« ■10/20(日)~10/26(土) のセキュリティ関連情報 | メイン | ■11/03(日)~11/09(土) のセキュリティ関連情報 »

2019年11月 7日 (木)

■10/27(日)~11/02(土) のセキュリティ関連情報

目 次 

【1】複数の Apple 製品に脆弱性
【2】Google Chrome に複数の脆弱性
【3】複数のトレンドマイクロ製品に脆弱性
【4】Samba に複数の脆弱性
【5】GitLab に複数の脆弱性
【6】図書館情報管理システム LIMEDIO にオープンリダイレクトの脆弱性
【7】Microsoft Office for Mac に XLM マクロに対する挙動が不適切な問題
【8】Internet Week 2019 のお知らせ
【今週のひとくちメモ】JPAAWG 2nd General Meeting「ゲーム演習で学ぶCSIRTのうごき」受講者募集のお知らせ

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr194301.html
https://www.jpcert.or.jp/wr/2019/wr194301.xml
============================================================================


【1】複数の Apple 製品に脆弱性

情報源
US-CERT Current Activity
Apple Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/10/30/apple-releases-security-updates

概要
複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、情報を窃取したりするなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- iOS 13.2 より前のバージョン
- iPadOS 13.2 より前のバージョン
- macOS Catalina 10.15.1 より前のバージョン
- macOS Mojave 10.14.6 (Security Update 2019-001 未適用)
- macOS High Sierra 10.13.6 (Security Update 2019-006 未適用)
- tvOS 13.2 より前のバージョン
- watchOS 6.1 より前のバージョン
- Safari 13.0.3 より前のバージョン
- iTunes 12.10.2 for Windows より前のバージョン
- iCloud for Windows 11.0 より前のバージョン
- iCloud for Windows 7.15 より前のバージョン
- Xcode 11.2 より前のバージョン

この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新
することで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#96749516
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU96749516/

Apple
iOS 13.2 および iPadOS 13.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210721

Apple
macOS Catalina 10.15.1、セキュリティアップデート 2019-001、セキュリティアップデート 2019-006 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210722

Apple
tvOS 13.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210723

Apple
watchOS 6.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210724

Apple
Safari 13.0.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210725

Apple
iTunes for Windows 12.10.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210726

Apple
Windows 用 iCloud 11.0 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210727

Apple
Windows 用 iCloud 7.15 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210728

Apple
Xcode 11.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210729

【2】Google Chrome に複数の脆弱性

情報源
US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2019/10/31/google-releases-security-updates-chrome

概要
Google Chrome には、複数の脆弱性があります。結果として、第三者が任意の
コードを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 78.0.3904.87 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2019/10/stable-channel-update-for-desktop_31.html

【3】複数のトレンドマイクロ製品に脆弱性

情報源
Japan Vulnerability Notes JVNVU#96213168
ウイルスバスターコーポレートエディションにおけるディレクトリトラバーサルの脆弱性
https://jvn.jp/vu/JVNVU96213168/

トレンドマイクロ株式会社
アラート/アドバイザリ:Apex Oneにおける任意のファイルアップロードを可能にするコマンドインジェクションの脆弱性
https://success.trendmicro.com/jp/solution/000151168

トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスターコーポレートエディション、Apex One、ウイルスバスタービジネスセキュリティにおける管理コンソールの認証回避に繋がるディレクトリトラバーサルの脆弱性
https://success.trendmicro.com/jp/solution/000151169

トレンドマイクロ株式会社
アラート/アドバイザリ:Anti-Threat Toolkitの脆弱性、CVE-2019-9491について
https://success.trendmicro.com/jp/solution/000150795

概要
複数のトレンドマイクロ製品には、脆弱性があります。結果として、第三者が
任意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- ウイルスバスターコーポレートエディション XG SP1、XG および 11.0 SP1
- Apex One 2019
- ウイルスバスタービジネスセキュリティ 10.0 SP1、10.0、9.5 および 9.0
- Anti-Threat Toolkit (ATTK) 1.62.0.1218 およびそれ以前

この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正済みの
バージョンに更新するか、パッチを適用することで解決します。詳細は、トレ
ンドマイクロ株式会社が提供する情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスターコーポレートエディションにおける任意のファイルアップロードを可能にするディレクトリトラバーサルの脆弱性
https://success.trendmicro.com/jp/solution/000151167

トレンドマイクロ株式会社
【注意喚起】ウイルスバスター コーポレートエディションの脆弱性(CVE-2019-18187)を悪用した攻撃を確認したことによる最新修正プログラム適用のお願い
https://appweb.trendmicro.com/SupportNews/NewsDetail.aspx?id=3592

Japan Vulnerability Notes JVNVU#90577675
Apex One におけるコマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU90577675/

JPCERT/CC
ウイルスバスターコーポレートエディションの脆弱性 (CVE-2019-18187) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190041.html

【4】Samba に複数の脆弱性

情報源
US-CERT Current Activity
Samba Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/10/29/samba-releases-security-updates

