« 2019年9月 | メイン

2019年10月

2019年10月 9日 (水)

■09/29(日)~10/05(土) のセキュリティ関連情報

目 次 

【1】複数の Cisco 製品に脆弱性
【2】Ruby に複数の脆弱性
【3】Exim にバッファオーバーフローの脆弱性
【4】GitLab Community および Enterprise Edition に脆弱性
【5】FON ルータにオープンリゾルバとして機能してしまう問題
【今週のひとくちメモ】警察庁が「Elasticsearchの脆弱性を標的としたアクセスの増加等について」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr193901.html
https://www.jpcert.or.jp/wr/2019/wr193901.xml
============================================================================


【1】複数の Cisco 製品に脆弱性

情報源
US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/10/03/cisco-releases-security-updates

概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。

影響度 High の脆弱性情報の対象となる製品は次のとおりです。

- Cisco ASA Software
- Cisco FTD Software
- Cisco FMC Software
- Cisco FXOS Software
- Cisco Unified Communications Manager
- Cisco Unified Communications Manager SME
- Cisco Unified CM IM&P Service
- Cisco Unity Connection

※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、
影響度 Medium や Informational の脆弱性情報、アドバイザリが公開され
ています。詳細は、Cisco が提供する情報を参照してください。

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
するか、パッチを適用することで解決します。詳細は、Cisco が提供する情報
を参照してください。

関連文書 (英語)
Cisco Event Response Page
Cisco Event Response: October 2019 Cisco ASA, FMC, and FTD Software Security Advisory Bundled Publication
https://tools.cisco.com/security/center/viewErp.x?alertId=ERP-72541

Cisco Security Advisory
Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software FTP Inspection Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191002-asa-dos

Cisco Security Advisory
Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software IKEv1 Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191002-asa-ftd-ikev1-dos

Cisco Security Advisory
Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software OSPF LSA Processing Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191002-asa-ospf-lsa-dos

Cisco Security Advisory
Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software SIP Inspection Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191002-asa-ftd-sip-dos

Cisco Security Advisory
Cisco Adaptive Security Appliance Software SSL VPN Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191002-asa-ssl-vpn-dos

Cisco Security Advisory
Cisco Firepower Management Center Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191002-fmc-com-inj

Cisco Security Advisory
Cisco Firepower Management Center Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191002-fmc-rce

Cisco Security Advisory
Cisco Firepower Management Center Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191002-fmc-rce-12689

Cisco Security Advisory
Cisco Firepower Management Center SQL Injection Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191002-fmc-sql-inj

Cisco Security Advisory
Cisco Firepower Threat Defense Software Multi-instance Container Escape Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191002-ftd-container-esc

Cisco Security Advisory
Cisco FXOS Software and Firepower Threat Defense Software Command Injection Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191002-fxos-cmd-inject

Cisco Security Advisory
Cisco FTD, FMC, and FXOS Software Pluggable Authentication Module Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191002-ftd-fpmc-dos

Cisco Security Advisory
Multiple Cisco Unified Communications Products Cross-Site Request Forgery Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191002-cucm-csrf

【2】Ruby に複数の脆弱性

情報源
Ruby
Ruby 2.6.5 リリース
https://www.ruby-lang.org/ja/news/2019/10/01/ruby-2-6-5-released/

Ruby
Ruby 2.5.7 リリース
https://www.ruby-lang.org/ja/news/2019/10/01/ruby-2-5-7-released/

Ruby
Ruby 2.4.8 リリース
https://www.ruby-lang.org/ja/news/2019/10/01/ruby-2-4-8-released/

概要
Ruby には、複数の脆弱性があります。結果として、遠隔の第三者が、サービ
ス運用妨害 (DoS) 攻撃を行ったり、任意のページを表示させたりするなどの
可能性があります。

対象となるバージョンは次のとおりです。

- Ruby 2.6.4 およびそれ以前の Ruby 2.6 系のバージョン
- Ruby 2.5.6 およびそれ以前の Ruby 2.5 系のバージョン
- Ruby 2.4.7 およびそれ以前の Ruby 2.4 系のバージョン

※すでにサポートが終了している Ruby 2.3 系以前のバージョンも、影響を受
けるとのことです。

この問題は、該当する製品を Ruby が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ruby が提供する情報を参照してください。

【3】Exim にバッファオーバーフローの脆弱性

情報源
US-CERT Current Activity
Exim Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2019/10/01/exim-releases-security-update

