« ■12/23(日)~01/05(土) のセキュリティ関連情報 | メイン | ■01/13(日)~01/19(土) のセキュリティ関連情報 »

2019年1月17日 (木)

■01/06(日)~01/12(土) のセキュリティ関連情報

目 次 

【1】複数の Microsoft 製品に脆弱性
【2】複数の Adobe 製品に脆弱性
【3】複数の Juniper 製品に脆弱性
【4】Cisco Email Security Appliance (ESA) に複数の脆弱性
【5】PHP に複数の脆弱性
【6】Intel 製品に複数の脆弱性
【7】オムロン製 CX-One に任意のコード実行が可能な脆弱性
【8】Wireshark に複数の脆弱性
【9】WordPress 用プラグイン spam-byebye にクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】複数の Microsoft 社製品が 2020年にサポート終了

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr190201.html
https://www.jpcert.or.jp/wr/2019/wr190201.xml
============================================================================


【1】複数の Microsoft 製品に脆弱性

情報源
US-CERT Current Activity
Microsoft Releases January 2019 Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/01/08/Microsoft-Releases-January-2019-Security-Updates

概要
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Internet Explorer
- Microsoft Edge
- Microsoft Windows
- Microsoft Office、Microsoft Office Services および Web Apps
- ChakraCore
- .NET Framework
- ASP.NET
- Microsoft Exchange Server
- Microsoft Visual Studio
- Skype for Business
- Team Foundation Server

この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
とで解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)
マイクロソフト株式会社
2019 年 1 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/b4384b95-e6d2-e811-a983-000d3a33c573

JPCERT/CC 注意喚起
2019年 1月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2019/at190002.html

【2】複数の Adobe 製品に脆弱性

情報源
US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/01/08/Adobe-Releases-Security-Updates

アドビシステムズ株式会社
Security Bulletins Posted
https://blogs.adobe.com/psirt/?p=1685

概要
Adobe Connect および Adobe Digital Editions には、脆弱性があります。結
果として、第三者が機微な情報を取得する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Adobe Connect 9.8.1 およびそれ以前
- Adobe Digital Editions 4.5.9 およびそれ以前 (Windows 版、macOS 版、iOS 版および android 版)

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2019010901.html

関連文書 (英語)
アドビシステムズ株式会社
Security Updates Available for Adobe Digital Editions | APSB19-04
https://helpx.adobe.com/security/products/Digital-Editions/apsb19-04.html

アドビシステムズ株式会社
Security updates available for Adobe Connect | APSB19-05
https://helpx.adobe.com/security/products/connect/apsb19-05.html

【3】複数の Juniper 製品に脆弱性

情報源
US-CERT Current Activity
Juniper Networks Releases Multiple Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/01/09/Juniper-Networks-Releases-Multiple-Security-Updates

概要
複数の Juniper 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。

対象となる製品は次のとおりです。

- Junos OS
- Junos Space
- Juniper ATP

この問題は、該当する製品を Juniper が提供する修正済みのバージョンに更
新することで解決します。詳細は、Juniper が提供する情報を参照してくださ
い。

関連文書 (英語)
Juniper Networks
2019-01 Security Bulletin: Junos OS: MX Series: uncontrolled recursion and crash in Broadband Edge subscriber management daemon (bbe-smgd). (CVE-2019-0001)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10900

Juniper Networks
2019-01 Security Bulletin: Junos OS: EX2300 and EX3400 series: Certain stateless firewall filter rules might not take effect (CVE-2019-0002)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10901

Juniper Networks
2019-01 Security Bulletin: Junos OS: A flowspec BGP update with a specific term-order causes routing protocol daemon (rpd) process to crash with a core. (CVE-2019-0003)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10902

Juniper Networks
2019-01 Security Bulletin: Junos OS: vMX series: Predictable IP ID sequence numbers vulnerability (CVE-2019-0007)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10903

Juniper Networks
2019-01 Security Bulletin: Junos OS: FreeBSD-SA-15:20.expat : Multiple integer overflows in expat (libbsdxml) XML parser (CVE-2015-1283)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10904

Juniper Networks
2019-01 Security Bulletin: Junos OS: EX and QFX series: Stateless firewall filter ignores IPv6 extension headers (CVE-2019-0005)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10905

