■03/17(日)~03/23(土) のセキュリティ関連情報
目 次
【1】Mozilla Firefox に複数の脆弱性
【2】Drupal にクロスサイトスクリプティングの脆弱性
【3】複数の Cisco 製品に脆弱性
【4】iOS アプリ「an」にディレクトリトラバーサルの脆弱性
【今週のひとくちメモ】IPA が「中小企業の情報セキュリティ対策ガイドライン」の第3版を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr191201.html
https://www.jpcert.or.jp/wr/2019/wr191201.xml
============================================================================
【1】Mozilla Firefox に複数の脆弱性
情報源
US-CERT Current Activity
Mozilla Releases Security Updates for Firefox
https://www.us-cert.gov/ncas/current-activity/2019/03/22/Mozilla-Releases-Security-Updates-Firefox
US-CERT Current Activity
Mozilla Releases Security Updates for Firefox
https://www.us-cert.gov/ncas/current-activity/2019/03/19/Mozilla-Releases-Security-Updates-Firefox
概要
Mozilla Firefox には、複数の脆弱性があります。結果として、遠隔の第三者
が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりす
るなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Mozilla Firefox 66.0.1 より前のバージョン
- Mozilla Firefox ESR 60.6.1 より前のバージョン
この問題は、Mozilla Firefox を Mozilla が提供する修正済みのバージョン
に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく
ださい。
関連文書 (英語)
Mozilla
Security vulnerabilities fixed in Firefox 66
https://www.mozilla.org/en-US/security/advisories/mfsa2019-07/
Mozilla
Security vulnerabilities fixed in Firefox 66.0.1
https://www.mozilla.org/en-US/security/advisories/mfsa2019-09/
Mozilla
Security vulnerabilities fixed in Firefox ESR 60.6
https://www.mozilla.org/en-US/security/advisories/mfsa2019-08/
Mozilla
Security vulnerabilities fixed in Firefox 60.6.1
https://www.mozilla.org/en-US/security/advisories/mfsa2019-10/
【2】Drupal にクロスサイトスクリプティングの脆弱性
情報源
US-CERT Current Activity
Drupal Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/03/20/Drupal-Releases-Security-Updates
概要
Drupal には、クロスサイトスクリプティングの脆弱性があります。結果とし
て、遠隔の第三者がユーザのブラウザ上で任意のコードを実行する可能性があ
ります。
対象となるバージョンは次のとおりです。
- Drupal 8.6.13 より前の 8.6 系のバージョン
- Drupal 8.5.14 より前の 8.5 系のバージョン
- Drupal 7.65 より前の 7 系のバージョン
なお、Drupal 8.5 系より前の 8 系のバージョンは、サポートが終了しており、
セキュリティに関する情報は提供されません。
この問題は、Drupal を Drupal が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Drupal が提供する情報を参照してください。
関連文書 (英語)
Drupal
Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2019-004
https://www.drupal.org/sa-core-2019-004
【3】複数の Cisco 製品に脆弱性
情報源
US-CERT Current Activity
Cisco Releases Security Advisories for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2019/03/20/Cisco-Releases-Security-Advisories-Multiple-Products
概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害 (DoS) 攻撃を行うなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Cisco Wireless IP Phone 8821 上で稼働している SIP ソフトウエア 11.0(5) より前のバージョン
- Cisco Wireless IP Phone 8821-EX 上で稼働している SIP ソフトウエア 11.0(5) より前のバージョン
- Cisco IP Conference Phone 8832 上で稼働している SIP ソフトウエア 12.5(1)SR1 より前のバージョン
- Cisco Unified IP Conference Phone 8831 上で稼働している SIP ソフトウエア 10.3(1)SR5 より前のバージョン
- その他 Cisco IP Phone 7800 シリーズ上で稼働している SIP ソフトウエア 12.5(1)SR1 より前のバージョン
- その他 Cisco IP Phone 8800 シリーズ上で稼働している SIP ソフトウエア 12.5(1)SR1 より前のバージョン
この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。
関連文書 (英語)
Cisco Security Advisory
Cisco IP Phone 8800 Series Path Traversal Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ipptv
Cisco Security Advisory
Cisco IP Phone 8800 Series File Upload Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ipfudos
Cisco Security Advisory
Cisco IP Phone 8800 Series Authorization Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ipab
Cisco Security Advisory
Cisco IP Phone 7800 Series and 8800 Series Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ip-phone-rce
Cisco Security Advisory
Cisco IP Phone 8800 Series Cross-Site Request Forgery Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ip-phone-csrf
【4】iOS アプリ「an」にディレクトリトラバーサルの脆弱性
情報源
Japan Vulnerability Notes JVN#60497148
iOS アプリ「an」におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN60497148/
概要
iOS アプリ「an」には、ディレクトリトラバーサルの脆弱性があります。結果
として、遠隔の第三者が情報を窃取する可能性があります。
対象となるバージョンは次のとおりです。
- iOS アプリ「an」 バージョン 3.2.0 およびそれ以前
この問題は、iOS アプリ「an」をパーソルキャリア株式会社が提供する修正済
みのバージョンに更新することで解決します。詳細は、パーソルキャリア株式
会社が提供する情報を参照してください。
関連文書 (日本語)
パーソルキャリア株式会社
「an」公式アプリ
https://weban.jp/contents/c/smartphone_apri/
コメント