ミニ・いんふぉめーしょん

目 次 

【1】複数の Cisco 製品に脆弱性
【2】Google Chrome に解放済みメモリ使用 (Use-after-free) の脆弱性
【3】複数の Apple 製品に脆弱性
【4】Ruby にクロスサイトスクリプティングの脆弱性
【5】サイボウズ Garoon に SQL インジェクションの脆弱性
【今週のひとくちメモ】IPA がコンピュータウイルス・不正アクセスの届出事例［2019年上半期（1月～6月）］を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr193401.html
https://www.jpcert.or.jp/wr/2019/wr193401.xml
============================================================================

【1】複数の Cisco 製品に脆弱性

情報源
US-CERT Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2019/08/29/cisco-releases-security-updates-multiple-products

概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
認証を回避したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能
性があります。

影響度 Critical および High の脆弱性情報の対象となる製品は次のとおりで
す。

- Cisco 4000 Series Integrated Services Routers
- Cisco ASR 1000 Series Aggregation Services Routers
- Cisco Cloud Services Router 1000V Series
- Cisco Integrated Services Virtual Router
- Firepower 4100 Series
- Firepower 9300 Security Appliances
- MDS 9000 Series Multilayer Switches
- Nexus 1000 Virtual Edge for VMware vSphere
- Nexus 1000V Switch for Microsoft Hyper-V
- Nexus 1000V Switch for VMware vSphere
- Nexus 3000 Series Switches
- Nexus 3500 Platform Switches
- Nexus 3600 Platform Switches
- Nexus 5500 Platform Switches
- Nexus 5600 Platform Switches
- Nexus 6000 Series Switches
- Nexus 7000 Series Switches
- Nexus 7700 Series Switches
- Nexus 9000 Series Fabric Switches in Application Centric Infrastructure (ACI) mode
- Nexus 9000 Series Switches in standalone NX-OS mode
- Nexus 9500 R-Series Switching Platform
- UCS 6200 Series Fabric Interconnects
- UCS 6300 Series Fabric Interconnects
- UCS 6400 Series Fabric Interconnects

※上記製品以外にも、影響度 Medium の複数の脆弱性情報が公開されています。
これらの対象製品の情報は、Cisco が提供するアドバイザリ情報を参照してく
ださい。

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)
Cisco Security Advisory
Cisco REST API Container for IOS XE Software Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190828-iosxe-rest-auth-bypass

Cisco Security Advisory
Cisco NX-OS Software Cisco Fabric Services over IP Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190828-nxos-fsip-dos

Cisco Security Advisory
Cisco FXOS and NX-OS Software Authenticated Simple Network Management Protocol Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190828-fxnxos-snmp-dos

Cisco Security Advisory
Cisco NX-OS Software IPv6 Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190828-nxos-ipv6-dos

Cisco Security Advisory
Cisco NX-OS Software Remote Management Memory Leak Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190828-nxos-memleak-dos

Cisco Security Advisory
Cisco Unified Computing System Fabric Interconnect root Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190828-ucs-privescalation

【2】Google Chrome に解放済みメモリ使用 (Use-after-free) の脆弱性

情報源
US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2019/08/27/google-releases-security-updates-chrome

概要
Google Chrome が使用しているレンダリングエンジン Blink には、解放済み
メモリ使用の脆弱性があります。結果として、遠隔の第三者が任意のコードを
実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 76.0.3809.132 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2019/08/stable-channel-update-for-desktop_26.html

【3】複数の Apple 製品に脆弱性

情報源
US-CERT Current Activity
Apple Releases Multiple Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/08/27/apple-releases-multiple-security-updates

Japan Vulnerability Notes JVNVU#90057210
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU90057210/

概要
複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- macOS Mojave 10.14.6 (ビルド番号 18G95) より前のバージョン
- iOS 12.4.1 より前のバージョン
- tvOS 12.4.1 より前のバージョン

この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新
することで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (日本語)
Apple
macOS Mojave 10.14.6 追加アップデートのセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210548

Apple
iOS 12.4.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210549

Apple
tvOS 12.4.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210550

【4】Ruby にクロスサイトスクリプティングの脆弱性

情報源
Ruby
RDoc における jQuery の脆弱性について
https://www.ruby-lang.org/ja/news/2019/08/28/multiple-jquery-vulnerabilities-in-rdoc/

概要
Ruby にバンドルされているドキュメント生成ツール RDoc には、クロスサイ
トスクリプティングの脆弱性があります。結果として、遠隔の第三者がユーザ
のブラウザ上で任意のスクリプトを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Ruby 2.6.3 およびそれ以前の Ruby 2.6 系のバージョン
- Ruby 2.5.5 およびそれ以前の Ruby 2.5 系のバージョン
- Ruby 2.4.6 およびそれ以前の Ruby 2.4 系のバージョン

※すでにサポートが終了している Ruby 2.3 系のバージョンも、影響を受ける
とのことです。

この問題は、該当する製品を Ruby が提供する修正済みのバージョンに更新す
るか、RDoc を更新することで解決します。また、RDoc で生成したドキュメン
トについては、修正済みの RDoc で生成し直してください。詳細は、Ruby が
提供する情報を参照してください。

関連文書 (日本語)
Ruby
Ruby 2.6.4 リリース
https://www.ruby-lang.org/ja/news/2019/08/28/ruby-2-6-4-released/

Ruby
Ruby 2.5.6 リリース
https://www.ruby-lang.org/ja/news/2019/08/28/ruby-2-5-6-released/

Ruby
Ruby 2.4.7 リリース
https://www.ruby-lang.org/ja/news/2019/08/28/ruby-2-4-7-released/

【5】サイボウズ Garoon に SQL インジェクションの脆弱性

情報源
Japan Vulnerability Notes JVN#71877187
サイボウズ Garoon における SQL インジェクションの脆弱性
https://jvn.jp/jp/JVN71877187/

概要
サイボウズ Garoon には、SQL インジェクションの脆弱性があります。結果と
して、当該製品にログイン可能な遠隔の第三者が、データベース内の情報を取
得したり、改ざんしたりする可能性があります。

対象となるバージョンは次のとおりです。

- サイボウズ Garoon 4.0.0 から 4.10.3 までのバージョン

この問題は、サイボウズ Garoon をサイボウズ株式会社が提供する修正済みの
バージョンに更新することで解決します。詳細は、サイボウズ株式会社が提供
する情報を参照してください。

関連文書 (日本語)
サイボウズ株式会社
[CyVDB-2189]ポータルに関するSQLインジェクションの脆弱性
https://kb.cybozu.support/article/35975/