■10/06(日)~10/12(土) のセキュリティ関連情報
目 次
【1】複数の Microsoft 製品に脆弱性
【2】複数の Apple 製品に脆弱性
【3】Google Chrome に複数の脆弱性
【4】Intel 製品に複数の脆弱性
【5】複数の Juniper 製品に脆弱性
【6】iTerm2 に任意のコマンド実行が可能な脆弱性
【7】DBA-1510P に OS コマンドインジェクションの脆弱性
【8】衛星通信端末 Cobham EXPLORER 710 に複数の脆弱性
【9】EC-CUBE 用モジュール「ルミーズ決済モジュール(2.11 系・2.12 系・2.13 系)」に複数の脆弱性
【10】WordPress 用プラグイン wpDataTables Lite に複数の脆弱性
【今週のひとくちメモ】ISEPAが「キャリアパスグランドデザインの考察_ver1.0」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr194001.html
https://www.jpcert.or.jp/wr/2019/wr194001.xml
============================================================================
【1】複数の Microsoft 製品に脆弱性
情報源
US-CERT Current Activity
Microsoft Releases October 2019 Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/10/08/microsoft-releases-october-2019-security-updates
概要
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。
対象となる製品は次のとおりです。
- Microsoft Windows
- Internet Explorer
- Microsoft Edge (EdgeHTML ベース)
- ChakraCore
- Microsoft Office and Microsoft Office Services および Web Apps
- SQL Server Management Studio
- オープン ソース ソフトウェア
- Microsoft Dynamics 365
- Windows Update Assistant
この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
とで解決します。詳細は、Microsoft が提供する情報を参照してください。
関連文書 (日本語)
マイクロソフト株式会社
2019 年 10 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/28ef0a64-489c-e911-a994-000d3a33c573
JPCERT/CC 注意喚起
2019年10月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2019/at190038.html
【2】複数の Apple 製品に脆弱性
情報源
US-CERT Current Activity
Apple Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/10/08/apple-releases-security-updates
概要
複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、情報を窃取したりするなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- macOS Catalina 10.15 より前のバージョン
- iTunes 12.10.1 for Windows より前のバージョン
- iCloud for Windows 10.7 より前のバージョン
- iCloud for Windows 7.14 より前のバージョン
この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新
することで解決します。詳細は、Apple が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#90484857
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU90484857/
Apple
macOS Catalina 10.15 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210634
Apple
iTunes for Windows 12.10.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210635
Apple
Windows 用 iCloud 10.7 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210636
Apple
Windows 用 iCloud 7.14 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210637
【3】Google Chrome に複数の脆弱性
情報源
US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2019/10/11/google-releases-security-updates-chrome
概要
Google Chrome には、解放済みメモリの使用などの脆弱性があります。
対象となるバージョンは次のとおりです。
- Google Chrome 77.0.3865.120 より前のバージョン
この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。
関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2019/10/stable-channel-update-for-desktop.html
【4】Intel 製品に複数の脆弱性
情報源
US-CERT Current Activity
Intel Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/10/09/intel-releases-security-updates
概要
Intel 製品には、複数の脆弱性があります。結果として、第三者が権限を昇格
するなどの可能性があります。
対象となる製品は次のとおりです。
- Intel Active System Console
- Intel Smart Connect Technology for Intel NUC.
- Intel NUC 8 Mainstream Game Kit
- Intel NUC 8 Mainstream Game Mini Computer
- Intel NUC Board DE3815TYBE
- Intel NUC Kit DE3815TYKHE
- Intel NUC Kit DN2820FYKH
この問題は、該当する製品を Intel が提供する修正済みのバージョンに更新
することで解決します。詳細は、Intel が提供する情報を参照してください。
なお、Intel Smart Connect Technology は製造中止を発表しており、アンイ
ンストールまたは使用の中止が推奨されています。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#90055983
Intel 製品に複数の脆弱性
http://jvn.jp/vu/JVNVU90055983
JPCERT/CC
Intel 製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2019100901.html
関連文書 (英語)
Intel
INTEL-SA-00261: Intel Active System Console Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00261.html
Intel
INTEL-SA-00286: Intel Smart Connect Technology for Intel NUC Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00286.html
Intel
INTEL-SA-00296: Intel NUC Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00296.html
【5】複数の Juniper 製品に脆弱性
情報源
US-CERT Current Activity
Juniper Networks Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/10/10/juniper-networks-releases-security-updates
概要
複数の Juniper 製品には、脆弱性があります。結果として、遠隔の第三者が、
サービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。
対象となる製品は次のとおりです。
- Junos OS
- SBR Carrier
- Contrail Networking
- CTPView and CTPOS
この問題は、該当する製品を Juniper が提供する修正済みのバージョンに更
新することで解決します。詳細は、Juniper が提供する情報を参照してくださ
い。
関連文書 (英語)
Juniper Networks
Security Advisories
https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES
Juniper Networks
