« 2019年5月 | メイン | 2019年7月 »

2019年6月

2019年6月26日 (水)

■06/16(日)~06/22(土) のセキュリティ関連情報

目 次 

【1】複数の Mozilla 製品に脆弱性
【2】Oracle WebLogic Server に安全でないデシリアライゼーションの脆弱性
【3】複数の Cisco 製品に脆弱性
【4】ISC BIND 9 にサービス運用妨害 (DoS) 攻撃の脆弱性
【5】Apple AirPort に複数の脆弱性
【6】Apache Tomcat にサービス運用妨害 (DoS) 攻撃の脆弱性
【7】Linux カーネルおよび FreeBSD カーネルにサービス運用妨害 (DoS) 攻撃の脆弱性
【8】Android 版 Microsoft Outlook にスプーフィング攻撃が可能な脆弱性
【9】Samba に複数の脆弱性
【10】Dell SupportAssist に DLL 読み込みに関する脆弱性
【11】VAIO Update に複数の脆弱性
【12】WordPress 用プラグイン Related YouTube Videos にクロスサイトリクエストフォージェリの脆弱性
【13】WordPress 用プラグイン Personalized WooCommerce Cart Page にクロスサイトリクエストフォージェリの脆弱性
【14】Weekly Reportや注意喚起等の配信用メールアドレス変更のお知らせ
【今週のひとくちメモ】NISC が「普及啓発・人材育成専門調査会会合」の資料を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr192401.html
https://www.jpcert.or.jp/wr/2019/wr192401.xml
============================================================================


【1】複数の Mozilla 製品に脆弱性

情報源
US-CERT Current Activity
Mozilla Releases Security Updates for Firefox and Firefox ESR
https://www.us-cert.gov/ncas/current-activity/2019/06/18/Mozilla-Releases-Security-Updates-Firefox-and-Firefox-ESR

US-CERT Current Activity
Mozilla Releases Security Updates for Firefox, Thunderbird
https://www.us-cert.gov/ncas/current-activity/2019/06/20/Mozilla-Releases-Security-Updates-Firefox-and-Firefox-ESR

概要
複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Firefox 67.0.4 より前のバージョン
- Firefox ESR 60.7.2 より前のバージョン
- Thunderbird 60.7.2 より前のバージョン

この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更
新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ
い。

関連文書 (日本語)
JPCERT/CC 注意喚起
Firefox の脆弱性 (CVE-2019-11707) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190027.html

JPCERT/CC CyberNewsFlash
Mozilla 製品における脆弱性 (CVE-2019-11708) について
https://www.jpcert.or.jp/newsflash/2019062101.html

関連文書 (英語)
Mozilla
Security vulnerabilities fixed in Firefox 67.0.3 and Firefox ESR 60.7.1
https://www.mozilla.org/en-US/security/advisories/mfsa2019-18/

Mozilla
Security vulnerabilities fixed in Firefox 67.0.4 and Firefox ESR 60.7.2
https://www.mozilla.org/en-US/security/advisories/mfsa2019-19/

Mozilla
Security vulnerabilities fixed in Thunderbird 60.7.2
https://www.mozilla.org/en-US/security/advisories/mfsa2019-20/

【2】Oracle WebLogic Server に安全でないデシリアライゼーションの脆弱性

情報源
US-CERT Current Activity
Oracle Releases Security Advisory for WebLogic
https://www.us-cert.gov/ncas/current-activity/2019/06/19/Oracle-Releases-Security-Advisory-WebLogic

概要
Oracle WebLogic Server には、安全でないデシリアライゼーションの脆弱性
があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能
性があります。

対象となるバージョンは次のとおりです。

- Oracle WebLogic Server 12.2.1.3.0
- Oracle WebLogic Server 12.1.3.0.0
- Oracle WebLogic Server 10.3.6.0.0

この問題は、Oracle WebLogic Server を Oracle が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、Oracle が提供する情報を参照
してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
Oracle WebLogic Server の脆弱性 (CVE-2019-2729) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190028.html

関連文書 (英語)
Oracle
Oracle Security Alert Advisory - CVE-2019-2729
https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2729-5570780.html

Oracle
Security Alert CVE-2019-2729 Released
https://blogs.oracle.com/security/security-alert-cve-2019-2729-released

【3】複数の Cisco 製品に脆弱性

情報源
US-CERT Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2019/06/19/Cisco-Releases-Security-Updates-Multiple-Products

概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
root 権限でコマンドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったり
するなどの可能性があります。

