■10/20(日)~10/26(土) のセキュリティ関連情報
目 次
【1】複数の Mozilla 製品に脆弱性
【2】Google Chrome に複数の脆弱性
【3】PHP に任意のコード実行の脆弱性
【4】複数の VMware 製品に脆弱性
【5】複数の D-Link 製ルータにコマンドインジェクションの脆弱性
【6】複数のトレンドマイクロ製品に XML 外部実体参照 (XXE) の脆弱性
【7】PowerCMS にオープンリダイレクトの脆弱性
【今週のひとくちメモ】「ソフトウェア等の脆弱性関連情報に関する届出状況 2019年第3四半期(7月-9月) 」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr194201.html
https://www.jpcert.or.jp/wr/2019/wr194201.xml
============================================================================
【1】複数の Mozilla 製品に脆弱性
情報源
US-CERT Current Activity
Mozilla Releases Security Updates for Firefox and Firefox ESR
https://www.us-cert.gov/ncas/current-activity/2019/10/23/mozilla-releases-security-updates-firefox-and-firefox-esr
US-CERT Current Activity
Mozilla Releases Security Update for Thunderbird
https://www.us-cert.gov/ncas/current-activity/2019/10/24/mozilla-releases-security-update-thunderbird
概要
複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Firefox 70 より前のバージョン
- Firefox ESR 68.2 より前のバージョン
- Thunderbird 68.2 より前のバージョン
この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更
新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ
い。
関連文書 (英語)
Mozilla
Security vulnerabilities fixed in Firefox ESR 68.2
https://www.mozilla.org/en-US/security/advisories/mfsa2019-33/
Mozilla
Security vulnerabilities fixed in Firefox 70
https://www.mozilla.org/en-US/security/advisories/mfsa2019-34/
Mozilla
Security vulnerabilities fixed in Thunderbird 68.2
https://www.mozilla.org/en-US/security/advisories/mfsa2019-35/
【2】Google Chrome に複数の脆弱性
情報源
US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2019/10/23/google-releases-security-updates-chrome
概要
Google Chrome には、複数の脆弱性があります。結果として、第三者が任意の
コードを実行するなどの可能性があります。
対象となるバージョンは次のとおりです。
- Google Chrome 78.0.3904.70 より前のバージョン
この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。
関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2019/10/stable-channel-update-for-desktop_22.html
【3】PHP に任意のコード実行の脆弱性
情報源
The PHP Group
PHP 7.3.11 Released
https://www.php.net/archive/2019.php#2019-10-24-2
The PHP Group
PHP 7.2.24 Released
https://www.php.net/archive/2019.php#2019-10-24-1
The PHP Group
PHP 7.1.33 Released
https://www.php.net/archive/2019.php#2019-10-24-3
概要
PHP には、遠隔の第三者が任意のコードを実行することが可能な脆弱性があり
ます。
対象となるバージョンは次のとおりです。
- PHP 7.3.11 より前のバージョン
- PHP 7.2.24 より前のバージョン
- PHP 7.1.33 より前のバージョン
この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ
さい。
関連文書 (英語)
The PHP Group
PHP 7 ChangeLog Version 7.3.11
https://www.php.net/ChangeLog-7.php#7.3.11
The PHP Group
PHP 7 ChangeLog Version 7.2.24
https://www.php.net/ChangeLog-7.php#7.2.24
The PHP Group
PHP 7 ChangeLog Version 7.1.33
https://www.php.net/ChangeLog-7.php#7.1.33
【4】複数の VMware 製品に脆弱性
情報源
VMware Security Advisories
VMSA-2019-0018
https://www.vmware.com/security/advisories/VMSA-2019-0018.html
