ミニ・いんふぉめーしょん

目 次 

【1】複数の Microsoft 製品に脆弱性
【2】複数の Adobe 製品に脆弱性
【3】Google Chrome に複数の脆弱性
【4】Mozilla Thunderbird に複数の脆弱性
【5】複数の Intel 製品に脆弱性
【6】ウイルスバスター コーポレートエディションおよびウイルスバスター ビジネスセキュリティにディレクトリトラバーサルの脆弱性
【7】SHIRASAGI にオープンリダイレクトの脆弱性
【8】OpenSSL に複数の脆弱性
【9】apng-drawable に整数オーバーフローの脆弱性
【10】複数のリコー製プリンタおよび複合機にバッファオーバーフローの脆弱性
【11】Wireshark にリソースの枯渇に関する脆弱性
【12】GitLab Enterprise Edition にアクセス制限不備の脆弱性
【今週のひとくちメモ】「フィッシング対策セミナー 2019」開催のお知らせ

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr193601.html
https://www.jpcert.or.jp/wr/2019/wr193601.xml
============================================================================

【1】複数の Microsoft 製品に脆弱性

情報源
US-CERT Current Activity
Microsoft Releases September 2019 Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/09/10/microsoft-releases-september-2019-security-updates

概要
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Microsoft Windows
- Internet Explorer
- Microsoft Edge (EdgeHTML ベース)
- ChakraCore
- Microsoft Office、Microsoft Office Services および Web Apps
- Microsoft Lync
- Visual Studio
- Microsoft Exchange Server
- .NET Framework
- Microsoft Yammer
- .NET Core
- ASP.NET
- Team Foundation Server
- Project Rome

この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
とで解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)
マイクロソフト株式会社
2019 年 9 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/24f46f0a-489c-e911-a994-000d3a33c573

JPCERT/CC
2019年 9月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2019/at190036.html

【2】複数の Adobe 製品に脆弱性

情報源
US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/09/10/adobe-releases-security-updates

概要
複数の Adobe 製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Adobe Flash Player Desktop Runtime (32.0.0.238) およびそれ以前 (Windows, macOS および Linux)
- Adobe Flash Player for Google Chrome (32.0.0.238) およびそれ以前 (Windows, macOS, Linux および Chrome OS)
- Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (32.0.0.207) およびそれ以前 (Windows 10 および Windows 8.1)
- Adobe Application Manager (インストーラー) バージョン 10.0 (Windows)

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC
Adobe Flash Player の脆弱性 (APSB19-46) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190035.html

JPCERT/CC
Adobe Application Manager のインストーラに関するセキュリティアップデート (APSB19-45) について
https://www.jpcert.or.jp/newsflash/2019091101.html

Adobe
Adobe Application Manager に関するセキュリティアップデート公開 | APSB19-45
https://helpx.adobe.com/jp/security/products/application_manager/apsb19-45.html

Adobe
Adobe Flash Player に関するセキュリティ速報 | APSB19-46
https://helpx.adobe.com/jp/security/products/flash-player/apsb19-46.html

【3】Google Chrome に複数の脆弱性

情報源
US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2019/09/10/google-releases-security-updates-chrome

概要
Google Chrome には、複数の脆弱性があります。結果として、第三者が任意の
コードを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Chrome 77.0.3865.75 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2019/09/stable-channel-update-for-desktop.html

【4】Mozilla Thunderbird に複数の脆弱性

情報源
Mozilla
Security vulnerabilities fixed in - Thunderbird 60.9
https://www.mozilla.org/en-US/security/advisories/mfsa2019-29/

Mozilla
Security vulnerabilities fixed in - Thunderbird 68.1
https://www.mozilla.org/en-US/security/advisories/mfsa2019-30/

概要
Mozilla Thunderbird には、複数の脆弱性があります。結果として、第三者が
任意のコードを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Mozilla Thunderbird 60.9 より前のバージョン
- Mozilla Thunderbird 68.1 より前のバージョン

この問題は、Mozilla Thunderbird を Mozilla が提供する修正済みのバージョン
に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく
ださい。

【5】複数の Intel 製品に脆弱性

情報源
US-CERT Current Activity
Intel Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/09/10/intel-releases-security-updates