影響度 Critical および High の脆弱性情報の対象となる製品は次のとおりで
す。

- Cisco vBond Orchestrator Software
- Cisco vEdge 100 Series Routers
- Cisco vEdge 1000 Series Routers
- Cisco vEdge 2000 Series Routers
- Cisco vEdge 5000 Series Routers
- Cisco vEdge Cloud Router Platform
- Cisco vManage Network Management Software
- Cisco vSmart Controller Software
- Cisco DNA Center Software
- Cisco TelePresence Integrator C Series
- Cisco TelePresence EX Series
- Cisco TelePresence MX Series
- Cisco TelePresence SX Series
- Cisco Webex Room Series
- Cisco Virtualized Packet Core-Single Instance
- Cisco Virtualized Packet Core-Distributed Instance
- Cisco RV110W Wireless-N VPN Firewall
- Cisco RV130W Wireless-N Multifunction VPN Router
- Cisco RV215W Wireless-N VPN Router
- Cisco Prime Service Catalog Software
- Cisco Meeting Server

※上記製品以外にも、影響度 Medium の複数の脆弱性情報が公開されています。
これらの対象製品の情報は、Cisco が提供するアドバイザリ情報を参照してく
ださい。

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
したり、回避策を適用したりすることで解決します。詳細は、Cisco が提供す
る情報を参照してください。

関連文書 (英語)
Cisco Security Advisory
Cisco SD-WAN Solution Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190619-sdwan-privesca

Cisco Security Advisory
Cisco DNA Center Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190619-dnac-bypass

Cisco Security Advisory
Cisco TelePresence Endpoint Command Shell Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190619-tele-shell-inj

Cisco Security Advisory
Cisco StarOS Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190619-staros-asr-dos

Cisco Security Advisory
Cisco SD-WAN Solution Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190619-sdwan-privilescal

Cisco Security Advisory
Cisco SD-WAN Solution Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190619-sdwan-cmdinj

Cisco Security Advisory
Cisco RV110W, RV130W, and RV215W Routers Management Interface Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190619-rvrouters-dos

Cisco Security Advisory
Cisco Prime Service Catalog Cross-Site Request Forgery Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190619-psc-csrf

Cisco Security Advisory
Cisco Meeting Server CLI Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190619-cms-codex

【4】ISC BIND 9 にサービス運用妨害 (DoS) 攻撃の脆弱性

情報源
US-CERT Current Activity
ISC Releases BIND Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/06/19/ISC-Releases-BIND-Security-Updates

概要
ISC BIND 9 には、脆弱性があります。結果として、遠隔の第三者がサービス
運用妨害 (DoS) 攻撃を行う可能性があります。

対象となるバージョンは次のとおりです。

- BIND 9.11.0 から 9.11.7 までのバージョン
- BIND 9.12.0 から 9.12.4-P1 までのバージョン
- BIND 9.14.0 から 9.14.2 までのバージョン

この問題は、ISC BIND を ISC が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、ISC が提供する情報を参照してください。

関連文書 (日本語)
株式会社日本レジストリサービス (JPRS)
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2019-6471)- バージョンアップを推奨 -
https://jprs.jp/tech/security/2019-06-20-bind9-vuln-malformed-packets.html

JPCERT/CC CyberNewsFlash
ISC BIND 9 における脆弱性 (CVE-2019-6471) について
https://www.jpcert.or.jp/newsflash/2019062001.html

Japan Vulnerability Notes JVNVU#90363752
ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU90363752/

一般社団法人日本ネットワークインフォメーションセンター(JPNIC)
BIND 9における脆弱性について(2019年6月)
https://www.nic.ad.jp/ja/topics/2019/20190620-01.html

関連文書 (英語)
ISC advisory
CVE-2019-6471: A race condition when discarding malformed packets can cause BIND to exit with an assertion failure
https://kb.isc.org/docs/cve-2019-6471

【5】Apple AirPort に複数の脆弱性

情報源
US-CERT Current Activity
Apple Releases Security Updates for AirPort 802.11n Wi-Fi Base Stations
https://www.us-cert.gov/ncas/current-activity/2019/06/20/Apple-Releases-Security-Updates-AirPort-Express-Extreme-Time

概要
Apple AirPort (AirMac) には、複数の脆弱性があります。結果として、遠隔
の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ
たりするなどの可能性があります。

対象となるバージョンは次のとおりです。

- AirPort Base Station Firmware 7.8.1 より前のバージョン

この問題は、Apple AirPort (AirMac) を Apple が提供する修正済みのバージョ
ンに更新することで解決します。詳細は、Apple が提供する情報を参照してく
ださい。

関連文書 (英語)
Apple
About the security content of AirPort Base Station Firmware Update 7.8.1
https://support.apple.com/en-us/HT210091

【6】Apache Tomcat にサービス運用妨害 (DoS) 攻撃の脆弱性

情報源
US-CERT Current Activity
Apache Releases Security Advisory for Apache Tomcat
https://www.us-cert.gov/ncas/current-activity/2019/06/20/Apache-Releases-Security-Advisory-Apache-Tomcat

概要
Apache Tomcat には、脆弱性があります。結果として、遠隔の第三者がサービ
ス運用妨害 (DoS) 攻撃を行う可能性があります。

対象となるバージョンは次のとおりです。

- Apache Tomcat 9.0.0.M1 から 9.0.19 までのバージョン
- Apache Tomcat 8.5.0 から 8.5.40 までのバージョン

