■07/07(日)~07/13(土) のセキュリティ関連情報
目 次
【1】複数の Microsoft 製品に脆弱性
【2】複数の Mozilla 製品に脆弱性
【3】複数の Intel 製品に脆弱性
【4】複数の Adobe 製品に脆弱性
【5】複数の Cisco 製品に脆弱性
【6】複数の Juniper 製品に脆弱性
【7】Jira Server および Data Center にサーバサイドテンプレートインジェクションの脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr192701.html
https://www.jpcert.or.jp/wr/2019/wr192701.xml
============================================================================
【1】複数の Microsoft 製品に脆弱性
情報源
US-CERT Current Activity
Microsoft Releases July 2019 Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/07/09/microsoft-releases-july-2019-security-updates
概要
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。
対象となる製品は次のとおりです。
- Microsoft Windows
- Internet Explorer
- Microsoft Edge
- Microsoft Office、Microsoft Office Services および Web Apps
- Azure DevOps
- オープン ソース ソフトウェア
- .NET Framework
- Azure
- SQL Server
- ASP.NET
- Visual Studio
- Microsoft Exchange Server
この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
とで解決します。詳細は、Microsoft が提供する情報を参照してください。
関連文書 (日本語)
マイクロソフト株式会社
2019 年 7 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/48293f19-d662-e911-a98e-000d3a33c573
JPCERT/CC 注意喚起
2019年 7月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2019/at190029.html
【2】複数の Mozilla 製品に脆弱性
情報源
US-CERT Current Activity
Mozilla Releases Security Updates for Firefox and Firefox ESR
https://www.us-cert.gov/ncas/current-activity/2019/07/09/mozilla-releases-security-updates-firefox-and-firefox-esr
Mozilla
Security vulnerabilities fixed in Thunderbird 60.8
https://www.mozilla.org/en-US/security/advisories/mfsa2019-23/
概要
複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Firefox 68 より前のバージョン
- Firefox ESR 60.8 より前のバージョン
- Thunderbird 60.8 より前のバージョン
この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更
新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ
い。
関連文書 (英語)
Mozilla
Security vulnerabilities fixed in Firefox 68
https://www.mozilla.org/en-US/security/advisories/mfsa2019-21/
Mozilla
Security vulnerabilities fixed in Firefox ESR 60.8
https://www.mozilla.org/en-US/security/advisories/mfsa2019-22/
【3】複数の Intel 製品に脆弱性
情報源
Japan Vulnerability Notes JVNVU#90203478
Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU90203478
US-CERT Current Activity
Intel Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/07/09/intel-releases-security-updates
概要
複数の Intel 製品には、脆弱性があります。結果として、第三者が、サービ
ス運用妨害 (DoS) 攻撃を行ったり、権限昇格を行ったりするなどの可能性が
あります。
対象となる製品およびバージョンは次のとおりです。
- Intel SSD DC S4500 Series firmware SCV10150 より前のバージョン
- Intel SSD DC S4600 Series firmware SCV10150 より前のバージョン
- Intel Processor Diagnostic Tool for 32-bit 4.1.2.24 より前のバージョン
- Intel Processor Diagnostic Tool for 64-bit 4.1.2.24 より前のバージョン
この問題は、該当する製品を Intel が提供する修正済みのバージョンに更新
することで解決します。詳細は、Intel が提供する情報を参照してください。
関連文書 (英語)
Intel
Intel SSD DC S4500/S4600 Series Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00267.html
Intel
Intel Processor Diagnostic Tool Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00268.html
【4】複数の Adobe 製品に脆弱性
情報源
US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/07/09/adobe-releases-security-updates
概要
複数の Adobe 製品には、脆弱性があります。結果として、第三者が情報を窃
取するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Adobe Bridge CC 9.0.2 およびそれ以前のバージョン (Windows, macOS)
- Adobe Experience Manager 6.4, 6.3, 6.2, 6.1, 6.0
- Adobe Dreamweaver 直接ダウンロードインストーラー 18.0 およびそれ以前のバージョン (Windows)
- Adobe Dreamweaver 直接ダウンロードインストーラー 19.0 およびそれ以前のバージョン (Windows)
なお、既にコアサポート期間が終了している Adobe Experience Manager 6.2、
6.1、6.0 も本脆弱性の影響を受けるとのことです。該当のバージョンを使用
している場合は、サポート対象のバージョンをご使用ください。
この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
するか、最新のインストーラを使用することで解決します。詳細は、Adobe が
提供する情報を参照してください。
関連文書 (日本語)
Adobe
Adobe Bridge CC に関するセキュリティアップデート公開 | APSB19-37
https://helpx.adobe.com/jp/security/products/bridge/apsb19-37.html
Adobe
Adobe Experience Manager に関するセキュリティアップデート公開 | APSB19-38
https://helpx.adobe.com/jp/security/products/experience-manager/apsb19-38.html
Adobe
Adobe Dreamweaver に関するセキュリティアップデート公開 | APSB19-40
https://helpx.adobe.com/jp/security/products/dreamweaver/apsb19-40.html
【5】複数の Cisco 製品に脆弱性
情報源
US-CERT Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2019/07/10/cisco-releases-security-updates-multiple-products
概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害 (DoS) 攻撃を行う可能性があります。