2019-10 Security Bulletin: Junos OS: SRX Series: An attacker may be able to perform Man-in-the-Middle (MitM) attacks during app-id signature updates. (CVE-2019-0054)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10952
Juniper Networks
2019-10 Security Bulletin: Junos OS: SRX Series: An attacker may cause flowd to crash by sending certain valid SIP traffic to a device with SIP ALG enabled. (CVE-2019-0055)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10953
Juniper Networks
2019-10 Security Bulletin: Junos OS: MX Series: An MPC10 Denial of Service (DoS) due to OSPF states transitioning to Down, causes traffic to stop forwarding through the device. (CVE-2019-0056)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10954
Juniper Networks
2019-10 Security Bulletin: NFX Series: An attacker may be able to take control of the JDM application and subsequently the entire system. (CVE-2019-0057)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10955
Juniper Networks
2019-10 Security Bulletin: Junos OS: SRX Series: A weakness in the Veriexec subsystem may allow privilege escalation. (CVE-2019-0058)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10956
Juniper Networks
2019-10 Security Bulletin: Junos OS: The routing protocol process (rpd) may crash and generate core files upon receipt of specific valid BGP states from a peered host. (CVE-2019-0059)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10957
Juniper Networks
2019-10 Security Bulletin: CTPView and CTP Series: Multiple vulnerabilities in CTPView and CTP Series
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10958
Juniper Networks
2019-10 Security Bulletin: Junos OS: SRX Series: flowd process crash due to processing of specific transit IP packets (CVE-2019-0060)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10959
Juniper Networks
2019-10 Security Bulletin: Junos OS: Insecure management daemon (MGD) configuration may allow local privilege escalation (CVE-2019-0061)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10960
Juniper Networks
2019-10 Security Bulletin: Junos OS: Session fixation vulnerability in J-Web (CVE-2019-0062)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10961
Juniper Networks
2019-10 Security Bulletin: Junos OS: MX Series: jdhcpd crash when receiving a specific crafted DHCP response message (CVE-2019-0063)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10962
Juniper Networks
2019-10 Security Bulletin: Junos OS: SRX5000 Series: flowd process crash due to receipt of specific TCP packet (CVE-2019-0064)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10963
Juniper Networks
2019-10 Security Bulletin: Junos OS: MX Series: Denial of Service vulnerability in MS-PIC component on MS-MIC or MS-MPC (CVE-2019-0065)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10964
Juniper Networks
2019-10 Security Bulletin: Junos OS: A malformed IPv4 packet received by Junos in an NG-mVPN scenario may cause the routing protocol daemon (rpd) process to core (CVE-2019-0066)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10965
Juniper Networks
2019-10 Security Bulletin: Junos OS: Kernel crash (vmcore) upon receipt of a specific link-local IPv6 packet on devices configured with Multi-Chassis Link Aggregation Group (MC-LAG) (CVE-2019-0067)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10966
Juniper Networks
2019-10 Security Bulletin: Contrail Networking: Multiple Vulnerabilities have been resolved in Release 1910.
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10967
Juniper Networks
2019-10 Security Bulletin: Junos OS: SRX Series: Denial of Service vulnerability in flowd due to multicast packets (CVE-2019-0068)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10968
Juniper Networks
Junos OS: vSRX, SRX1500, SRX4K, ACX5K, EX4600, QFX5100, QFX5110, QFX5200, QFX10K and NFX Series: console management port device authentication credentials are logged in clear text
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10969
Juniper Networks
2019-10 Security Bulletin: Junos OS: Persistent XSS vulnerability in J-Web (CVE-2019-0047)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10970
Juniper Networks
2019-10 Security Bulletin: SBR Carrier: A vulnerability in the identity and access management certificate generation procedure allows a local attacker to gain access to confidential information. (CVE-2019-0072)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10971
Juniper Networks
2019-10 Security Bulletin: Junos OS: SRX1500: Denial of service due to crash of srxpfe process under heavy traffic conditions. (CVE-2019-0050)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10972
