■10/13(日)~10/19(土) のセキュリティ関連情報
目 次
【1】複数の Cisco 製品に脆弱性
【2】複数の Adobe 製品に脆弱性
【3】2019年 10月 Oracle Critical Patch Update について
【4】WordPress に複数の脆弱性
【5】ISC BIND 9 に複数の脆弱性
【6】NetCommons3 にクロスサイトスクリプティングの脆弱性
【7】複数の VMware 製品にアクセス制御不備の脆弱性
【8】Apple Swift にファイルディスクリプタの不適切な管理に関する問題
【今週のひとくちメモ】Windows 7 および Windows Server 2008 R2 の延長サポート終了について
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr194101.html
https://www.jpcert.or.jp/wr/2019/wr194101.xml
============================================================================
【1】複数の Cisco 製品に脆弱性
情報源
US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/10/17/cisco-releases-security-updates
概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。
影響度 Critical および High の脆弱性情報の対象となる製品は次のとおりで
す。
- Cisco Aironet AP Software
- Cisco WLC Software
- Cisco SPA100 Series ATAs
- Cisco Small Business Smart Switches
- Cisco Small Business Managed Switches
※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、
影響度 Medium の脆弱性情報、アドバイザリが公開されています。詳細は、
Cisco が提供する情報を参照してください。
この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
するか、パッチを適用することで解決します。詳細は、Cisco が提供する情報
を参照してください。
関連文書 (英語)
Cisco Security Advisory
Cisco Aironet Access Points Unauthorized Access Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191016-airo-unauth-access
Cisco Security Advisory
Cisco Wireless LAN Controller Secure Shell Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191016-wlc-ssh-dos
Cisco Security Advisory
Cisco SPA100 Series Analog Telephone Adapters Remote Code Execution Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191016-spa-rce
Cisco Security Advisory
Cisco Small Business Smart and Managed Switches Cross-Site Request Forgery Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191016-sbss-csrf
Cisco Security Advisory
Cisco Aironet Access Points Point-to-Point Tunneling Protocol Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191016-airo-pptp-dos
Cisco Security Advisory
Cisco Aironet Access Points and Catalyst 9100 Access Points CAPWAP Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191016-airo-capwap-dos
【2】複数の Adobe 製品に脆弱性
情報源
US-CERT Current Activity
Adobe Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2019/10/15/adobe-releases-security-updates-multiple-products
概要
複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が、
情報を窃取したり、実行ユーザの権限で任意のコードを実行したりするなどの
可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Adobe Acrobat Reader DC Continuous (2019.012.20040) およびそれ以前 (Windows, macOS)
- Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30148) およびそれ以前 (Windows, macOS)
- Adobe Acrobat Reader 2015 Classic 2015 (2015.006.30503) およびそれ以前 (Windows, macOS)
- Adobe Acrobat DC Continuous (2019.012.20040) およびそれ以前 (Windows, macOS)
- Adobe Acrobat 2017 Classic 2017 (2017.011.30148) およびそれ以前 (Windows, macOS)
- Adobe Acrobat 2015 Classic 2015 (2015.006.30503) およびそれ以前 (Windows, macOS)
- Adobe Experience Manager 6.5, 6.4, 6.3
- Adobe Experience Manager Forms 6.5, 6.4, 6.3
- Adobe Download Manager 2.0.0.363 (Windows)
なお、既にコアサポート期間が終了している Adobe Experience Manager 6.2、
6.1、6.0 も本脆弱性の影響を受けるとのことです。該当のバージョンを使用
している場合は、サポート対象のバージョンをご使用ください。