この問題は、Apache Tomcat を The Apache Software Foundation が提供する
修正済みのバージョンに更新することで解決します。詳細は、The Apache
Software Foundation が提供する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#99826833
Apache Tomcat におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU99826833/

関連文書 (英語)
The Apache Software Foundation
Fixed in Apache Tomcat 9.0.20
http://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.20

The Apache Software Foundation
Fixed in Apache Tomcat 8.5.41
http://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.41

The Apache Software Foundation
[SECURITY][CORRECTION] CVE-2019-10072 Apache Tomcat HTTP/2 DoS
http://mail-archives.us.apache.org/mod_mbox/www-announce/201906.mbox/%3Cca69531a-1592-be7b-60ce-729549c7f812%40apache.org%3E

【7】Linux カーネルおよび FreeBSD カーネルにサービス運用妨害 (DoS) 攻撃の脆弱性

情報源
CERT/CC Vulnerability Note VU#905115
Multiple TCP Selective Acknowledgement (SACK) and Maximum Segment Size (MSS) networking vulnerabilities may cause denial-of-service conditions in Linux and FreeBSD kernels
https://www.kb.cert.org/vuls/id/905115/

概要
Linux カーネルおよび FreeBSD カーネルには、脆弱性があります。結果とし
て遠隔の第三者が細工したパケットを送信することで、サービス運用妨害 (DoS)
攻撃を行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Linux カーネル 全てのバージョン
- RACK TCP スタックを有効にしている FreeBSD 12

この問題は、Linux カーネルおよび FreeBSD カーネルを各ベンダが提供する
修正済みのバージョンに更新することで解決します。詳細は、各ベンダが提供
する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#93800789
Linux および FreeBSD カーネルにおけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU93800789/

関連文書 (英語)
US-CERT Current Activity
Multiple Vulnerabilities Affecting Linux, FreeBSD Kernels
https://www.us-cert.gov/ncas/current-activity/2019/06/20/Multiple-Vulnerabilities-Affecting-Linux-FreeBSD-Kernels

【8】Android 版 Microsoft Outlook にスプーフィング攻撃が可能な脆弱性

情報源
US-CERT Current Activity
Microsoft Releases Outlook for Android Security Update
https://www.us-cert.gov/ncas/current-activity/2019/06/20/Microsoft-Releases-Outlook-Android-Security-Update

概要
Android 版 Microsoft Outlook には、スプーフィング攻撃が可能な脆弱性が
あります。結果として、遠隔の第三者が細工したメールを送信することで、メー
ルの受信者の security context 上でスクリプトを実行する可能性があります。

この問題は、Android 版 Microsoft Outlook を Microsoft が提供する修正済
みのバージョンに更新することで解決します。詳細は、Microsoft が提供する
情報を参照してください。

関連文書 (英語)
Microsoft
CVE-2019-1105 | Outlook for Android Spoofing Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1105

【9】Samba に複数の脆弱性

情報源
US-CERT Current Activity
Samba Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/06/19/Samba-Releases-Security-Updates

概要
Samba には、複数の脆弱性があります。結果として、遠隔の第三者がサービス
運用妨害 (DoS) 攻撃を行う可能性があります。

対象となるバージョンは次のとおりです。

- Samba 4.9.9 より前のバージョン
- Samba 4.10.5 より前のバージョン

この問題は、Samba を The Samba Team が提供する修正済みのバージョンに更
新することで解決します。詳細は、The Samba Team が提供する情報を参照し
てください。


関連文書 (英語)
The Samba Team
Samba AD DC Denial of Service in DNS management server (dnsserver)
https://www.samba.org/samba/security/CVE-2019-12435.html

The Samba Team
Samba AD DC LDAP server crash (paged searches)
https://www.samba.org/samba/security/CVE-2019-12436.html

【10】Dell SupportAssist に DLL 読み込みに関する脆弱性

情報源
US-CERT Current Activity
Dell Releases Security Advisory for Dell SupportAssist
https://www.us-cert.gov/ncas/current-activity/2019/06/21/Dell-Releases-Security-Advisory-Dell-SupportAssist

概要
Dell SupportAssist には、DLL 読み込みに関する脆弱性があります。結果と
して、第三者が任意のコードを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Dell SupportAssist for Business PCs バージョン 2.0
- Dell SupportAssist for Home PCs バージョン 3.2.1 およびそれ以前

この問題は、Dell SupportAssist を DELL が提供する修正済みのバージョン
に更新することで解決します。詳細は、DELL が提供する情報を参照してくだ
さい。


関連文書 (英語)
DELL
DSA-2019-084: Dell SupportAssist for Business PCs and Dell SupportAssist for Home PCs Security Update for PC Doctor Vulnerability
https://www.dell.com/support/article/us/en/04/sln317291/dsa-2019-084-dell-supportassist-for-business-pcs-and-dell-supportassist-for-home-pcs-security-update-for-pc-doctor-vulnerability

【11】VAIO Update に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#13555032
VAIO Update における複数の脆弱性
https://jvn.jp/jp/JVN13555032/

