic by default
https://kb.cert.org/vuls/id/636397
Japan Vulnerability Notes JVNTA#90492923
IP-in-IP プロトコルによる IP トンネリングが悪用され任意の宛先にパケットが送信される問題
https://jvn.jp/ta/JVNTA90492923
概要
IP-in-IP プロトコルをサポートしている機器において、認証されていない第
三者によって予期せぬ通信が行われてしまう問題があります。結果として、反
射型の DDoS 攻撃や情報漏えいなどにつながる可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Cisco NX-OS Software が稼働している次の製品
- Nexus 1000 Virtual Edge for VMware vSphere
- Nexus 1000V Switch for Microsoft Hyper-V
- Nexus 1000V Switch for VMware vSphere
- Nexus 3000 Series Switches
- Nexus 5500 Platform Switches
- Nexus 5600 Platform Switches
- Nexus 6000 Series Switches
- Nexus 7000 Series Switches
- Nexus 9000 Series Switches in standalone NX-OS mode
- UCS 6200 Series Fabric Interconnects
- UCS 6300 Series Fabric Interconnects
- Digi International
- WR11 series cellular router (ファームウェア V8.1.0.1 より前のバージョン)
- WR21 series cellular router (ファームウェア V8.1.0.1 より前のバージョン)
- WR31 series cellular router (ファームウェア V8.1.0.1 より前のバージョン)
- WR41 series cellular router (ファームウェア V8.1.0.1 より前のバージョン)
- WR44 series cellular router (ファームウェア V8.1.0.1 より前のバージョン)
- HP
- Samsung X3220NR V3.00.09 から V3.00.11 までのバージョン
- Treck
- Treck embedded TCP/IP software 6.0.1.66 より前のバージョン
また、上記以外にも Japan Vulnerability Notes のベンダ情報や各ベンダが
提供する情報などを確認し、該当する製品がある場合は、対策の実施を検討し
てください。
関連文書 (英語)
Cisco Security Advisory
Cisco NX-OS Software Unexpected IP in IP Packet Processing Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-ipip-dos-kCT9X4
Digi International
Digi Security Center
https://www.digi.com/resources/security
【2】複数の Mozilla 製品に脆弱性
情報源
US-CERT Current Activity
Mozilla Releases Security Updates for Firefox and Firefox ESR
https://www.us-cert.gov/ncas/current-activity/2020/06/03/mozilla-releases-security-updates-firefox-and-firefox-esr
概要
複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Mozilla Firefox 77 より前のバージョン
- Mozilla Firefox ESR 68.9 より前のバージョン
- Thunderbird 68.9 より前のバージョン
この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更
新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 77
https://www.mozilla.org/en-US/security/advisories/mfsa2020-20/
Mozilla
Security Vulnerabilities fixed in Firefox ESR 68.9
https://www.mozilla.org/en-US/security/advisories/mfsa2020-21/
Mozilla
Security Vulnerabilities fixed in Thunderbird 68.9.0
https://www.mozilla.org/en-US/security/advisories/mfsa2020-22/
【3】複数の Cisco 製品に脆弱性
情報源
US-CERT Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2020/06/04/cisco-releases-security-updates-multiple-products
概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコマンドを実行するなどの可能性があります。
影響度 Critical の脆弱性情報に記載されている製品およびバージョンは次の
とおりです。
- Cisco IOS XE Software 16.3.1 以降のバージョン
- Cisco IOS Software が稼働している次の製品
- Cisco 809 Industrial ISRs
- Cisco 829 Industrial ISRs
- CGR1000
※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、
影響度 High および Medium の複数の脆弱性情報が公開されています。詳細
は、Cisco が提供する情報を参照してください。
この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。
関連文書 (英語)
Cisco Security Advisory
Cisco IOx for IOS XE Software Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ioxPE-KgGvCAf9
Cisco Security Advisory