この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC
Adobe Acrobat および Reader の脆弱性 (APSB19-49) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190039.html
JPCERT/CC
複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2019101602.html
Adobe
Adobe Experience Manager に関するセキュリティアップデート公開 | APSB19-48
https://helpx.adobe.com/jp/security/products/experience-manager/apsb19-48.html
Adobe
Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB19-49
https://helpx.adobe.com/jp/security/products/acrobat/apsb19-49.html
Adobe
Adobe Experience Manager Forms に関するセキュリティアップデート公開 | APSB19-50
https://helpx.adobe.com/jp/security/products/aem-forms/apsb19-50.html
Adobe
Adobe Download Manager に関するセキュリティアップデート公開 | APSB19-51
https://helpx.adobe.com/jp/security/products/adm/apsb19-51.html
【3】2019年 10月 Oracle Critical Patch Update について
情報源
US-CERT Current Activity
Oracle Releases October 2019 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2019/10/15/oracle-releases-october-2019-security-bulletin
概要
Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した
Oracle Critical Patch Update Advisory が公開されました。
詳細は、Oracle が提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC 注意喚起
2019年 10月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2019/at190040.html
関連文書 (英語)
Oracle
Oracle Critical Patch Update Advisory - October 2019
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html
【4】WordPress に複数の脆弱性
情報源
US-CERT Current Activity
WordPress Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2019/10/15/wordpress-releases-security-update
概要
WordPress には、複数の脆弱性があります。結果として、遠隔の第三者がユー
ザのブラウザ上で任意のスクリプトを実行する可能性があります。
対象となるバージョンは次のとおりです。
- WordPress 5.2.4 より前のバージョン
この問題は、WordPress を WordPress が提供する修正済みのバージョンに更
新することで解決します。詳細は、WordPress が提供する情報を参照してくだ
さい。
関連文書 (英語)
WordPress
WordPress 5.2.4 Security Release
https://wordpress.org/news/2019/10/wordpress-5-2-4-security-release/
【5】ISC BIND 9 に複数の脆弱性
情報源
US-CERT Current Activity
ISC Releases Security Advisories for BIND
https://www.us-cert.gov/ncas/current-activity/2019/10/17/isc-releases-security-advisories-bind
概要
ISC BIND 9 には、複数の脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害 (DoS) 攻撃を行うなどの可能性があります。
対象となるバージョンは次のとおりです。
- BIND 9.14.0 から BIND 9.14.6 まで
なお、開発版の BIND 9.15 系についても影響を受けるとのことです。
この問題は、ISC BIND 9 を ISC が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、ISC が提供する情報を参照してください。
関連文書 (日本語)
株式会社日本レジストリサービス (JPRS)
BIND 9.xの脆弱性(mirror zones機能におけるDNSSEC検証のバイパス)について(CVE-2019-6475)- mirror zones機能を設定している場合のみ対象、バージョンアップを推奨
https://jprs.jp/tech/security/2019-10-17-bind9-vuln-mirror-zones.html
株式会社日本レジストリサービス (JPRS)
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2019-6476)- バージョンアップを推奨
https://jprs.jp/tech/security/2019-10-17-bind9-vuln-qname-minimisation.html
Japan Vulnerability Notes JVNVU#98919979
ISC BIND 9 における複数の脆弱性
https://jvn.jp/vu/JVNVU98919979/
JPCERT/CC
ISC BIND 9 における脆弱性 (CVE-2019-6475、CVE-2019-6476) について
https://www.jpcert.or.jp/newsflash/2019101701.html
関連文書 (英語)
Internet Systems Consortium, Inc. (ISC)
CVE-2019-6475: A flaw in mirror zone validity checking can allow zone data to be spoofed