概要
ソニー株式会社が提供する VAIO Update には、複数の脆弱性があります。結
果として、第三者が任意の実行ファイルを管理者権限で実行するなどの可能性
があります。

対象となるバージョンは次のとおりです。

- VAIO Update 7.3.0.03150 およびそれ以前

この問題は、VAIO Update をソニー株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、ソニー株式会社が提供する情報を参照
してください。

関連文書 (日本語)
ソニー株式会社
VAIO Updateの脆弱性について
https://www.sony.jp/support/vaio/info2/20190620.html

【12】WordPress 用プラグイン Related YouTube Videos にクロスサイトリクエストフォージェリの脆弱性

情報源
Japan Vulnerability Notes JVN#31406910
WordPress 用プラグイン Related YouTube Videos におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN31406910/

概要
WordPress 用プラグイン Related YouTube Videos には、クロスサイトリクエ
ストフォージェリの脆弱性があります。結果として、遠隔の第三者が、細工し
たページにユーザをアクセスさせることにより、当該製品にログインしている
ユーザの権限で任意の操作を行う可能性があります。

対象となるバージョンは次のとおりです。

- Related YouTube Videos 1.9.9 より前のバージョン

この問題は、Related YouTube Videos を開発者が提供する修正済みのバージョ
ンに更新することで解決します。詳細は、開発者が提供する情報を参照してく
ださい。

関連文書 (英語)
Chris Doerr
Related YouTube Videos
https://wordpress.org/plugins/related-youtube-videos/

【13】WordPress 用プラグイン Personalized WooCommerce Cart Page にクロスサイトリクエストフォージェリの脆弱性

情報源
Japan Vulnerability Notes JVN#88804335
WordPress 用プラグイン Personalized WooCommerce Cart Page におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN88804335/

概要
WordPress 用プラグイン Personalized WooCommerce Cart Page には、クロス
サイトリクエストフォージェリの脆弱性があります。結果として、遠隔の第三
者が、細工したページにユーザをアクセスさせることにより、当該製品にログ
インしているユーザの権限で任意の操作を行う可能性があります。

対象となるバージョンは次のとおりです。

- Personalized WooCommerce Cart Page 2.4 およびそれ以前

この問題は、Personalized WooCommerce Cart Page を開発者が提供する修正
済みのバージョンに更新することで解決します。詳細は、開発者が提供する情
報を参照してください。

関連文書 (英語)
N-MEDIA
Personalized WooCommerce Cart Page
https://wordpress.org/plugins/personalize-woocommerce-cart-page/

【14】Weekly Reportや注意喚起等の配信用メールアドレス変更のお知らせ

情報源
JPCERT/CC
Weekly Reportや注意喚起等の配信用メールアドレス変更のお知らせ
https://www.jpcert.or.jp/pr/2019/pr190002.html

概要
JPCERT/CC では、2019年7月1日から Weekly Report や注意喚起の発行に用い
るメールアドレスを変更します。詳細は、情報源のお知らせを参照してくださ
い。

投稿時刻 10:01 セキュリティ | | コメント (0)

2019年6月19日 (水)

■06/09(日)~06/15(土) のセキュリティ関連情報

目 次 

【1】複数の Microsoft 製品に脆弱性
【2】複数の Adobe 製品に脆弱性
【3】複数の Mozilla 製品に脆弱性
【4】複数の Intel 製品に脆弱性
【5】Google Chrome に解放済みメモリ使用 (Use-after-free) の脆弱性
【6】Cisco IOS XE Software にクロスサイトリクエストフォージェリの脆弱性
【7】Exim に検証不備の脆弱性
【8】Apple iCloud for Windows に複数の脆弱性
【9】複数の WordPress 用プラグインに脆弱性
【10】Minecraft サーバ向けプラグイン Dynmap にアクセス制限不備の脆弱性
【今週のひとくちメモ】NICT がマルウエアに感染している IoT 機器の利用者に対する注意喚起を実施

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr192301.html
https://www.jpcert.or.jp/wr/2019/wr192301.xml
============================================================================


【1】複数の Microsoft 製品に脆弱性

情報源
US-CERT Current Activity
Microsoft Releases June 2019 Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/06/11/Microsoft-Releases-June-2019-Security-Updates

概要
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Microsoft Windows
- Internet Explorer
- Microsoft Edge
- Microsoft Office、Microsoft Office Services および Web Apps
- ChakraCore
- Skype for Business および Microsoft Lync
- Microsoft Exchange Server
- Azure

この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
とで解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)
マイクロソフト株式会社
2019 年 6 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/253dc509-9a5b-e911-a98e-000d3a33c573

JPCERT/CC 注意喚起
2019年 6月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2019/at190026.html

【2】複数の Adobe 製品に脆弱性

情報源
US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/06/11/Adobe-Releases-Security-Updates

