■11/10(日)~11/16(土) のセキュリティ関連情報
目 次
【1】複数の Microsoft 製品に脆弱性
【2】複数の Intel 製品に脆弱性
【3】複数の Adobe 製品に脆弱性
【4】複数の VMware 製品に脆弱性
【5】Movable Type にオープンリダイレクトの脆弱性
【6】複数の三菱電機製 CPU ユニットにリソース枯渇の脆弱性
【7】オムロン製 CX-Supervisor に複数の脆弱性
【今週のひとくちメモ】「ジャパンセキュリティサミット2019」Day1 の開催
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr194501.html
https://www.jpcert.or.jp/wr/2019/wr194501.xml
============================================================================
【1】複数の Microsoft 製品に脆弱性
情報源
US-CERT Current Activity
Microsoft Releases November 2019 Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/11/12/microsoft-releases-november-2019-security-updates
概要
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。
対象となる製品は次のとおりです。
- Microsoft Windows
- Internet Explorer
- Microsoft Edge (EdgeHTML ベース)
- ChakraCore
- Microsoft Office、Microsoft Office Services および Web Apps
- オープン ソース ソフトウェア
- Microsoft Exchange Server
- Visual Studio
- Azure Stack
この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
とで解決します。詳細は、Microsoft が提供する情報を参照してください。
関連文書 (日本語)
マイクロソフト株式会社
2019 年 11 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/164aa83e-499c-e911-a994-000d3a33c573
JPCERT/CC 注意喚起
2019年11月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2019/at190042.html
【2】複数の Intel 製品に脆弱性
情報源
Japan Vulnerability Notes JVNVU#90354904
Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU90354904
US-CERT Current Activity
Intel Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/11/12/intel-releases-security-updates
概要
複数の Intel 製品には、脆弱性があります。結果として、遠隔の第三者が、
サービス運用妨害 (DoS) 攻撃を行ったり、情報を窃取したりするなどの可能
性があります。
影響を受ける製品やバージョンは多岐に渡ります。対象製品の詳細は、Intel
が提供するアドバイザリ情報を参照してください。
関連文書 (日本語)
JPCERT/CC
Intel 製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2019111301.html
関連文書 (英語)
Intel
IPAS: November 2019 Intel Platform Update (IPU)
https://blogs.intel.com/technology/2019/11/ipas-november-2019-intel-platform-update-ipu/
Intel
Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html
Intel
INTEL-SA-00164 2019.2 IPU Intel TXT Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00164.html
Intel
INTEL-SA-00210 2019.2 IPU Intel Processor Machine Check Error Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00210.html
Intel
INTEL-SA-00219 2019.2 IPU Intel SGX with Intel Processor Graphics Update Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00219.html
Intel
INTEL-SA-00220 2019.2 IPU Intel SGX and TXT Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00220.html
Intel
INTEL-SA-00240 2019.2 IPU Intel Processor Security Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00240.html
Intel
INTEL-SA-00241 2019.2 IPU Intel CSME, Intel SPS, Intel TXE, Intel AMT, Intel PTT and Intel DAL Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00241.html
Intel
INTEL-SA-00242 2019.2 IPU Intel Graphics Driver for Windows and Linux Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00242.html
Intel
INTEL-SA-00254 2019.2 IPU Intel Processor Graphics SMM Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00254.html
Intel
INTEL-SA-00255 2019.2 IPU Intel Ethernet 700 Series Controllers Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00255.html
Intel
INTEL-SA-00260 2019.2 IPU Intel Processor Graphics Update Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00260.html
Intel
INTEL-SA-00270 2019.2 IPU TSX Asynchronous Abort Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00270.html
Intel
INTEL-SA-00271 2019.2 IPU Intel Xeon Scalable Processors Voltage Setting Modulation Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00271.html
Intel
INTEL-SA-00280 2019.2 IPU UEFI Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00280.html
Intel
INTEL-SA-00287 Intel WIFI Drivers and Intel PROSet/Wireless WiFi Software extension DLL Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00287.html
Intel
INTEL-SA-00288 Intel PROSet/Wireless WiFi Software Security Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00288.html
Intel
INTEL-SA-00293 2019.2 IPU Intel SGX Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00293.html
Intel
INTEL-SA-00309 Nuvoton CIR Driver for Windows 8 for Intel NUC Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00309.html
Intel
INTEL-SA-00313 Intel BMC Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00313.html
【3】複数の Adobe 製品に脆弱性
情報源
US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/11/12/adobe-releases-security-updates
概要
複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、情報を窃取したりするなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Animate CC 2019 19.2.1 およびそれ以前 (Windows)
