■11/03(日)~11/09(土) のセキュリティ関連情報
目 次
【1】複数の Cisco 製品に脆弱性
【2】Google Chrome に複数のセキュリティ上の問題
【3】Squid に複数の脆弱性
【4】オムロン製 Network Configurator for DeviceNet に DLL 読み込みに関する脆弱性
【5】スマートフォンアプリ「ラクマ」に認証情報漏えいの脆弱性
【今週のひとくちメモ】「PSIRT Services Framework Version 1.0 日本語版」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr194401.html
https://www.jpcert.or.jp/wr/2019/wr194401.xml
============================================================================
【1】複数の Cisco 製品に脆弱性
情報源
US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/11/07/cisco-releases-security-updates
概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。
影響度 Critical および High の脆弱性情報の対象となる製品は次のとおり
です。
- Cisco Prime Infrastructure (PI) Software
- Cisco Evolved Programmable Network Manager (EPNM)
- Cisco Small Business RV Series の次の製品
・Cisco RV042 Dual WAN VPN Router
・Cisco RV042G Dual Gigabit WAN VPN Router
・Cisco RV320 Dual Gigabit WAN VPN Router
・Cisco RV325 Dual Gigabit WAN VPN Router
- Cisco RoomOS Software
- Cisco TelePresence Collaboration Endpoint (CE) Software
- Cisco TelePresence Codec (TC) Software
- Cisco Webex Network Recording Player for Microsoft Windows
- Cisco Webex Player for Microsoft Windows
- Cisco Wireless LAN Controllers
- Cisco Web Security Appliance (WSA)
※上記以外にも、影響度 Medium や Informational の脆弱性情報、アドバイ
ザリが公開されています。詳細は、Cisco が提供する情報を参照してくださ
い。
なお、既にソフトウェアメンテナンスが終了している Cisco RV016 Multi-WAN
VPN Router、Cisco RV082 Dual WAN VPN Router も影響を受けるとのことです。
この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。
関連文書 (英語)
Cisco Security Advisory
Cisco Prime Infrastructure and Evolved Programmable Network Manager Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191106-pi-epn-codex
Cisco Security Advisory
Cisco Small Business Routers RV016, RV042, RV042G, RV082, RV320, and RV325 Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191106-sbr-cominj
Cisco Security Advisory
Cisco TelePresence Collaboration Endpoint and RoomOS Software Denial of Service Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191106-telepres-roomos-dos
Cisco Security Advisory
Cisco TelePresence Collaboration Endpoint, TelePresence Codec, and RoomOS Software Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191106-telepres-roomos-privesc
Cisco Security Advisory
Cisco Webex Network Recording Player and Cisco Webex Player Arbitrary Code Execution Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191106-webex-player
Cisco Security Advisory
Cisco Wireless LAN Controller HTTP Parsing Engine Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191106-wlc-dos
Cisco Security Advisory
Cisco Web Security Appliance Unauthorized Device Reset Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191106-wsa-unauth-devreset
Cisco Security
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x
【2】Google Chrome に複数のセキュリティ上の問題
情報源
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2019/11/stable-channel-update-for-desktop.html
概要
Google Chrome には、複数のセキュリティ上の問題があります。
対象となるバージョンは次のとおりです。
- Google Chrome 78.0.3904.97 より前のバージョン
この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。
【3】Squid に複数の脆弱性
情報源
squid-cache.org
Heap Overflow issue in URN processing.
http://www.squid-cache.org/Advisories/SQUID-2019_7.txt
squid-cache.org
Multiple issues in URI processing.
http://www.squid-cache.org/Advisories/SQUID-2019_8.txt
squid-cache.org
Cross-Site Request Forgery issue in HTTP Request processing.
http://www.squid-cache.org/Advisories/SQUID-2019_9.txt
squid-cache.org
HTTP Request Splitting issue in HTTP message processing.
http://www.squid-cache.org/Advisories/SQUID-2019_10.txt
squid-cache.org
Information Disclosure issue in HTTP Digest Authentication.
http://www.squid-cache.org/Advisories/SQUID-2019_11.txt
概要
Squid には、複数の脆弱性があります。結果として、遠隔の第三者が、任意の
コードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可
能性があります。
対象となるバージョンは次のとおりです。
- Squid version 4.8 までの 4 系のバージョン
なお、既に更新が終了している Squid 3 系や 2 系についても、本脆弱性の影
響を受けるとのことです。
この問題は、使用している Squid のバージョンに応じて、OS のベンダや配布
元が提供する修正済みのバージョンに更新するか、パッチを適用することで解
決します。詳細は、ベンダや配布元が提供する情報を参照してください。
関連文書 (英語)
squid-cache.org
Squid Versions
http://www.squid-cache.org/Versions/
【4】オムロン製 Network Configurator for DeviceNet に DLL 読み込みに関する脆弱性
情報源
ICS Advisory (ICSA-19-134-01)
Omron Network Configurator for DeviceNet (Update A)
https://www.us-cert.gov/ics/advisories/ICSA-19-134-01
概要
Network Configurator for DeviceNet には、DLL 読み込みに関する脆弱性が
あります。結果として、第三者がプログラムを実行している権限で、任意のコー
ドを実行する可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Network Configurator for DeviceNet Safety 3.41 およびそれ以前
この問題は、Network Configurator for DeviceNet をオムロン株式会社が提
供する修正済みのバージョンに更新することで解決します。詳細は、オムロン
株式会社が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#94145643
オムロン製 Network Configurator for DeviceNet における DLL 読み込みに関する脆弱性
https://jvn.jp/vu/JVNVU94145643/
オムロン株式会社
セーフティネットワークコンフィグレータ 形WS02-CFSC1-J/形WS02-CFSC1-E アップデートモジュール ダウンロード
https://www.fa.omron.co.jp/product/tool/32/safetycf/cfsc1_download.html
【5】スマートフォンアプリ「ラクマ」に認証情報漏えいの脆弱性
情報源
Japan Vulnerability Notes JVN#41566067
スマートフォンアプリ「ラクマ」における認証情報漏えいの脆弱性
https://jvn.jp/jp/JVN41566067/
概要
スマートフォンアプリ「ラクマ」には、認証に関する情報が漏えいする脆弱性
があります。結果として、第三者が攻撃を目的として作成したアプリをインス
トールすることによって、当該製品の認証に関する情報を窃取する可能性があ
ります。
対象となる製品およびバージョンは次のとおりです。
- Android アプリ「ラクマ」バージョン 7.15.0 およびそれ以前
- iOS アプリ「ラクマ」バージョン 7.16.4 およびそれ以前
この問題は、該当する製品を楽天株式会社が提供する修正済みのバージョンに
更新することで解決します。詳細は、楽天株式会社が提供する情報を参照して
ください。
関連文書 (日本語)
Japan Vulnerability Notes JVN#41566067
楽天株式会社からの情報
https://jvn.jp/jp/JVN41566067/995735/
コメント