概要
複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Adobe ColdFusion 2018 Update 3 およびそれ以前
- Adobe ColdFusion 2016 Update 10 およびそれ以前
- Adobe ColdFusion 11 Update 18 およびそれ以前
- Adobe Campaign Classic (19.1.1-9026) より前 (Windows および Linux)
- Adobe Flash Player Desktop Runtime (32.0.0.192) およびそれ以前 (Windows, macOS および Linux)
- Adobe Flash Player for Google Chrome (32.0.0.192) およびそれ以前 (Windows, macOS, Linux および Chrome OS)
- Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (32.0.0.192) およびそれ以前 (Windows 10 および Windows 8.1)

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)
Adobe
ColdFusion に関するセキュリティアップデート公開 | APSB19-27
https://helpx.adobe.com/jp/security/products/coldfusion/apsb19-27.html

Adobe
Adobe Flash Player に関するセキュリティ速報 | APSB19-30
https://helpx.adobe.com/jp/security/products/flash-player/apsb19-30.html

JPCERT/CC 注意喚起
Adobe Flash Player の脆弱性 (APSB19-30) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190025.html

JPCERT/CC CyberNewsFlash
複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2019061202.html

関連文書 (英語)
Adobe
Security Bulletin for Adobe Campaign | APSB19-28
https://helpx.adobe.com/security/products/campaign/apsb19-28.html

【3】複数の Mozilla 製品に脆弱性

情報源
US-CERT Current Activity
Mozilla Releases Security Update for Thunderbird
https://www.us-cert.gov/ncas/current-activity/2019/06/13/Mozilla-Releases-Security-Update-Thunderbird

Mozilla
Security vulnerabilities fixed in Firefox 67.0.2
https://www.mozilla.org/en-US/security/advisories/mfsa2019-16/

概要
複数の Mozilla 製品には、バッファオーバーフローの脆弱性があります。結
果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行うなどの可能性
があります。

対象となる製品およびバージョンは次のとおりです。

- Firefox 67.0.2 より前のバージョン (Windows)
- Thunderbird 60.7.1 より前のバージョン

この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更
新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ
い。

関連文書 (英語)
Mozilla
Security vulnerabilities fixed in Thunderbird 60.7.1
https://www.mozilla.org/en-US/security/advisories/mfsa2019-17/

【4】複数の Intel 製品に脆弱性

情報源
US-CERT Current Activity
Intel Releases Security Updates, Mitigations for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2019/06/11/Intel-Releases-Security-Updates-Mitigations-Multiple-Products

概要
複数の Intel 製品には、脆弱性があります。結果として、第三者が、サービ
ス運用妨害 (DoS) 攻撃を行ったり、権限昇格を行ったりするなどの可能性が
あります。

対象となる製品およびバージョンは、多岐に渡ります。詳細は、Intel が提供
するアドバイザリ情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#95572531
Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU95572531/

JPCERT/CC CyberNewsFlash
Intel 製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2019061201.html

関連文書 (英語)
Intel
INTEL-SA-00206 ITE Tech Consumer Infrared Driver for Windows 10 Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00206.html

Intel
INTEL-SA-00224 Intel Chipset Device Software (INF Update Utility) Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00224.html

Intel
INTEL-SA-00226 Intel Accelerated Storage Manager in Intel Rapid Storage Technology Enterprise Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00226.html

Intel
INTEL-SA-00232 Intel PROSet/Wireless WiFi Software Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00232.html

Intel
INTEL-SA-00235 Intel SGX for Linux Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00235.html

Intel
INTEL-SA-00243 Intel Turbo Boost Max Technology 3.0 Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00243.html

Intel
INTEL-SA-00247 Partial Physical Address Leakage Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00247.html

Intel
INTEL-SA-00248 Open Cloud Integrity Technology and OpenAttestation Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00248.html

Intel
INTEL-SA-00257 Intel Omni-Path Fabric Manager GUI Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00257.html

Intel
INTEL-SA-00259 Intel RAID Web Console 3 for Windows Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00259.html

Intel
INTEL-SA-00264 Intel NUC Firmware Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00264.html

【5】Google Chrome に解放済みメモリ使用 (Use-after-free) の脆弱性

情報源
US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2019/06/13/Google-Releases-Security-Updates-Chrome

概要
Google Chrome には、Blink における解放済みメモリ使用の脆弱性があります。
結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 75.0.3770.90 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2019/06/stable-channel-update-for-desktop_13.html

【6】Cisco IOS XE Software にクロスサイトリクエストフォージェリの脆弱性

情報源
US-CERT Current Activity
Cisco Releases Security Update for Cisco IOS XE
https://www.us-cert.gov/ncas/current-activity/2019/06/12/Cisco-Releases-Security-Update-Cisco-IOS-XE

概要
Cisco IOS XE Software には、クロスサイトリクエストフォージェリの脆弱性
があります。結果として、遠隔の第三者が、細工したページにユーザをアクセ
スさせることにより、当該製品にログインしているユーザの権限で任意の操作
を行う可能性があります。

対象となる製品は次のとおりです。

- Cisco IOS XE Software

この問題は、Cisco IOS XE Software を、Cisco が提供する修正済みのバージョン
に更新することで解決します。詳細は、Cisco が提供する情報を参照してくだ
さい。