概要
Exim には、バッファオーバーフローの脆弱性があります。結果として、遠隔
の第三者が任意のコードを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Exim 4.92 から 4.92.2 までのバージョン

この問題は、Exim を開発者や配布元が提供する修正済みのバージョンに更新
することで解決します。詳細は、開発者や配布元が提供する情報を参照してく
ださい。

関連文書 (英語)
Exim
CVE-2019-16928
https://www.exim.org/static/doc/security/CVE-2019-16928.txt

【4】GitLab Community および Enterprise Edition に脆弱性

情報源
GitLab
GitLab Critical Security Release: 12.3.3, 12.2.7, and 12.1.13
https://about.gitlab.com/2019/10/02/security-release-gitlab-12-dot-3-dot-3-released/

概要
GitLab には、脆弱性があります。結果として、第三者が情報を窃取する可能
性があります。

対象となる製品およびバージョンは次のとおりです。

- GitLab Community および Enterprise Edition 12.3.3 より前の 12.3 系のバージョン
- GitLab Community および Enterprise Edition 12.2.7 より前の 12.2 系のバージョン
- GitLab Community および Enterprise Edition 12.1.13 より前の 12.1 系のバージョン

なお、本脆弱性は Elasticsearch integration を有効にしている場合に影響
を受けるとのことです。

この問題は、該当する製品を GitLab が提供する修正済みのバージョンに更新
することで解決します。詳細は、GitLab が提供する情報を参照してください。

【5】FON ルータにオープンリゾルバとして機能してしまう問題

情報源
Japan Vulnerability Notes JVNVU#94678942
FON がオープンリゾルバとして機能してしまう問題
https://jvn.jp/vu/JVNVU94678942/

概要
FON ルータには、オープンリゾルバとして機能してしまう問題があります。結
果として、遠隔の第三者が細工した問い合わせを送信することで、他組織への
DDoS 攻撃に当該製品を悪用する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- FON2601E-SE ファームウエアバージョン 1.1.7 およびそれ以前
- FON2601E-RE ファームウエアバージョン 1.1.7 およびそれ以前
- FON2601E-FSW-S ファームウエアバージョン 1.1.7 およびそれ以前
- FON2601E-FSW-B ファームウエアバージョン 1.1.7 およびそれ以前

この問題は、FON ルータのファームウエアを FON Wireless Limited が提供す
る修正済みのバージョンに更新することで解決します。詳細は、FON Wireless
Limited が提供する情報を参照してください。

関連文書 (日本語)
FON Wireless Limited
オープンリゾルバ問題の影響について
https://fonjapan.zendesk.com/hc/ja/articles/360000558942

2019年10月 2日 (水)

■09/22(日)~09/28(土) のセキュリティ関連情報

目 次 

【1】複数の Cisco 製品に脆弱性
【2】複数の Microsoft 製品に脆弱性
【3】複数の Apple 製品に脆弱性
【4】複数の VMware 製品に脆弱性
【5】Adobe ColdFusion に複数の脆弱性
【6】複数の横河電機製 Windows アプリケーションに脆弱性
【今週のひとくちメモ】警察庁が「令和元年上半期におけるサイバー空間をめぐる脅威の情勢等について」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr193801.html
https://www.jpcert.or.jp/wr/2019/wr193801.xml
============================================================================


【1】複数の Cisco 製品に脆弱性

情報源
US-CERT Current Activity
Cisco Releases Security Advisories
https://www.us-cert.gov/ncas/current-activity/2019/09/26/cisco-releases-security-advisories

概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコマンドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする
などの可能性があります。

Cisco IOS Software、Cisco IOS XE Software または Cisco IOx アプリケー
ション環境が動作する製品が対象となる可能性があります。