Juniper Networks
2019-01 Security Bulletin: Junos OS: EX, QFX and MX series: Packet Forwarding Engine manager (FXPC) process crashes due to a crafted HTTP packet in a Virtual Chassis configuration (CVE-2019-0006)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10906

Juniper Networks
2019-01 Security Bulletin: SRC Series: Multiple vulnerabilities in Juniper Networks Session and Resource Control (SRC)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10907

Juniper Networks
2019-01 Security Bulletin: Junos OS: EX2300 and EX3400: High disk I/O operations may disrupt the communication between RE and PFE (CVE-2019-0009)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10909

Juniper Networks
2019-01 Security Bulletin: Junos OS: SRX Series: Crafted HTTP traffic may cause UTM to consume all mbufs, leading to Denial of Service (CVE-2019-0010)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10910

Juniper Networks
2019-01 Security Bulletin: Junos OS: Kernel crash after processing specific incoming packet to the out of band management interface (CVE-2019-0011)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10911

Juniper Networks
2019-01 Security Bulletin: Junos OS: rpd crash on VPLS PE upon receipt of specific BGP message (CVE-2019-0012)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10912

Juniper Networks
2019-01 Security Bulletin: Junos OS: RPD crash upon receipt of malformed PIM packet (CVE-2019-0013)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10913

Juniper Networks
2019-01 Security Bulletin: Junos OS: QFX and PTX Series: FPC process crashes after J-Flow processes a malformed packet (CVE-2019-0014)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10914

Juniper Networks
2019-01 Security Bulletin: Junos OS: SRX Series: Deleted dynamic VPN users are allowed to establish VPN connections until reboot (CVE-2019-0015)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10915

Juniper Networks
2019-01 Security Bulletin: Junos Space: Multiple vulnerabilities resolved in 18.3R1 and 18.4R1 releases
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10917

Juniper Networks
2019-01 Security Bulletin: Juniper ATP: Multiple vulnerabilities resolved in 5.0.3 and 5.0.4
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10918

Juniper Networks
2019-01 Security Bulletin: Junos OS: OpenSSL Security Advisories [16 Apr 2018] and [12 June 2018]
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10919

【4】Cisco Email Security Appliance (ESA) に複数の脆弱性

情報源
US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/01/09/Cisco-Releases-Security-Updates

概要
Cisco Email Security Appliance (ESA) 向け Cisco AsyncOS には、複数の脆
弱性があります。結果として、遠隔の第三者が、細工した電子メールを送信す
ることで、サービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- Cisco Email Security Appliance (ESA) 向け Cisco AsyncOS
- 9.0 系より前のバージョン
- 9.0 系のバージョン
- 10.0 系のバージョン
- 11.0 系のバージョン
- 11.1 系のバージョン

本脆弱性は、次のような場合にのみ、影響を受けるとのことです。

- S/MIME 復号化および検証、または S/MIME 公開キーの収集が設定されている場合
- グローバル設定としての URL フィルタリング機能が有効で URL ホワイトリストが使用されている場合

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)
Cisco Security Advisory
Cisco Email Security Appliance Memory Corruption Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190109-esa-dos

Cisco Security Advisory
Cisco Email Security Appliance URL Filtering Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190109-esa-url-dos

【5】PHP に複数の脆弱性

情報源
The PHP Group
PHP 7.3.1 Released
https://secure.php.net/archive/2019.php#id2019-01-10-2

The PHP Group
PHP 7.2.14 Released
https://secure.php.net/archive/2019.php#id2019-01-10-1

The PHP Group
PHP 7.1.26 Release Announcement
https://secure.php.net/archive/2019.php#id2019-01-10-3

The PHP Group
PHP 5.6.40 Released
https://secure.php.net/archive/2019.php#id2019-01-10-4

概要
PHP には、複数の脆弱性があります。結果として、第三者が任意のコードを実
行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- PHP 7.3.1 より前のバージョン
- PHP 7.2.14 より前のバージョン
- PHP 7.1.26 より前のバージョン
- PHP 5.6.40 より前のバージョン

また、The PHP Group によると、PHP 5.6.40 は PHP 5.6 系の最後のリリース
であり、PHP 5.6 系を使用しているユーザに、PHP 7.1、7.2 あるいは 7.3 に
アップグレードすることを推奨しています。

この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ
さい。

関連文書 (英語)
The PHP Group
PHP 7 ChangeLog Version 7.3.1
http://www.php.net/ChangeLog-7.php#7.3.1