Cisco IOS Software for Cisco Industrial Routers Virtual Device Server Inter-VM Channel Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ios-iot-udp-vds-inj-f2D5Jzrt
Cisco Security Advisory
Cisco IOS Software for Cisco Industrial Routers Arbitrary Code Execution Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ios-iot-rce-xYRSeMNH
【4】Google Chrome に複数の脆弱性
情報源
US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2020/06/04/google-releases-security-updates-chrome
概要
Google Chrome には、複数の脆弱性があります。
対象となる製品およびバージョンは次のとおりです。
- Google Chrome 83.0.4103.97 より前のバージョン
- Google Chrome for IOS 83.0.4103.88 より前のバージョン
この問題は、Google が提供する修正済みのバージョンに更新することで解決
します。詳細は、Google が提供する情報を参照してください。
関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/06/stable-channel-update-for-desktop.html
【5】Gitlab にアクセス制御の脆弱性
情報源
GitLab
GitLab Critical Security Release: 13.0.4, 12.10.9, 12.9.9
https://about.gitlab.com/releases/2020/06/03/critical-security-release-13-0-4-released/
概要
GitLab には、アクセス制御の脆弱性があります。結果として、許可されてい
ない第三者がリポジトリへアクセスする可能性があります。
対象となるバージョンは次のとおりです。
- GitLab EE 10.6+ 以降のバージョン
この問題は、GitLab が提供する修正済みのバージョンに更新することで解決
します。詳細は、GitLab が提供する情報を参照してください。
【6】XACK DNS にサービス運用妨害 (DoS) の脆弱性
情報源
Japan Vulnerability Notes JVN#40208370
XACK DNS におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN40208370
概要
XACK DNS には、NXNSAttack と呼ばれる問題に起因する脆弱性があります。結
果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行うなどの可能性
があります。
対象となるバージョンは次のとおりです。
- XACK DNS 1.11.0 から 1.11.4 までのバージョン
- XACK DNS 1.10.0 から 1.10.8 までのバージョン
- XACK DNS 1.8.0 から 1.8.23 までのバージョン
- XACK DNS 1.7.0 から 1.7.18 までのバージョン
- XACK DNS 1.7.0 より前のすべてのバージョン
この問題は、株式会社 XACK が提供する修正済みのバージョンに更新すること
で解決します。詳細は、株式会社 XACK が提供する情報を参照してください。
関連文書 (日本語)
株式会社 XACK
CVE-2020-8616 (NXNSAttack) について
https://xack.co.jp/info/?ID=622
【7】Microsoft SMBv3 の脆弱性 (CVE-2020-0796) への対策を
情報源
US-CERT Current Activity
Unpatched Microsoft Systems Vulnerable to CVE-2020-0796
https://www.us-cert.gov/ncas/current-activity/2020/06/05/unpatched-microsoft-systems-vulnerable-cve-2020-0796
概要
2020年6月5日、CISA (US-CERT) は 3月に公開された Microsoft SMBv3 の脆弱
性 (CVE-2020-0796) について、本脆弱性を悪用可能な実証 (PoC) コードを新
たに確認しており、セキュリティ更新プログラムが未適用のシステムが攻撃を
受ける可能性があるとして、改めて注意を呼び掛けています。CISA は、ユー
ザに向けて、早急にセキュリティ更新プログラムを適用することや、必要な回
避策を適用することを推奨しています。今一度対策状況をご確認ください。
関連文書 (日本語)
マイクロソフト株式会社
CVE-2020-0796 | Windows SMBv3 クライアント/サーバーのリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-0796
マイクロソフト株式会社
ADV200005 | SMBv3 の圧縮の無効化に関する Microsoft ガイダンス
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/adv200005
JPCERT/CC 注意喚起
Microsoft SMBv3 の脆弱性 (CVE-2020-0796) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200011.html
関連文書 (英語)
CERT/CC Vulnerability Note VU#872016
Microsoft SMBv3 compression remote code execution vulnerability
https://kb.cert.org/vuls/id/872016/
――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――
○IPA が「サイバーセキュリティ経営ガイドライン Ver 2.0」のプラクティス集を公開
2020年6月3日、経済産業省と情報処理推進機構 (IPA) は、「サイバーセキュ
リティ経営ガイドライン Ver 2.0実践のためのプラクティス集」を公開しまし
た。本プラクティス集では、2017年11月に公開された「サイバーセキュリティ
経営ガイドライン Ver 2.0」に記載されている、サイバーセキュリティ強化の
ための「重要10項目」を実践する際に参考となる考え方やヒント、実施手順、
実践事例が紹介されています。
参考文献 (日本語)
情報処理推進機構 (IPA)
サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集
https://www.ipa.go.jp/security/fy30/reports/ciso/