■08/18(日)~08/24(土) のセキュリティ関連情報
目 次
【1】複数の Cisco 製品に脆弱性
【2】Smart TV Box にアクセス制限不備の脆弱性
【3】Webmin に任意のコマンドが実行可能な脆弱性
【4】VLC media player に複数の脆弱性
【5】複数の Palo Alto Networks 製品に脆弱性
【6】NSD にバッファオーバーフローの脆弱性
【今週のひとくちメモ】Webmin の脆弱性を標的としたアクセスの観測について
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr193301.html
https://www.jpcert.or.jp/wr/2019/wr193301.xml
============================================================================
【1】複数の Cisco 製品に脆弱性
情報源
US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/08/22/cisco-releases-security-updates
概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
認証を回避したり、管理者権限で任意の操作を実行したりなどの可能性があり
ます。
影響度 Critical の脆弱性情報の対象となる製品は次のとおりです。
- Cisco Integrated Management Controller (IMC) Supervisor
- Cisco UCS Director
- Cisco UCS Director Express for Big Data
※上記製品以外にも、影響度 High や Medium の複数の脆弱性情報が公開され
ています。これらの対象製品の情報は、Cisco が提供するアドバイザリ情報を
参照してください。
この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。
関連文書 (英語)
Cisco Security Advisory
Cisco Integrated Management Controller Supervisor, Cisco UCS Director, and Cisco UCS Director Express for Big Data Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190821-imcs-ucs-authby
Cisco Security Advisory
Cisco IMC Supervisor, Cisco UCS Director, and Cisco UCS Director Express for Big Data Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190821-imcs-ucs-authbypass
Cisco Security Advisory
Cisco Integrated Management Controller Supervisor, Cisco UCS Director, and Cisco UCS Director Express for Big Data SCP User Default Credentials Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190821-imcs-usercred
Cisco Security Advisory
Cisco UCS Director and Cisco UCS Director Express for Big Data API Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190821-ucsd-authbypass
Cisco Security Advisory
Cisco Security Advisories and Alerts
https://tools.cisco.com/security/center/publicationListing.x
【2】Smart TV Box にアクセス制限不備の脆弱性
情報源
Japan Vulnerability Notes JVN#17127920
Smart TV Box におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN17127920/
概要
Smart TV Box には、アクセス制限不備の脆弱性があります。結果として、遠
隔の第三者が、ユーザが意図しないソフトウェアをインストールしたり、当該
製品の設定を変更したりする可能性があります。
対象となるバージョンは次のとおりです。
- Smart TV Box ファームウェア バージョン 1300 より前のバージョン
この問題は、Smart TV Box を開発者が提供する修正済みのバージョンに更新
することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
KDDI株式会社
[お知らせ] Smart TV Box ソフトウェア更新のお知らせ
https://news.kddi.com/kddi/cable-service/smart-tv-box/201902273642.html
【3】Webmin に任意のコマンドが実行可能な脆弱性
情報源
Webmin
Webmin 1.882 to 1.921 - Remote Command Execution (CVE-2019-15231)
http://www.webmin.com/security.html
概要
Webmin には、脆弱性があります。結果として、遠隔の第三者が任意のコマン
ドを実行する可能性があります。
対象となるバージョンは次のとおりです。
- Webmin 1.882 から 1.921 のバージョン
この問題は、Webmin を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (英語)
Webmin
Webmin 1.890 Exploit - What Happened?
http://www.webmin.com/exploit.html
【4】VLC media player に複数の脆弱性
情報源
Video LAN
Security Bulletin VLC 3.0.8
https://www.videolan.org/security/sb-vlc308.html
概要
Video LAN が提供する VLC media player には、複数の脆弱性があります。結
果として、遠隔の第三者が、任意のコードを実行したり、サービス運用妨害
(DoS) 攻撃を行ったりするなどの可能性があります。
対象となるバージョンは次のとおりです。
- VLC media player 3.0.7.1 およびそれ以前のバージョン
この問題は、VLC media player を Video LAN が提供する修正済みのバージョン
に更新することで解決します。詳細は、Video LAN が提供する情報を参照して
ください。
【5】複数の Palo Alto Networks 製品に脆弱性
情報源
Palo Alto Networks
Mitigation Bypass in PAN-OS (PAN-SA-2019-0022)
https://securityadvisories.paloaltonetworks.com/Home/Detail/160
Palo Alto Networks
Memory Corruption in PAN-OS (PAN-SA-2019-0021)
https://securityadvisories.paloaltonetworks.com/Home/Detail/159
概要
Palo Alto Networks が提供する複数の製品には、脆弱性があります。結果と
して、遠隔の第三者が任意のコードを実行するなどの可能性があります。
影響度 Critical の脆弱性情報の対象となる製品およびバージョンは次のとお
りです。
- PAN-OS 9.0.3 およびそれ以前のバージョン
- PAN-OS 8.1.9 およびそれ以前のバージョン
- PAN-OS 8.0.19 およびそれ以前のバージョン
- PAN-OS 7.1.24 およびそれ以前のバージョン
※上記製品以外にも、影響度 High や Low の複数の脆弱性情報が公開されて
います。これらの対象製品の情報は、Palo Alto Networks が提供するアドバ
イザリ情報を参照してください。
この問題は、該当する製品を Palo Alto Networks が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、Palo Alto Networks が提供す
る情報を参照してください。
関連文書 (英語)
Palo Alto Networks
Escalation of Privilege in Twistlock (PAN-SA-2019-0024)
https://securityadvisories.paloaltonetworks.com/Home/Detail/162
Palo Alto Networks
Memory Corruption in PAN-OS (PAN-SA-2019-0023)
https://securityadvisories.paloaltonetworks.com/Home/Detail/161
【6】NSD にバッファオーバーフローの脆弱性
情報源
NLnet Labs
NSD 4.2.2 released
https://nlnetlabs.nl/news/2019/Aug/19/nsd-4.2.2-released/
概要
NLnet Labs が提供する NSD には、バッファオーバーフローの脆弱性がありま
す。結果として、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行ったり、
情報を窃取したりするなどの可能性があります。
対象となるバージョンは次のとおりです。
- NSD 4.2.0
この問題は、使用している OS のベンダや NLnet Labs が提供する修正済みの
バージョンに更新することで解決します。詳細は、NLnet Labs が提供する情
報を参照してください。
関連文書 (日本語)
株式会社日本レジストリサービス(JPRS)
NSDの脆弱性情報が公開されました(CVE-2019-13207)
https://jprs.jp/tech/security/2019-08-22-nsd.html
関連文書 (英語)
CVE
CVE-2019-13207
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-13207
コメント