- Illustrator CC 2019 23.1 およびそれ以前 (Windows)
- Adobe Media Encoder 13.1 (Windows, macOS)
- Adobe Bridge CC 9.1 (Windows, macOS)
この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC
複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2019111302.html
Adobe
Adobe Animate CC に関するセキュリティアップデート公開 | APSB19-34
https://helpx.adobe.com/jp/security/products/animate/apsb19-34.html
Adobe
Adobe Illustrator に関するセキュリティアップデート公開 | APSB19-36
https://helpx.adobe.com/jp/security/products/illustrator/apsb19-36.html
Adobe
Adobe Media Encoder に関するセキュリティアップデート公開 | APSB19-52
https://helpx.adobe.com/jp/security/products/media-encoder/apsb19-52.html
Adobe
Adobe Bridge CC に関するセキュリティアップデート公開 | APSB19-53
https://helpx.adobe.com/jp/security/products/bridge/apsb19-53.html
【4】複数の VMware 製品に脆弱性
情報源
US-CERT Current Activity
VMware Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/11/12/vmware-releases-security-updates
概要
複数の VMware 製品には、脆弱性があります。結果として、ゲスト OS のユー
ザがホスト OS 上で任意のコードを実行するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- VMware vSphere ESXi 6.7 系
- VMware vSphere ESXi 6.5 系
- VMware vSphere ESXi 6.0 系
- VMware Workstation Pro / Player 15 系
- VMware Fusion / Pro 11 系
この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新
するか、パッチを適用することで解決します。詳細は、VMware が提供する情
報を参照してください。
関連文書 (英語)
VMware Security Advisories
VMSA-2019-0020
https://www.vmware.com/security/advisories/VMSA-2019-0020.html
VMware Security Advisories
VMSA-2019-0021
https://www.vmware.com/security/advisories/VMSA-2019-0021.html
【5】Movable Type にオープンリダイレクトの脆弱性
情報源
Japan Vulnerability Notes JVN#65280626
Movable Type におけるオープンリダイレクトの脆弱性
https://jvn.jp/jp/JVN65280626
概要
シックス・アパート株式会社が提供する Movable Type には、オープンリダイ
レクトの脆弱性があります。結果として、遠隔の第三者が細工した URL にユー
ザをアクセスさせることで、任意のウェブサイトにリダイレクトさせる可能性
があります。
対象となる製品およびバージョンは次のとおりです。
- Movable Type 7 r.4602 およびそれ以前 (Movable Type 7系)
- Movable Type 6.5.0 および 6.5.1 (Movable Type 6.5系)
- Movable Type 6.3.9 およびそれ以前 (Movable Type 6.3.x系、6.2.x系、6.1.x系、6.0.x系)
- Movable Type Advanced 7 r.4602 およびそれ以前 (Movable Type 7系)
- Movable Type Advanced 6.5.0 および 6.5.1 (Movable Type 6.5系)
- Movable Type Advanced 6.3.9 およびそれ以前 (Movable Type 6.3.x系、6.2.x系、6.1.x系、6.0.x系)
- Movable Type Premium 1.24 およびそれ以前 (Movable Type Premium 系)
- Movable Type Premium (Advanced Edition) 1.24 およびそれ以前 (Movable Type Premium 系)
この問題は、該当する製品をシックス・アパート株式会社が提供する修正済み
のバージョンに更新することで解決します。詳細については、シックス・アパー
ト株式会社が提供する情報を参照してください。
関連文書 (日本語)
シックス・アパート株式会社
[重要] Movable Type 6.5.2 / 6.3.10 / Movable Type 7 r. 4603 / Movable Type Premium 1.25 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2019/11/13-1100.html
【6】複数の三菱電機製 CPU ユニットにリソース枯渇の脆弱性
情報源
Japan Vulnerability Notes JVNVU#97094124
三菱電機製 MELSEC-Qシリーズ CPU ユニットおよび MELSEC-L シリーズ CPU ユニットの FTP サーバ機能にリソース枯渇の脆弱性
https://jvn.jp/vu/JVNVU97094124/
概要
三菱電機株式会社が提供する MELSEC-Q シリーズ CPU ユニットおよび MELSEC-L
シリーズ CPU ユニットの FTP サーバ機能には、リソース枯渇の脆弱性があり
ます。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う可能
性があります。
対象となる製品およびバージョンは次のとおりです。
MELSEC-Q シリーズ CPU ユニット
- Q03UDECPU, Q04/06/10/13/20/26/50/100UDEHCPU (シリアル番号の上位5桁が 21081 およびそれ以前)
- Q03/04/06/13/26UDVCPU (シリアル番号の上位5桁が 21081 およびそれ以前)
- Q04/06/13/26UDPVCPU (シリアル番号の上位5桁が 21081 およびそれ以前)
MELSEC-L シリーズ CPU ユニット
- L02/06/26CPU, L26CPU-BT (シリアル番号の上位5桁が 21101 およびそれ以前)
- L02/06/26CPU-P, L26CPU-PBT (シリアル番号の上位5桁が 21101 およびそれ以前)
- L02/06/26CPU-CM, L26CPU-BT-CM (シリアル番号の上位5桁が 21101 およびそれ以前)
この問題は、該当する製品を三菱電機株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細については、三菱電機株式会社が提供する
情報を参照してください。
関連文書 (日本語)
三菱電機株式会社
MELSEC-QシリーズCPU、およびMELSEC-LシリーズCPUにおけるFTPサーバ機能の脆弱性 (PDF)
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2019-002.pdf
関連文書 (英語)
ICS Advisory (ICSA-19-311-01)
Mitsubishi Electric MELSEC-Q Series and MELSEC-L Series CPU Modules
https://www.us-cert.gov/ics/advisories/icsa-19-311-01
【7】オムロン製 CX-Supervisor に複数の脆弱性
情報源
Japan Vulnerability Notes JVNVU#94335589
オムロン製 CX-Supervisor に脆弱性
https://jvn.jp/vu/JVNVU94335589/
概要
オムロン株式会社が提供する CX-Supervisor には、複数の脆弱性があります。
結果として、遠隔の第三者が情報を窃取するなどの可能性があります。
対象となるバージョンは次のとおりです。
- CX-Supervisor バージョン 3.5 (12) およびそれ以前
この問題は、該当する製品をオムロン株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、オムロン株式会社が提供する情報を参
照してください。
関連文書 (英語)
Omron
Release Notes For CX-Supervisor 3.5.1
https://www.myomron.com/index.php?action=kb&article=1713
ICS Advisory (ICSA-19-309-01)
Omron CX-Supervisor
https://www.us-cert.gov/ics/advisories/icsa-19-309-01
ICS Advisory (ICSA-19-318-04)
Omron CX-Supervisor
https://www.us-cert.gov/ics/advisories/icsa-19-318-04
コメント