影響度 High の脆弱性情報に記載されている製品は次のとおりです。

- Cisco 1100、4200、および 4300 Series Integrated Services Routers (ISRs)
- Cisco Cloud Services Router (CSR) 1000V Series
- Cisco Enterprise Network Compute System (ENCS)
- Cisco Integrated Services Virtual Router (ISRv)
- Cisco Catalyst 4500 Supervisor Engine 6-E
- Cisco Catalyst 4500 Supervisor Engine 6L-E
- Cisco Catalyst 4900M Switch
- Cisco Catalyst 4948E Ethernet Switch
- Cisco Catalyst 4948E-F Ethernet Switch
- Cisco 800 Series Industrial Integrated Services Router
- Cisco 1000 Series Connected Grid Routers (CGR 1000)
- Cisco Unified Border Element (CUBE)
- Cisco Unified Communications Manager Express (CME)
- Cisco IOS Gateways with Session Initiation Protocol (SIP)
- Cisco TDM Gateways
- Cisco Unified Survivable Remote Site Telephony (SRST)
- Cisco Business Edition 4000 (BE4K)
- Cisco ASR 900 Series router
- Cisco 510 WPAN Industrial Router
- Cisco CGR 1000 Compute Module
- Cisco IC3000 Industrial Compute Gateway
- Cisco Industrial Ethernet 4000 Series Switches
- Cisco Catalyst 3850 Series
- Cisco Catalyst 9300 Series

※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、
影響度 Medium の複数の脆弱性情報が公開されています。詳細は、Cisco が
提供する情報を参照してください。

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)
Cisco Security Advisory
Cisco IOS XE Software NAT Session Initiation Protocol Application Layer Gateway Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190925-sip-alg

Cisco Security Advisory
Cisco Catalyst 4000 Series Switches TCP Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190925-cat4000-tcp-dos

Cisco Security Advisory
Cisco IOx for IOS Software Guest Operating System Unauthorized Access Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190925-ios-gos-auth

Cisco Security Advisory
Cisco IOS XE Software Web UI Command Injection Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190925-webui-cmd-injection

Cisco Security Advisory
Cisco IOS and IOS XE Software Session Initiation Protocol Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190925-sip-dos

Cisco Security Advisory
Cisco IOS XE Software Raw Socket Transport Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190925-rawtcp-dos

Cisco Security Advisory
Cisco IOS XE Software Filesystem Exhaustion Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190925-iosxe-fsdos

Cisco Security Advisory
Cisco IOx Application Environment Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190925-iox

Cisco Security Advisory
Cisco IOS XE Software FTP Application Layer Gateway for NAT, NAT64, and ZBFW Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190925-ftp

Cisco Security Advisory
Cisco IOS XE Software Unified Threat Defense Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190925-utd

Cisco Security Advisory
Cisco IOS XE Software Digital Signature Verification Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190925-iosxe-digsig-bypass

Cisco Security Advisory
Cisco IOS and IOS XE Software IP Ident Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190925-identd-dos

【2】複数の Microsoft 製品に脆弱性

情報源
US-CERT Current Activity
Microsoft Releases Out-of-Band Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/09/23/microsoft-releases-out-band-security-updates

概要
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Microsoft Forefront Endpoint Protection 2010
- Microsoft Security Essentials
- Microsoft System Center 2012 Endpoint Protection
- Microsoft System Center 2012 R2 Endpoint Protection
- Microsoft System Center Endpoint Protection
- Windows Defender
- Internet Explorer 9
- Internet Explorer 10
- Internet Explorer 11

この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
とで解決します。なお、利用しているシステムによって、更新プログラムのダ
ウンロードおよび適用方法が異なります。詳細は、Microsoft が提供する情報
を参照してください

関連文書 (日本語)
JPCERT/CC
Microsoft Internet Explorer の脆弱性 (CVE-2019-1367) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190037.html

関連文書 (英語)
マイクロソフト株式会社
CVE-2019-1255 | Microsoft Defender のサービス拒否の脆弱性
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2019-1255

マイクロソフト株式会社
CVE-2019-1367 | スクリプト エンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2019-1367

【3】複数の Apple 製品に脆弱性

情報源
US-CERT Current Activity
Apple Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/09/25/apple-releases-security-updates

US-CERT Current Activity
Apple Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/09/27/apple-releases-security-updates

概要
複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、情報を窃取したりするなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- iOS 13.1.1 より前のバージョン
- iOS 12.4.2 より前のバージョン
- iPadOS 13.1.1 より前のバージョン
- tvOS 13 より前のバージョン
- Safari 13.0.1 より前のバージョン
- watchOS 5.3.2 より前のバージョン
- macOS 10.14 Mojave (ビルド番号 18G103) より前のバージョン
- macOS 10.13 High Sierra (ビルド番号 17G8037) より前のバージョン
- macOS 10.12 Sierra (ビルド番号 16G2136) より前のバージョン

この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新
することで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#98778455
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU98778455/