VMware Security Advisories
VMSA-2019-0019
https://www.vmware.com/security/advisories/VMSA-2019-0019.html
概要
複数の VMware 製品には、脆弱性があります。結果として、遠隔の第三者が、
中間者攻撃によって情報を窃取したり、サービス運用妨害 (DoS) 攻撃を行っ
たりする可能性があります。
対象となる製品およびバージョンは次のとおりです。
- VMware vCenter Server Appliance 6.7u3a より前の 6.7 系のバージョン
- VMware vCenter Server Appliance 6.5u3d より前の 6.5 系のバージョン
- VMware vSphere ESXi 6.7 系のバージョン (ESXi670-201908101-SG 未適用)
- VMware vSphere ESXi 6.5 系のバージョン (ESXi650-201910401-SG 未適用)
- VMware Workstation Pro / Player 15.5.0 より前の 15 系のバージョン
- VMware Fusion Pro / Fusion 11.5.0 より前の 11 系のバージョン (OSX)
この問題は、該当する製品を VMware が提供するパッチを適用することで解決
します。詳細は、VMware が提供する情報を参照してください。
【5】複数の D-Link 製ルータにコマンドインジェクションの脆弱性
情報源
Vulnerability Note VU#766427
Multiple D-Link routers vulnerable to remote command execution
https://kb.cert.org/vuls/id/766427/
概要
複数の D-Link 製ルータには、コマンドインジェクションの脆弱性があります。
結果として、遠隔の第三者が、ルート権限で任意のコマンドを実行する可能性
があります。
対象となる製品は次のとおりです。
- DIR-615
- DIR-652
- DIR-655
- DIR-825
- DIR-835
- DIR-855L
- DIR-862L
- DIR-866L
- DAP-1533
- DHP-1565
この問題の対象となっている製品は、すべて製品サポートが終了しています。
現行製品の使用を停止し、後継製品への移行を検討してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#95198984
複数の D-Link 製ルータにおけるコマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU95198984/
【6】複数のトレンドマイクロ製品に XML 外部実体参照 (XXE) の脆弱性
情報源
Japan Vulnerability Notes JVNVU#99059651
トレンドマイクロ株式会社製の複数の製品における XML 外部実体参照 (XXE) に関する脆弱性
https://jvn.jp/vu/JVNVU99059651/
概要
複数のトレンドマイクロ製品には、XML 外部実体参照 (XXE) に関する脆弱性
があります。結果として、第三者が該当製品に有効化されている各 agent の
管理者権限を奪取した場合に、その agent を通じて XXE 攻撃を行う可能性が
あります。
対象となる製品およびバージョンは次のとおりです。
- Trend Micro Deep Security Manager 12.0 より前のバージョン
- Trend Micro Virtual Patch for Endpoint Manager 2.0 SP2 Patch7 およびそれ以前
なお開発者によると、Trend Micro Deep Security as a Service は本脆弱性
の影響を受けないとのことです。
この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正済みの
バージョンに更新するか、パッチを適用することで解決します。詳細は、トレ
ンドマイクロ株式会社が提供する情報を参照してください。
関連文書 (日本語)
トレンドマイクロ株式会社
「アラート/アドバイザリ」Trend Micro Deep Securityにおける XML External Entityに関する脆弱性(CVE-2019-9488)
https://success.trendmicro.com/jp/solution/1122942
トレンドマイクロ株式会社
「アラート/アドバイザリ」Trend Micro Virtual Patch for Endpointにおける XML External Entityに関する脆弱性(CVE-2019-9488)
https://success.trendmicro.com/jp/solution/1123774
【7】PowerCMS にオープンリダイレクトの脆弱性
情報源
Japan Vulnerability Notes JVN#34634458
PowerCMS におけるオープンリダイレクトの脆弱性
https://jvn.jp/jp/JVN34634458/
概要
アルファサード株式会社が提供する PowerCMS には、オープンリダイレクトの
脆弱性があります。結果として、遠隔の第三者が細工した URL にユーザをア
クセスさせることで、任意のウェブサイトにリダイレクトさせる可能性があり
ます。
対象となるバージョンは次のとおりです。
- PowerCMS 5.12 およびそれ以前の 5.x 系のバージョン
- PowerCMS 4.42 およびそれ以前の 4.x 系のバージョン
- PowerCMS 3.293 およびそれ以前の 3.x 系のバージョン
この問題は、PowerCMS をアルファサード株式会社が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、アルファサード株式会社が提供
する情報を参照してください。
関連文書 (日本語)
アルファサード株式会社
PowerCMS 5.13 / 4.43 / 3.294 の提供を開始
https://www.powercms.jp/news/release-powercms-201910.html
コメント