https://kb.isc.org/docs/cve-2019-6475
Internet Systems Consortium, Inc. (ISC)
CVE-2019-6476: An error in QNAME minimization code can cause BIND to exit with an assertion failure
https://kb.isc.org/docs/cve-2019-6476
Internet Systems Consortium, Inc. (ISC)
BIND 9 Security Vulnerability Matrix
https://kb.isc.org/docs/aa-00913
【6】NetCommons3 にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#74530672
NetCommons3 におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN74530672/
概要
NetCommonsプロジェクトが提供する NetCommons3 には、クロスサイトスクリ
プティングの脆弱性があります。結果として、遠隔の第三者が、当該製品にロ
グインしているユーザのウェブブラウザ上で任意のスクリプトを実行する可能
性があります。
対象となるバージョンは次のとおりです。
- NetCommons3.2.2 およびそれ以前の 3.0 系バージョン
この問題は、NetCommons3 を NetCommonsプロジェクトが提供する修正済みの
バージョンに更新することで解決します。詳細は、NetCommonsプロジェクトが
提供する情報を参照してください。
関連文書 (日本語)
NetCommonsプロジェクト
次世代の情報共有基盤システムNetCommons(ネットコモンズ)
https://www.netcommons.org/NetCommons3/
【7】複数の VMware 製品にアクセス制御不備の脆弱性
情報源
US-CERT Current Activity
VMware Releases Security Update for Harbor Container Registry for PCF
https://www.us-cert.gov/ncas/current-activity/2019/10/16/vmware-releases-security-update-harbor-container-registry-pcf
概要
複数の VMware 製品には、アクセス制御不備の脆弱性があります。結果として、
遠隔の第三者が、当該ソフトウェアを介してアクセス可能なプロジェクトに隣
接する別プロジェクトのコンテナイメージを取得・変更する可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Harbor Registry がデプロイされている VMware Cloud Foundation
- VMware Harbor Container Registry for PCF 1.8.4 より前の 1.8 系バージョン
この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新
するか、パッチを適用することで解決します。詳細は、VMware が提供する情
報を参照してください。
関連文書 (英語)
VMware Security Advisories
VMSA-2019-0016
https://www.vmware.com/security/advisories/VMSA-2019-0016.html
【8】Apple Swift にファイルディスクリプタの不適切な管理に関する問題
情報源
Japan Vulnerability Notes JVNVU#91825432
Apple Swift における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU91825432/
概要
Apple Swift には、URLSession でのファイルディスクリプタの管理に問題が
あります。結果として、第三者が情報を窃取する可能性があります。
対象となるバージョンは次のとおりです。
- Swift 5.1.1 for Ubuntu より前のバージョン
この問題は、Apple Swift を Apple が提供する修正済みのバージョンに更新
することで解決します。詳細は、Apple が提供する情報を参照してください。
関連文書 (日本語)
Apple
Ubuntu 向け Swift 5.1.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210647
――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――
○Windows 7 および Windows Server 2008 R2 の延長サポート終了について
2019年10月17日 (米国時間)、US-CERT から Windows 7 および Windows
Server 2008 R2 の延長サポート終了についての注意喚起が公開されました。
2020年1月14日をもって、当該製品の延長サポートが終了します。サポート終
了後は、マルウエアへの感染や情報漏えいなどの被害を受けやすくなります。
当該製品を利用している場合、サポートが行われているバージョンへの移行を
お勧めします。
参考文献 (日本語)
JPCERT/CC
Windows 7 および Windows Server 2008 R2 の延長サポート終了について
https://www.jpcert.or.jp/newsflash/2019101801.html
マイクロソフト株式会社
2020 年 1 月 14 日に Windows 7 のサポートが終了します
https://www.microsoft.com/ja-jp/windows/windows-7-end-of-life-support-information
マイクロソフト株式会社
Windows Server 2008 および Windows Server 2008 R2 のサポート終了
https://support.microsoft.com/ja-jp/help/4456235/end-of-support-for-windows-server-2008-and-windows-server-2008-r2
マイクロソフト株式会社
Windows ライフサイクルのファクト シート
https://support.microsoft.com/ja-jp/help/13853/windows-lifecycle-fact-sheet
参考文献 (英語)
US-CERT
Microsoft Ending Support for Windows 7 and Windows Server 2008 R2
https://www.us-cert.gov/ncas/alerts/aa19-290a
コメント