Japan Vulnerability Notes JVNVU#91560805
iOS および iPadOS に対するアップデート
https://jvn.jp/vu/JVNVU91560805/

関連文書 (英語)
Apple
About the security content of iOS 13.1.1 and iPadOS 13.1.1
https://support.apple.com/en-us/HT210624

Apple
About the security content of iOS 13.1 and iPadOS 13.1
https://support.apple.com/en-us/HT210603

Apple
About the security content of iOS 12.4.2
https://support.apple.com/en-us/HT210590

Apple
About the security content of tvOS 13
https://support.apple.com/en-us/HT210604

Apple
About the security content of Safari 13.0.1
https://support.apple.com/en-us/HT210605

Apple
About the security content of watchOS 5.3.2
https://support.apple.com/en-us/HT210588

Apple
About the security content of macOS Mojave 10.14.6 Supplemental Update 2, Security Update 2019-005 High Sierra, and Security Update 2019-005 Sierra
https://support.apple.com/en-us/HT210589

【4】複数の VMware 製品に脆弱性

情報源
US-CERT Current Activity
VMware Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/09/25/vmware-releases-security-updates

概要
複数の VMware 製品には、脆弱性があります。結果として、遠隔の第三者が、
該当製品が動作するシステム上で任意の操作を行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Harbor Registry がデプロイされている VMware Cloud Foundation
- VMware Harbor Container Registry for PCF 1.7.6 より前の 1.7.x 系バージョン
- VMware Harbor Container Registry for PCF 1.8.3 より前の 1.8.x 系バージョン

この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新
するか、パッチを適用することで解決します。詳細は、VMware が提供する情
報を参照してください。

関連文書 (英語)
VMware Security Advisories
VMSA-2019-0015
https://www.vmware.com/security/advisories/VMSA-2019-0015.html

【5】Adobe ColdFusion に複数の脆弱性

情報源
US-CERT Current Activity
Adobe Releases Security Updates for ColdFusion
https://www.us-cert.gov/ncas/current-activity/2019/09/25/adobe-releases-security-updates-coldfusion

概要
Adobe ColdFusion には、複数の脆弱性があります。結果として、第三者が、
任意のコードを実行したり、情報を窃取したりするなどの可能性があります。

対象となるバージョンは次のとおりです。

- Adobe ColdFusion 2016 Update 11 およびそれ以前のバージョン
- Adobe ColdFusion 2018 Update 4 およびそれ以前のバージョン

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC
Adobe ColdFusion に関するアップデート (APSB19-47) について
https://www.jpcert.or.jp/newsflash/2019092601.html

関連文書 (英語)
Adobe
Security updates available for ColdFusion | APSB19-47
https://helpx.adobe.com/security/products/coldfusion/apsb19-47.html

【6】複数の横河電機製 Windows アプリケーションに脆弱性

情報源
Japan Vulnerability Notes JVNVU#98228725
横河製品が登録する Windows サービスで実行ファイルのパスが引用符で囲まれていない脆弱性
https://jvn.jp/vu/JVNVU98228725/

概要
横河電機株式会社が提供する複数の Windows アプリケーションには、脆弱性
があります。結果として、第三者が、該当するアプリケーションを実行してい
る Windows サービスの権限において、任意のファイルを実行する可能性があ
ります。

対象となる製品およびバージョンは次のとおりです。

- Exaopc R1.01.00 から R3.77.00 までのバージョン
- Exaplog R1.10.00 から R3.40.00 までのバージョン
- Exaquantum R1.10.00 から R3.02.00 までのバージョン
- Exaquantum/Batch R1.01.00 から R2.50.40 までのバージョン
- GA10 R1.01.01 から R3.05.01 までのバージョン
- InsightSuiteAE R1.01.00 から R1.06.00 までのバージョン

なお、2019年9月30日にサポートが終了している Exasmoc および Exarqe につ
いても本脆弱性の影響を受けるとのことです。

この問題は、該当する製品を横河電機株式会社が提供する修正済みのバージョン
に更新するか、パッチを適用することで解決します。詳細は、横河電機株式会
社が提供する情報を参照してください。

関連文書 (日本語)
横河電機株式会社
YSAR-19-0003: 横河製品が登録するWindowsサービスで実行ファイルのパスが引用符で囲まれていない脆弱性
https://web-material3.yokogawa.com/19/28032/files/YSAR-19-0003-J.pdf