関連文書 (英語)
Cisco Security Advisory
Cisco IOS XE Software Web UI Cross-Site Request Forgery Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190612-iosxe-csrf

【7】Exim に検証不備の脆弱性

情報源
US-CERT Current Activity
Exim Releases Security Patches
https://www.us-cert.gov/ncas/current-activity/2019/06/13/Exim-Releases-Security-Patches

概要
Exim には、検証不備の脆弱性があります。結果として、遠隔の第三者が任意
のコマンドを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Exim 4.87 から 4.91 までのバージョン

この問題は、Exim を開発者や配布元が提供する修正済みのバージョンに更新
することで解決します。詳細は、開発者や配布元が提供する情報を参照してく
ださい。

関連文書 (英語)
Exim
CVE-2019-10149 Exim 4.87 to 4.91
https://www.exim.org/static/doc/security/CVE-2019-10149.txt

【8】Apple iCloud for Windows に複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#95342995
Apple iCloud for Windows における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU95342995/

概要
Apple の iCloud for Windows には、複数の脆弱性があります。結果として、
遠隔の第三者が、任意のコード実行をしたり、権限昇格をしたりするなどの可
能性があります。

対象となるバージョンは次のとおりです。

- iCloud for Windows 10.4 より前のバージョン

この問題は、iCloud for Windows を Apple が提供する修正済みのバージョン
に更新することで解決します。詳細は、Apple が提供する情報を参照してくだ
さい。

関連文書 (英語)
Apple
About the security content of iCloud for Windows 10.4
https://support.apple.com/en-us/HT210212

【9】複数の WordPress 用プラグインに脆弱性

情報源
Japan Vulnerability Notes JVN#80925867
WordPress 用プラグイン Contest Gallery におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN80925867/

Japan Vulnerability Notes JVN#96988995
WordPress 用プラグイン Online Lesson Booking における複数の脆弱性
https://jvn.jp/jp/JVN96988995/

Japan Vulnerability Notes JVN#95685939
WordPress 用プラグイン Attendance Manager における複数の脆弱性
https://jvn.jp/jp/JVN95685939/

概要
複数の WordPress 用プラグインには、脆弱性があります。結果として、遠隔
の第三者が、細工したページにユーザをアクセスさせることで任意の操作を行っ
たり、管理者権限を持つユーザのウェブブラウザ上で、任意のスクリプトを実
行したりするなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Contest Gallery 10.4.5 より前のバージョン
- Online Lesson Booking 0.8.6 およびそれ以前のバージョン
- Attendance Manager 0.5.6 およびそれ以前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
SUKIMALAB.COM
OLB 0.8.7 Released [脆弱性の修正]
https://olbsys.com/fixed-vulnerability-issue/

SUKIMALAB.COM
Attendance Manager 0.5.7 Released [脆弱性の修正]
http://attmgr.com/fixed-vulnerability-issue/

関連文書 (英語)
Contest Gallery
Changelog
https://wordpress.org/plugins/contest-gallery/#developers

Online Lesson Booking
Changelog
https://wordpress.org/plugins/online-lesson-booking-system/#developers

Attendance Manager
Changelog
https://wordpress.org/plugins/attendance-manager/#developers

【10】Minecraft サーバ向けプラグイン Dynmap にアクセス制限不備の脆弱性

情報源
Japan Vulnerability Notes JVN#89046645
Minecraft サーバ向けプラグイン Dynmap におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN89046645/

概要
Minecraft サーバ向けプラグイン Dynmap には、アクセス制限不備の脆弱性が
あります。結果として、遠隔の第三者がログインなしには本来取得できない画
像を取得する可能性があります。

対象となるバージョンは次のとおりです。

- Dynmap v3.0-beta-3 およびそれ以前

この問題は、Minecraft サーバ向けプラグイン Dynmap を開発者が提供する修
正済みのバージョンに更新することで解決します。詳細は、開発者が提供する
情報を参照してください。

関連文書 (英語)
Webbukkit
Dynmap
https://github.com/webbukkit/dynmap

投稿時刻 10:36 セキュリティ | | コメント (0)

2019年6月12日 (水)

■06/02(日)~06/08(土) のセキュリティ関連情報

目 次 

【1】Google Chrome に複数の脆弱性
【2】複数の Cisco 製品に脆弱性
【3】複数の VMware 製品に脆弱性
【4】GROWI に複数の脆弱性
【5】Joruri CMS 2017 にクロスサイトスクリプティングの脆弱性
【6】Joruri Mail に複数の脆弱性
【今週のひとくちメモ】CSA ジャパンが「CSA Japan Summit 2019 講演資料」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr192201.html
https://www.jpcert.or.jp/wr/2019/wr192201.xml
============================================================================


【1】Google Chrome に複数の脆弱性

情報源
US-CERT Current Activity
Google Releases Security Update for Chrome
https://www.us-cert.gov/ncas/current-activity/2019/06/04/Google-Releases-Security-Update-Chrome