The PHP Group
PHP 7 ChangeLog Version 7.2.14
http://www.php.net/ChangeLog-7.php#7.2.14

The PHP Group
PHP 7 ChangeLog Version 7.1.26
http://www.php.net/ChangeLog-7.php#7.1.26

The PHP Group
PHP 5 ChangeLog Version 5.6.40
http://www.php.net/ChangeLog-5.php#5.6.40

Center for Internet Security
Multiple Vulnerabilities in PHP Could Allow for Arbitrary Code Execution
https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-php-could-allow-for-arbitrary-code-execution_2019-005/

【6】Intel 製品に複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#92720005
Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU92720005/

概要
Intel 製品には、複数の脆弱性があります。結果として、第三者が権限を昇格
するなどの可能性があります。

対象となる製品は次のとおりです。

- Intel NUC
- Intel Optane SSD DC P4800X
- Intel PROSet/Wireless WiFi Software
- Intel SGX SDK and Intel SGX Platform Software
- Intel SSD Data Center Tool for Windows
- Intel System Support Utility for Windows

この問題は、該当する製品を Intel が提供する修正済みのバージョンに更新
することで解決します。詳細は、Intel が提供する情報を参照してください。

関連文書 (英語)
Intel
INTEL-SA-00144 - Intel NUC Firmware Security Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00144.html

Intel
INTEL-SA-00175 - Intel Optane SSD DC P4800X Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00175.html

Intel
INTEL-SA-00182 - Intel PROSet/Wireless WiFi Software Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00182.html

Intel
INTEL-SA-00203 - Intel SGX Platform Software and Intel SGX SDK Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00203.html

Intel
INTEL-SA-00207 - Intel SSD Data Center Tool Vulnerability Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00207.html

Intel
INTEL-SA-00212 - Intel System Support Utility for Windows Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00212.html

【7】オムロン製 CX-One に任意のコード実行が可能な脆弱性

情報源
Japan Vulnerability Notes JVNVU#97716739
オムロン製 CX-One に任意のコード実行が可能な脆弱性
https://jvn.jp/vu/JVNVU97716739

概要
オムロン株式会社が提供する CX-One には、脆弱性があります。結果として、
第三者が、細工したプロジェクトファイルを処理させることで、アプリケーション
の権限で任意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- 次のアプリケーションを含む CX-One Version 4.50 およびそれ以前
- CX-Protocol Version 2.0 およびそれ以前

この問題は、該当する製品をオムロン株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、オムロン株式会社が提供する情報を参
照してください。

関連文書 (日本語)
オムロン株式会社
CX-One バージョンアップ プログラム ダウンロード
https://www.fa.omron.co.jp/product/tool/26/cxone/one1.html

オムロン株式会社
CX-Protocol の更新内容 Ver.2.01 : CX-Oneオートアップデート(V4向け_2019年1月)
https://www.fa.omron.co.jp/product/tool/26/cxone/j4_doc.html#cx_protocol

【8】Wireshark に複数の脆弱性

情報源
Wireshark Foundation
Wireshark 2.6.6 and 2.4.12 Released
https://www.wireshark.org/news/20190108.html

概要
Wireshark には、複数の脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- Wireshark 2.6.6 より前のバージョン
- Wireshark 2.4.12 より前のバージョン

この問題は、Wireshark を Wireshark Foundation が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、Wireshark Foundation が提供
する情報を参照してください。

関連文書 (英語)
Wireshark Foundation
Wireshark 2.6.6 Release Notes
https://www.wireshark.org/docs/relnotes/wireshark-2.6.6.html

Wireshark Foundation
Wireshark 2.4.12 Release Notes
https://www.wireshark.org/docs/relnotes/wireshark-2.4.12.html

【9】WordPress 用プラグイン spam-byebye にクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#58010349
WordPress 用プラグイン spam-byebye におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN58010349/

概要
WordPress 用プラグイン spam-byebye には、クロスサイトスクリプティング
の脆弱性があります。結果として、遠隔の第三者が、当該プラグインのセット
アップページにアクセスできるユーザのウェブブラウザ上で、任意のスクリプ
トを実行する可能性があります。

対象となるバージョンは次のとおりです。

- spam-byebye 2.2.1 およびそれ以前

この問題は、spam-byebye を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
spam-byebye
Changelog
https://wordpress.org/plugins/spam-byebye/#developers

コメント

この記事へのコメントは終了しました。