概要
複数の Intel 製品には、脆弱性があります。結果として、第三者が権限を昇
格するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Intel Easy Streaming Wizard 2.1.0731 より前のバージョン (INTEL-SA-00285)
- DDIO ならびに RDMA をサポートしている Intel Xeon E5, E7 およびスケーラブル・プロセッサー・ファミリー (INTEL-SA-00290)

この問題の内、INTEL-SA-00285 については、Intel Easy Streaming Wizard
を Intel が提供する修正済みのバージョンに更新することで解決します。
INTEL-SA-00290 については、Intel が提供する情報を参考に回避策の適用を
検討してください。詳細は、Intel が提供する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#93614443
Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU93614443/

JPCERT/CC
Intel 製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2019091102.html

関連文書 (英語)
Intel
INTEL-SA-00285: Intel Easy Streaming Wizard Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00285.html

Intel
INTEL-SA-00290: Partial Information Disclosure Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00290.html

【6】ウイルスバスター コーポレートエディションおよびウイルスバスター ビジネスセキュリティにディレクトリトラバーサルの脆弱性

情報源
Japan Vulnerability Notes JVNVU#94051551
ウイルスバスター コーポレートエディションおよびウイルスバスター ビジネスセキュリティにおけるディレクトリトラバーサルの脆弱性
https://jvn.jp/vu/JVNVU94051551/

概要
ウイルスバスター コーポレートエディションおよびウイルスバスター ビジネ
スセキュリティには、ディレクトリトラバーサルの脆弱性があります。結果と
して、遠隔の第三者が、当該製品が稼働するサーバ上の任意のファイルを変更
する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- ウイルスバスター コーポレートエディション XG SP1、XG および 11.0 SP1
- ウイルスバスター ビジネスセキュリティ 10.0、9.5 および 9.0

この問題は、該当する製品にトレンドマイクロ株式会社が提供するパッチを適
用することで解決します。詳細は、トレンドマイクロ株式会社が提供する情報
を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ : ウイルスバスター コーポレートエディションとウイルスバスター ビジネスセキュリティのディレクトリトラバーサルの脆弱性（CVE-2019-9489）について
https://success.trendmicro.com/jp/solution/1122253

トレンドマイクロ株式会社
【注意喚起】弊社製品の脆弱性(CVE-2019-9489)を悪用した攻撃を複数確認したことによる最新修正プログラム適用のお願い
https://appweb.trendmicro.com/SupportNews/NewsDetail.aspx?id=3545

JPCERT/CC
ウイルスバスター コーポレートエディションの脆弱性 (CVE-2019-9489) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190034.html

【7】SHIRASAGI にオープンリダイレクトの脆弱性

情報源
Japan Vulnerability Notes JVN#74699196
SHIRASAGI におけるオープンリダイレクトの脆弱性
https://jvn.jp/jp/JVN74699196/

概要
SHIRASAGI には、オープンリダイレクトの脆弱性があります。結果として、遠
隔の第三者が細工した URL にユーザをアクセスさせることで、任意のウェブ
サイトにリダイレクトさせる可能性があります。

対象となるバージョンは次のとおりです。

- SHIRASAGI v1.7.0 およびそれ以前

この問題は、SHIRASAGI を開発者が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
SHIRASAGI
JVN#74699196 SHIRASAGI におけるオープンリダイレクトの脆弱性
https://www.ss-proj.org/support/737.html

GitHub
shirasagi/shirasagi
https://github.com/shirasagi/shirasagi

【8】OpenSSL に複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#94367039
OpenSSL に複数の脆弱性
https://jvn.jp/vu/JVNVU94367039/

概要
OpenSSL には、複数の脆弱性があります。結果として、第三者が機微な情報を
取得するなどの可能性があります。

対象となるバージョンは次のとおりです。

- OpenSSL 1.0.2t より前の 1.0.2 系のバージョン
- OpenSSL 1.1.0l より前の 1.1.0 系のバージョン
- OpenSSL 1.1.1d より前の 1.1.1 系のバージョン

なお、OpenSSL Project によると、OpenSSL 1.0.2 系のサポートは 2019年
12月31日に終了し、OpenSSL 1.1.0 系のサポートは 2019年9月11日に終了して
いるとのことです。OpenSSL 1.0.2 系か 1.1.0 系を使用している場合は、
1.1.1 系にアップグレードすることが推奨されています。