対象となる製品は次のとおりです。
- ASA 5506-X
- ASA 5506-X with FirePOWER Services
- ASA 5506H-X
- ASA 5506H-X with FirePOWER Services
- ASA 5506W-X
- ASA 5506W-X with FirePOWER Services
- ASA 5508-X
- ASA 5508-X with FirePOWER Services
- ASA 5516-X
- ASA 5516-X with FirePOWER Services
※ 本脆弱性は、対象となる製品で、Cisco Adaptive Security Appliance
Software または Cisco Firepower Threat Defense Software が稼働している
場合に、影響を受けるとのことです。
この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。
関連文書 (英語)
Cisco Security Advisory
Cisco ASA and FTD Software Cryptographic TLS and SSL Driver Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190710-asa-ftd-dos
【6】複数の Juniper 製品に脆弱性
情報源
US-CERT Current Activity
Juniper Networks Releases Multiple Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/07/10/juniper-networks-releases-multiple-security-updates
概要
複数の Juniper 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。
対象となる製品は次のとおりです。
- Junos OS
- Junos Space
- Juniper Secure Analytics (JSA) Series
- Steel Belted Radius Carrier Edition
この問題は、該当する製品を Juniper が提供する修正済みのバージョンに更
新することで解決します。詳細は、Juniper が提供する情報を参照してくださ
い。
関連文書 (英語)
Juniper Networks
Security Advisories
https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES
Juniper Networks
2019-07 Security Bulletin: Junos OS: EX4300 Series: Denial of Service upon receipt of large number of specific valid packets on management interface. (CVE-2019-0046)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10938
Juniper Networks
2019-07 Security Bulletin: Steel Belted Radius Carrier Edition: Multiple Vulnerabilities in NSPR, NSS and Bouncy Castle
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10939
Juniper Networks
2019-07 Security Bulletin: Junos OS: Multiple Vulnerabilities in OpenSSH
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10940
Juniper Networks
2019-07 Security Bulletin: EX4300 Series: When a firewall filter is applied to a loopback interface, other firewall filters for multicast traffic may fail (CVE-2019-0048)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10942
Juniper Networks
2019-07 Security Bulletin: Junos OS: RPD process crashes when BGP peer restarts (CVE-2019-0049)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10943
Juniper Networks
2019-07 Security Bulletin: SRX Series: srxpfe process crash while JSF/UTM module parses specific HTTP packets (CVE-2019-0052)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10946
Juniper Networks
2019-07 Security Bulletin: Junos OS: Insufficient validation of environment variables in telnet client may lead to stack-based buffer overflow (CVE-2019-0053)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10947
Juniper Networks
2019-07 Security Bulletin: Junos OS: J-Web Denial of Service due to multiple vulnerabilities in Embedthis Appweb Server
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10948
Juniper Networks
2019-07 Security Bulletin: Junos OS: OpenSSL Security Advisory [26 Feb 2019]
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10949
Juniper Networks
2019-07 Security Bulletin: Juniper Secure Analytics (JSA): Multiple vulnerabilities resolved in JSA 7.3.2 Patch 1
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10950
Juniper Networks
2019-07 Security Bulletin: Junos Space: Multiple vulnerabilities resolved in 19.2R1 release
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10951
【7】Jira Server および Data Center にサーバサイドテンプレートインジェクションの脆弱性
情報源
US-CERT Current Activity
Atlassian Releases Security Updates for Jira
https://www.us-cert.gov/ncas/current-activity/2019/07/11/atlassian-releases-security-updates-jira
概要
Jira Server および Data Center には、サーバサイドテンプレートインジェ
クションの脆弱性があります。結果として、遠隔の第三者が任意のコードを実
行する可能性があります。
対象となる製品およびバージョンは次のとおりです。
- 次のバージョンの Jira Server および Data Center
- 4.4 系
- 5 系
- 6 系
- 7.0 系
- 7.1 系
- 7.2 系
- 7.3 系
- 7.4 系
- 7.5 系
- 7.6 系の内、7.6.14 より前のバージョン
- 7.7 系
- 7.8 系
- 7.9 系
- 7.10 系
- 7.11 系
- 7.12 系
- 7.13 系の内、7.13.5 より前のバージョン
- 8.0 系の内、8.0.3 より前のバージョン
- 8.1 系の内、8.1.2 より前のバージョン
- 8.2 系の内、8.2.3 より前のバージョン
この問題は、該当する製品を Atlassian が提供する修正済みのバージョンに
更新することで解決します。詳細は、Atlassian が提供する情報を参照してく
ださい。
関連文書 (英語)
Atlassian
JIRA Security Advisory 2019-07-10
https://confluence.atlassian.com/jira/jira-security-advisory-2019-07-10-973486595.html
コメント