概要
Google Chrome には、解放済みメモリの使用などに関する脆弱性があります。

対象となるバージョンは次のとおりです。

- Chrome 75.0.3770.80 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2019/06/stable-channel-update-for-desktop.html

【2】複数の Cisco 製品に脆弱性

情報源
US-CERT Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2019/06/05/Cisco-Releases-Security-Updates-Multiple-Products

概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。

対象となる製品は次のとおりです。

- Cisco Industrial Network Director
- Cisco Unified Communications Manager IM&P Service
- Cisco TelePresence Video Communication Server
- Cisco Expressway Series software
- Cisco Webex Meetings Server
- UCS C125 M5 Rack Server Node
- UCS C220 M4 Rack Server
- UCS C220 M5 Rack Server
- UCS C240 M4 Rack Server
- UCS C240 M5 Rack Server
- UCS C460 M4 Rack Server
- UCS C480 M5 Rack Server
- SSH server 機能が有効になっている Cisco IOS XR Software
- Cisco Enterprise Chat and Email (ECE) Center

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Industrial Network Director Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190605-ind-rce

Cisco
Cisco Unified Communications Manager IM&P Service, Cisco TelePresence VCS, and Cisco Expressway Series Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190605-cucm-imp-dos

Cisco
Cisco TelePresence Video Communication Server and Cisco Expressway Series Server-Side Request Forgery Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190605-vcs

Cisco
Cisco Webex Meetings Server Information Disclosure Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190605-webexmeetings-id

Cisco
Cisco TelePresence Video Communication Server and Cisco Expressway Series Server-Side Request Forgery Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190605-vcs

Cisco
Cisco Webex Meetings Server Information Disclosure Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190605-webexmeetings-id

Cisco
Cisco Unified Computing System BIOS Signature Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190605-ucs-biossig-bypass

Cisco
Cisco IOS XR Software Secure Shell Authentication Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190605-iosxr-ssh

Cisco
Cisco Industrial Network Director Stored Cross-Site Scripting Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190605-ind-xss

Cisco
Cisco Industrial Network Director Cross-Site Request Forgery Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190605-ind-csrf

Cisco
Cisco Enterprise Chat and Email Cross-Site Scripting Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190605-ece-xss

【3】複数の VMware 製品に脆弱性

情報源
US-CERT Current Activity
VMware Releases Security Updates for Tools and Workstation
https://www.us-cert.gov/ncas/current-activity/2019/06/06/VMware-Releases-Security-Updates-Tools-and-Workstation

概要
複数の VMware 製品には、脆弱性があります。結果として、サービス運用妨害
(DoS) 攻撃を行うなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- VMware Tools for Windows 10.3.10 より前の 10 系のバージョン
- VMware Workstation Pro / Player for Linux 15.1.0 より前の 15 系のバージョン

この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新
することで解決します。詳細は、VMware が提供する情報を参照してください。

関連文書 (英語)
VMware Security Advisories
VMSA-2019-0009
https://www.vmware.com/security/advisories/VMSA-2019-0009.html

【4】GROWI に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#84876282
GROWI における複数の脆弱性
https://jvn.jp/jp/JVN84876282/

概要
株式会社WESEEK が提供する GROWI には、複数の脆弱性があります。結果とし
て、遠隔の第三者がユーザの意図しない操作をさせるなどの可能性があります。

対象となるバージョンは次のとおりです。

- GROWI v3.4.6 およびそれ以前

この問題は、GROWI を株式会社WESEEK が提供する修正済みのバージョンに更
新することで解決します。詳細は、株式会社WESEEK が提供する情報を参照し
てください。

関連文書 (日本語)
株式会社WESEEK
GROWI 脆弱性対応のお知らせ (JVN#84876282)
https://weseek.co.jp/security/2019/06/04/growi-fix-jvn84876282/

【5】Joruri CMS 2017 にクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#29188908
Joruri CMS 2017 におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN29188908/

概要
サイトブリッジ株式会社が提供する Joruri CMS 2017 には、クロスサイトス
クリプティングの脆弱性があります。結果として、遠隔の第三者がユーザのウェ
ブブラウザ上で任意のスクリプトを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Joruri CMS 2017 Release2 およびそれ以前

この問題は、Joruri CMS 2017 を サイトブリッジ株式会社が提供する修正済
みのバージョンに更新することで解決します。詳細は、サイトブリッジ株式会
社が提供する情報を参照してください。

関連文書 (日本語)
Joruri
[JVN#29188908]Joruri CMS 2017 におけるクロスサイト・スクリプティングの脆弱性
https://joruri.org/docs/2018060400058/

【6】Joruri Mail に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#58052567
Joruri Mail における複数の脆弱性
https://jvn.jp/jp/JVN58052567/

概要
サイトブリッジ株式会社が提供する Joruri Mail には、複数の脆弱性があり
ます。結果として、遠隔の第三者が情報を改ざんするなどの可能性があります。