この問題は、OpenSSL を OpenSSL Project が提供する修正済みのバージョン
に更新することで解決します。詳細は、OpenSSL Project が提供する情報を参
照してください。

関連文書 (英語)
OpenSSL Project
OpenSSL Security Advisory [10 September 2019]
https://www.openssl.org/news/secadv/20190910.txt

【9】apng-drawable に整数オーバーフローの脆弱性

情報源
Japan Vulnerability Notes JVN#39383894
apng-drawable における整数オーバーフローの脆弱性
https://jvn.jp/jp/JVN39383894/

概要
LINE 株式会社が提供する apng-drawable には、整数オーバーフローの脆弱性
があります。結果として、第三者が、任意のコードを実行したり、サービス運
用妨害 (DoS) 攻撃を行ったりする可能性があります。

対象となるバージョンは次のとおりです。

- apng-drawable 1.0.0 から 1.6.0 まで

この問題は、apng-drawable を LINE 株式会社が提供する修正済みのバージョ
ンに更新することで解決します。詳細は、LINE 株式会社が提供する情報を参
照してください。

関連文書 (英語)
Github
line/apng-drawable
https://github.com/line/apng-drawable/

【10】複数のリコー製プリンタおよび複合機にバッファオーバーフローの脆弱性

情報源
Japan Vulnerability Notes JVN#11708203
複数のリコー製プリンタおよび複合機における複数のバッファオーバーフローの脆弱性
https://jvn.jp/jp/JVN11708203/

概要
株式会社リコーが提供する複数のプリンタおよび複合機には、バッファオーバー
フローの脆弱性があります。結果として、遠隔の第三者が、任意のコードを実
行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。

対象となる製品およびバージョンは次のとおりです。

- SP C250SF ファームウェア ver.1.13 より前のバージョン
- SP C252SF ファームウェア ver.1.13 より前のバージョン
- SP C250DN ファームウェア ver.1.07 より前のバージョン
- SP C252DN ファームウェア ver.1.07 より前のバージョン

この問題は、該当する製品を株式会社リコーが提供する修正済みのバージョン
に更新することで解決します。詳細は、株式会社リコーが提供する情報を参照
してください。

関連文書 (英語)
Ricoh Company
Potential security vulnerabilities in some of Ricoh’s printers and Multifunction Printers (MFPs)
https://www.ricoh.com/info/2019/0823_1/

【11】Wireshark にリソースの枯渇に関する脆弱性

情報源
Wireshark Foundation
wnpa-sec-2019-21 Gryphon dissector infinite loop
https://www.wireshark.org/security/wnpa-sec-2019-21

概要
Wireshark には、リソースの枯渇に関する脆弱性があります。結果として、第
三者がサービス運用妨害 (DoS) 攻撃を行う可能性があります。

対象となるバージョンは次のとおりです。

- Wireshark 3.0.0 から 3.0.3 までのバージョン
- Wireshark 2.6.0 から 2.6.10 までのバージョン

この問題は、Wireshark を Wireshark Foundation が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、Wireshark Foundation が提供
する情報を参照してください。

関連文書 (英語)
Wireshark Foundation
Wireshark 3.0.4 and 2.6.11 Released
https://www.wireshark.org/news/20190911.html

Wireshark Foundation
Wireshark Bug Database - Bug 16020
https://bugs.wireshark.org/bugzilla/show_bug.cgi?id=16020

【12】GitLab Enterprise Edition にアクセス制限不備の脆弱性

情報源
GitLab
GitLab Critical Security Release: 12.2.5, 12.1.9, and 12.0.9
https://about.gitlab.com/2019/09/10/critical-security-release-gitlab-12-dot-2-dot-5-released/

概要
GitLab Enterprise Edition には、アクセス制限不備の脆弱性があります。結
果として、遠隔の第三者が情報を取得する可能性があります。

対象となるバージョンは次のとおりです。

- GitLab Enterprise Edition (EE) 12.2.5 より前の 12.2 系のバージョン
- GitLab Enterprise Edition (EE) 12.1.9 より前の 12.1 系のバージョン
- GitLab Enterprise Edition (EE) 12.0.9 より前の 12.0 系のバージョン
- GitLab Enterprise Edition (EE) 11 系のバージョン

この問題は、GitLab Enterprise Edition を GitLab が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、GitLab が提供する情報を参照
してください。