概要
Samba には、複数の脆弱性があります。結果として、遠隔の第三者がサービス
運用妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- Samba 4.11.2 より前の 4.11 系バージョン
- Samba 4.10.10 より前の 4.10 系バージョン
- Samba 4.9.15 より前の 4.9 系バージョン

なお、既にサポートが終了している Samba 4.9 系より前のバージョンも影響
を受けるとのことです。

この問題は、Samba を The Samba Team が提供する修正済みのバージョンに更
新することで解決します。詳細は、The Samba Team が提供する情報を参照し
てください。

関連文書 (英語)
The Samba Team
Samba Security Releases
https://www.samba.org/samba/history/security.html

The Samba Team
Client code can return filenames containing path separators.
https://www.samba.org/samba/security/CVE-2019-10218.html

The Samba Team
Samba AD DC check password script does not receive the full password.
https://www.samba.org/samba/security/CVE-2019-14833.html

The Samba Team
User with "get changes" permission can crash AD DC LDAP server via dirsync
https://www.samba.org/samba/security/CVE-2019-14847.html

【5】GitLab に複数の脆弱性

情報源
GitLab
GitLab Security Release: 12.4.1, 12.3.6, and 12.2.9
https://about.gitlab.com/blog/2019/10/30/security-release-gitlab-12-dot-4-dot-1-released/

概要
GitLab には、複数の脆弱性があります。結果として、第三者が情報を窃取す
るなどの可能性があります。

対象となるバージョンは次のとおりです。

- GitLab Community および Enterprise Edition 12.4.1 より前の 12.4 系バージョン
- GitLab Community および Enterprise Edition 12.3.6 より前の 12.3 系バージョン
- GitLab Community および Enterprise Edition 12.2.9 より前の 12.2 系バージョン

なお、上記に記載されていないバージョンも影響を受けるとのことです。詳細
は GitLab が提供する情報をご確認ください。

この問題は、該当する製品を GitLab が提供する修正済みのバージョンに更新
することで解決します。詳細は、GitLab が提供する情報を参照してください。

【6】図書館情報管理システム LIMEDIO にオープンリダイレクトの脆弱性

情報源
Japan Vulnerability Notes JVN#45633549
図書館情報管理システム LIMEDIO におけるオープンリダイレクトの脆弱性
https://jvn.jp/jp/JVN45633549/

概要
株式会社リコーが提供する図書館情報管理システム LIMEDIO には、オープン
リダイレクトの脆弱性があります。結果として、遠隔の第三者が細工した URL
にユーザをアクセスさせることで、任意のウェブサイトにリダイレクトさせる
可能性があります。

対象となるバージョンは次のとおりです。

- 図書館情報管理システム LIMEDIO すべてのバージョン

2019年11月7日現在、この問題に対する修正済みのバージョンは提供されてい
ません。次の回避策を適用することで、影響を軽減することが可能です。

- 遷移先制限機能を有効にする

なお、株式会社リコーによると、遷移先制限機能は初期設定では無効になって
いるとのことです。詳細は、株式会社リコーが提供する情報を参照してくださ
い。

【7】Microsoft Office for Mac に XLM マクロに対する挙動が不適切な問題

情報源
Vulnerability Note VU#125336
Microsoft Office for Mac cannot properly disable XLM macros
https://kb.cert.org/vuls/id/125336/

概要
Microsoft Office for Mac には、XLM マクロに対する挙動が不適切な問題が
あります。結果として、第三者がユーザの実行権限で任意のコードを実行する
可能性があります。

対象となる製品は次のとおりです。

- Microsoft Office for Mac

2019年11月7日現在、この問題に対する対策方法は提供されていません。次の
回避策を適用することで、この問題の影響を軽減することが可能です。

- SYLK ファイルをブロックする
- セキュリティ設定で "Disable all macros with notification" を有効にする

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#98504876
Microsoft Office for Mac において XLM マクロに対する挙動が不適切な問題
https://jvn.jp/vu/JVNVU98504876/

【8】Internet Week 2019 のお知らせ

情報源
一般社団法人日本ネットワークインフォメーションセンター (JPNIC)
Internet Week 2019 参加登録開始のお知らせ
https://www.nic.ad.jp/ja/topics/2019/20191001-02.html

概要
2019年11月26日 (火) から 11月29日 (金) まで、浅草橋のヒューリックホー
ル&ヒューリックカンファレンスにおいて JPNIC 主催の「Internet Week 2019
~新陳代謝~」が開催されます。JPCERT/CC からも講演に登壇予定です。

事前申込みの締め切りは 11月15日 (金) 17:00 までとなっております。詳細
は、JPNIC が提供する情報を確認してください。

トラックバック

このページのトラックバックURL:
http://app.meetblog.jp/t/trackback/385510/34195037

■10/27(日)~11/02(土) のセキュリティ関連情報を参照しているブログ:

コメント

この記事へのコメントは終了しました。