対象となるバージョンは次のとおりです。

- Joruri Mail 2.1.4 およびそれ以前

この問題は、Joruri Mail をサイトブリッジ株式会社が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、サイトブリッジ株式会社が提供
する情報を参照してください。

関連文書 (日本語)
Joruri
[JVN#58052567]Joruri Mail における複数の脆弱性
https://joruri.org/docs/2018060400041/

投稿時刻 10:14 セキュリティ | | コメント (0)

2019年6月 5日 (水)

■05/26(日)~06/01(土) のセキュリティ関連情報

目 次 

【1】PHP に複数の脆弱性
【2】複数の Apple 製品に脆弱性
【3】WordPress 用プラグイン Zoho SalesIQ に複数の脆弱性
【4】Quest 製 KACEシステム管理アプライアンス (K1000) に複数の脆弱性
【今週のひとくちメモ】JPCERT/CC および IPA が「情報セキュリティ早期警戒パートナーシップガイドライン2019年版」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr192101.html
https://www.jpcert.or.jp/wr/2019/wr192101.xml
============================================================================


【1】PHP に複数の脆弱性

情報源
The PHP Group
PHP 7.3.6 Release Announcement
https://php.net/archive/2019.php#id2019-05-30-1

The PHP Group
PHP 7.2.19 Release Announcement
https://php.net/archive/2019.php#id2019-05-30-2

The PHP Group
PHP 7.1.30 Released
https://php.net/archive/2019.php#id2019-05-30-3

概要
PHP には、複数の脆弱性があります。結果として、第三者がサービス運用妨害
(DoS) 攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- PHP 7.3.6 より前のバージョン
- PHP 7.2.19 より前のバージョン
- PHP 7.1.30 より前のバージョン

この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ
さい。

関連文書 (英語)
The PHP Group
PHP 7 ChangeLog Version 7.3.6
https://www.php.net/ChangeLog-7.php#7.3.6

The PHP Group
PHP 7 ChangeLog Version 7.2.19
https://www.php.net/ChangeLog-7.php#7.2.19

The PHP Group
PHP 7 ChangeLog Version 7.1.30
https://www.php.net/ChangeLog-7.php#7.1.30

【2】複数の Apple 製品に脆弱性

情報源
US-CERT Current Activity
Apple Releases Security Updates for AirPort Extreme, AirPort Time Capsule
https://www.us-cert.gov/ncas/current-activity/2019/05/30/Apple-Releases-Security-Updates-AirPort-Extreme-AirPort-Time

Japan Vulnerability Notes JVNVU#98453159
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU98453159/

概要
複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- AirPort Base Station Firmware Update 7.9.1 より前のバージョン
- iTunes for Windows 12.9.5 より前のバージョン
- iCloud for Windows 7.12 より前のバージョン

この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新
することで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (日本語)
Apple
AirMac ベースステーション ファームウェア・アップデート 7.9.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210090

Apple
iTunes for Windows 12.9.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210124

Apple
Windows 用 iCloud 7.12 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210125

【3】WordPress 用プラグイン Zoho SalesIQ に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#88962935
WordPress 用プラグイン Zoho SalesIQ における複数の脆弱性
https://jvn.jp/jp/JVN88962935/

概要
WordPress 用プラグイン Zoho SalesIQ には、複数の脆弱性があります。結果
として、遠隔の第三者が、管理画面にログインしているユーザのウェブブラウ
ザ上で任意のスクリプトを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Zoho SalesIQ 1.0.8 およびそれ以前

この問題は、Zoho SalesIQ を開発者が提供する修正済みのバージョンに更新
することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
Zoho SalesIQ Team
Changelog
https://wordpress.org/plugins/zoho-salesiq/#developers

Zoho SalesIQ Team
SalesIQ
https://www.zoho.com/salesiq/

【4】Quest 製 KACEシステム管理アプライアンス (K1000) に複数の脆弱性

情報源
CERT/CC Vulnerability Note VU#877837
Multiple vulnerabilities in Quest Kace System Management Appliance
https://kb.cert.org/vuls/id/877837/

概要
Quest 製 KACEシステム管理アプライアンス (K1000) には、複数の脆弱性があ
ります。結果として、当該製品にアクセスできる第三者が、管理アカウントを
作成したり、製品の設定を変更したりするなどの可能性があります。

対象となるバージョンは次のとおりです。

- KACEシステム管理アプライアンス (K1000) Version 9.1.317 より前のバージョン

この問題は、Quest 製 KACEシステム管理アプライアンス (K1000) を Quest
が提供する修正済みのバージョンに更新することで解決します。詳細は、Quest
が提供する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#91210160
Quest 製 Kace システム管理アプライアンス (K1000) における複数の脆弱性
https://jvn.jp/vu/JVNVU91210160/

関連文書 (英語)
Quest Software Inc.
CERT Coordination Center report update (288310)
https://support.quest.com/kb/288310/cert-coordination-center-report-update

投稿時刻 10:13 セキュリティ | | コメント (0)