Juniper Networks
2019-10 Security Bulletin: SRX5000 Series: Denial of Service vulnerability in SSL-Proxy feature. (CVE-2019-0051)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10973
Juniper Networks
2019-10 Security Bulletin: Junos OS: PKI key pairs are exported with insecure file permissions (CVE-2019-0073)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10974
Juniper Networks
2019-10 Security Bulletin: Junos OS: NFX150 Series, QFX10K Series, EX9200 Series, MX Series, PTX Series: Path traversal vulnerability in NFX150 and NG-RE leads to information disclosure. (CVE-2019-0074)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10975
Juniper Networks
2019-10 Security Bulletin: Junos OS: SRX Series: Denial of Service vulnerability in srxpfe related to PIM (CVE-2019-0075)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10976
Juniper Networks
2019-10 Security Bulletin: Junos OS: NFX Series: An Improper Input Validation weakness allows a malicious local attacker to elevate their permissions. (CVE-2019-0070)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10977
Juniper Networks
2019-10 Security Bulletin: Junos OS: EX2300, EX3400 Series: Veriexec signature checking not enforced in specific versions of Junos OS (CVE-2019-0071)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10978
【6】iTerm2 に任意のコマンド実行が可能な脆弱性
情報源
US-CERT Current Activity
iTerm2 Vulnerability
https://www.us-cert.gov/ncas/current-activity/2019/10/09/iterm2-vulnerability
概要
iTerm2 には、脆弱性があります。結果として、遠隔の第三者が任意のコマン
ドを実行する可能性があります。
対象となるバージョンは次のとおりです。
- iTerm2 3.3.5 およびそれ以前のバージョン
この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#98580651
iTerm2 における任意のコマンド実行が可能な脆弱性
https://jvn.jp/vu/JVNVU98580651/
関連文書 (英語)
CERT/CC Vulnerability Note VU#763073
iTerm2 with tmux integration is vulnerable to remote command execution
https://kb.cert.org/vuls/id/763073/
Mozilla
Critical Security Issue identified in iTerm2 as part of Mozilla Open Source Audit
https://blog.mozilla.org/security/2019/10/09/iterm2-critical-issue-moss-audit/
iTerm2
Downloads
https://www.iterm2.com/downloads.html
【7】DBA-1510P に OS コマンドインジェクションの脆弱性
情報源
Japan Vulnerability Notes JVN#95875796
DBA-1510P における複数の OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN95875796/
概要
Wi-Fi アクセスポイントである DBA-1510P には OS コマンドインジェクション
の脆弱性があります。結果として、管理画面にログインしているユーザなどが
任意の OS コマンドを実行する可能性があります。
対象となるバージョンは次のとおりです。
- DBA-1510P ファームウェア 1.70b009 およびそれ以前のバージョン
この問題は、DBA-1510P をディーリンクジャパン株式会社が提供する修正済み
のファームウェアに更新することで解決します。詳細は、ディーリンクジャパ
ン株式会社が提供する情報を参照してください。
関連文書 (日本語)
D-Link
DBA-1510P
https://www.dlink-jp.com/product/dba-1510p#product_firmware
【8】衛星通信端末 Cobham EXPLORER 710 に複数の脆弱性
情報源
CERT/CC Vulnerability Note VU#719689
Multiple vulnerabilities found in the Cobham EXPLORER 710 satcom terminal
https://www.kb.cert.org/vuls/id/719689/
概要
衛星通信端末 Cobham EXPLORER 710 には、複数の脆弱性があります。結果と
して、第三者が設定を変更したり、情報を窃取したりするなどの可能性があり
ます。
対象となるバージョンは次のとおりです。
- Cobham EXPLORER 710 ファームウェア バージョン 1.08 およびそれ以前のバージョン
2019年10月16日現在、この問題に対する解決策は提供されていません。詳細は、
Cobham plc が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#98031944
衛星通信端末 Cobham EXPLORER 710 における複数の脆弱性
https://jvn.jp/vu/JVNVU98031944/
関連文書 (英語)
Cobham plc
Ultra-Portable BGAN EXPLORER 710
https://www.cobham.com/communications-and-connectivity/satcom/land-mobile-satcom-systems/ultra-portable-bgan/explorer-710/
【9】EC-CUBE 用モジュール「ルミーズ決済モジュール(2.11 系・2.12 系・2.13 系)」に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#59436681
EC-CUBE 用モジュール「ルミーズ決済モジュール(2.11系・2.12系・2.13系)」における複数の脆弱性
https://jvn.jp/jp/JVN59436681/
概要
EC-CUBE 用モジュール「ルミーズ決済モジュール(2.11 系・2.12 系・2.13 系)」
には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のスクリ
プトを実行したり、情報を窃取したりするなどの可能性があります。
対象となるバージョンは次のとおりです。
- ルミーズ決済モジュール(2.11 系・2.12 系・2.13 系) version 3.0.12 およびそれ以前のバージョン
この問題は、本モジュールをルミーズ株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、ルミーズ株式会社が提供する情報を参
照してください。
関連文書 (日本語)
ルミーズ株式会社
ルミーズ決済モジュール(2.11系・2.12系・2.13系)の脆弱性について (PDF)
http://www.remise.jp/data/pdf/20191002.pdf
【10】WordPress 用プラグイン wpDataTables Lite に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#14776551
WordPress 用プラグイン wpDataTables Lite における複数の脆弱性
https://jvn.jp/jp/JVN14776551/
概要
WordPress 用プラグイン wpDataTables Lite には、複数の脆弱性があります。
結果として、遠隔の第三者が、ログインしているユーザのウェブブラウザ上で
任意のスクリプトを実行するなどの可能性があります。
対象となるバージョンは次のとおりです。
- wpDataTables Lite Version 2.0.11 およびそれ以前のバージョン
この問題は、wpDataTables Lite を開発者が提供する修正済みのバージョンに
更新することで解決します。詳細は、開発者が提供する情報を参照してくださ
い。
関連文書 (英語)
TMS-Plugins
wpDataTables Tables & Table Charts
https://wordpress.org/plugins/wpdatatables/
コメント